LAPS Active Directory ortamını kurmak

Bumerang - Yazarkafe

Microsoft LAPS (Local Administrator Password Solution) serimizin ikinci bölümünde, Laps Active Directory şemanızı LAPS’yi destekleyecek şekilde nasıl güncelleyeceğinizi ve her iki bilgisayarın ve yöneticilerin izinlerini nasıl yapılacağını göstereceğim.

Active Directory de Microsoft Local Administrator Password Solution (LAPS) kurmak için öncelikle Microsoft Download Center dan LAPS indirmeniz gerekir. LAPS’ın her iki versiyonunu LAPS.x86.msi (32-bit sistemler için) ve LAPS.x64.msi (64-bit sistemler için) indirmek isteyebilirsiniz.

Domain Controller üzerinde 64-bit yükleyiciyi, LAPS.x64.msi’yi çalıştıracağım. Ilk iki ekran için İleri’ye tıkladıktan ve lisans sözleşmesini kabul ettikten sonra, Yönetim Araçları’nın (ancak AdmPwd GPO Uzantısı değil) sunucudaki yüklemeye ayarlandığından emin olmanız gerekir.

Local-Administrator-Password-Solution-Custom-Setup-options-for-server_sistemdestegi

 

Birkaç sonraki tıklamalardan sonra LAPS yönetim araçları sunucuya yüklenir. Başlangıç ekranına giderseniz, biraz sonradan anlatacağım yeni LAPS arayüzünü görmeniz gerekir.

LAPS-UI-on-Start-Screen-sistemdestegi

Sonra, Yönetici haklarına sahip bir PowerShell penceresi açmamız gerekecek. PowerShell isteminde LAPS modülünü yükleyin ve ardından Update-AdmPwdADSchema cmdlet’i çalıştırın:

1- ImportModule AdmPwd.PS
2- UpdateAdmPwdADSchema
Komutları çalıştırmayı tamamladığınızda, üç “Başarı” mesajı almalısınız:
lapspowershell
User/Goup AD izinlerini Güncelleme;
Active Directory şemasını güncelledikten sonra, yalnızca yetkili kullanıcıların ve grupların depolanan parolaları görüntüleyebilmesini sağlamak için AD’deki izinleri kontrol etmeliyiz. Varsayılan olarak Domain Admin ve Enterprise Admins grubunun üyelerinin yanısıra yetkilendirdiğiniz kullanıcı ya da grup üyeleri de saklanan parolaları görüntüleyebilir. İlk olarak bir PowerShell penceresi açın ve AdmPwd.PS  modülünün yüklendiğinden emin olun. Ardından Find-AdmPwdExtendedRights cmdlet’i ile depolanan parolaları görüntüleyecek kullanıcılara ve gruplara erişimi kimin olduğunu görmek için kullanabiliriz:
1- ImportModule AdmPwd.PS
2- FindAdmPwdExtendedRightsIdentity “_Demos”
 ADrights
Yukarıdaki ekran görüntüsünde görebileceğiniz gibi, AD ortamımda erişmemesi gereken hiçbir kullanıcı yok. “ExtendedRightHolders” klasöründe görünen kayıtlı parola bilgilerini görüntüleyememesi gereken kullanıcılarınız varsa, Active Directory Users and Computers (ADUC) da “All extended rights.” için erişimini kaldırmanız gerekir. View  menüsünde Advanced Features işaretlenmiş olduğuna emin olun. OU adına sağ tıklayın PropertiesSecurity, ve Advanced. sırayla tıklayın.
Daha sonra, Yönetilen Admin parolalarını görüntülemek için erişime sahip olmaması gereken kullanıcı ya da grubu seçin ve Edit’e tıklayın. All extended rights onay kutucuğunun işaretini kaldırın. Ardından yapılan değişikliğin kayt olması için iki kez OK butonuna basın.
Removing-access-to-all-extended-rights-sistemdestegi
Parolaları görüntülemek için ek gruplara erişim izni vermek isterseniz, Set-AdmPwdReadPasswordPermission cmdlet’ini, Parolaları resetlemek için ek gruplara erişim izni vermek isterseniz ise Set-AdmPwdResetPasswordPermission cmdlet’ini kullanabilirsiniz.

Parolaları görüntülemek için erişim izni vermek;

  1. ImportModule AdmPwd.PS
  2. SetAdmPwdReadPasswordPermissionIdentity “_Demos”AllowedPrincipals “Help Desk”

Parolaları resetlemek için erişim izni vermek;

  1. ImportModule AdmPwd.PS
  2. Set-AdmPwdResetPasswordPermissionIdentity “_Demos” –AllowedPrincipals “Help Desk”

Not: Aynı komutta birden fazla grup ve kullanıcı kullanmak isteyebilirsiniz,

Set-AdmPwdResetPasswordPermission –Identity “_Demos” –AllowedPrincipals demo\Administrator,demo\HelpDesk,demo\PwdAdmins

Update Computer AD İzinleri

Son olarak, bilgisayarlara Active Directory’deki ms-Mcs-AdmPwd ve ms-Mcs-AdmPwdExpirationTime niteliklerini güncelleme olanağı sağlamamız gerekecek. Modülü tekrar yükleyerek başlayın (daha önce yüklemediyseniz) ve Set-AdmPwdComputerSelfPermission’i çalıştırın:

  1. ImportModule AdmPwd.PS
  2. SetAdmPwdComputerSelfPermissionIdentity “_Demos”

admpwd

Bunu, yönetilen bilgisayarlara sahip olacak her OU için çalıştırmanız gerekir, ancak yeni izinler alt OU’lara uygulanacağından, alt OU’ları çalıştırmanıza gerek yoktur.

Bu noktada, Active Directory altyapımız yeni Active Directory özniteliklerini ve bu özniteliklerin izinlerini destekleyecek şekilde yapılandırılmıştır. Bu dizinin son bölümünde, müşterileri ayarlamayı ve LAPS için Grup İlkesi’ni yapılandırmayı ele alacağız.