Microsoft LAPS (Local Administrator Password Solution) için İstemcileri Ayarlama

Bumerang - Yazarkafe

Microsoft LAPS (Local Administrator Password Solution) hakkındaki serimizin 3. Bölümünde, LAPS için Grup İlkesi’nin kurulumunu ele alacağım, client’i yönetilen istemcilere kurmak ve hem GUI’de hem de PowerShell’de yerel Yönetici parolalarını görüntülemekten bahsediyor olacağım.

Active Directory (AD) şemasını ve izinlerini güncelleştirdikten sonra Microsoft Local Administrator Password Solution (LAPS) ayarlamadaki son adım, istemci uygulamasını yüklemek ve Group Policy’i yapılandırmaktır.

Group Policy Yapılandırma

Bu serinin 2. bölümünde  Active Directory’de Microsoft LAPS (Yerel Yönetici Parola Çözümü) ve Yönetim Araçları nasıl kuruluru gördük. Management tool’u nu kurmak istiyorsanız LAPS kurulumlarından birini indirmek isteyeceksiniz (either x86 or x64) ve GPO Editor şablonlarının kurulumun bir parçası olarak seçildiğinden emin olun.

Local-Administrator-Password-Solution-Custom-Setup-options-for-server_thumb1

 

Ardından, Grup İlkesi Yönetim Konsolu’nu (GPMC) açın ve bilgisayarlarınız için varolan bir Grup İlkesi Nesnini (GPO) düzenleyin veya yeni bir tane oluşturun.

LAPS-Policies-in-the-Group-Policy-Management-Console_thumb

Öncelikle, “Enable local admin password management” politikasını Enabled’a ayarlayarak LAPS ile şifre yönetimini etkinleştirmelisiniz.

LAPS-Policies-in-the-Group-Policy-Management-Console_thumb

Ardından, şifre ayarlarını etkinleştirmek ve şifre seçeneklerinizi yapılandırmak istersiniz. Bu ayar ile, karmaşıklığı (büyük harfler, küçük harfler, sayılar ve özel karakterler), uzunluk ve maksimum şifre yaşını yapılandırabilirsiniz.

Password-Settings-for-LAPS_thumb

LAPS, sisteminizin herhangi birinde Yönetici hesabını yeniden adlandırmış olsanız bile, bilinen SID’yi kullanarak yerel Yönetici hesabını algılayabilir. İkincil bir yerel Yönetici hesabı oluşturduysanız ve LAPS’nin şifresini yönetmesini istiyorsanız, söz konusu hesabın kullanıcı adını “Yönetilecek yönetici hesabı adı” politikasını kullanarak ayarlayabilirsiniz.

Name-of-Administrator-account-to-manage-policy_thumb

İstemciyi Kurmak

Microsoft LAPS istemcisi, Microsoft Download Center‘nde hem x86 hem de x64 versiyonlarına sahiptir. Group Policy ile aşağıdaki komut ile MSI olarak dağıtımını yapabilirsiniz.

# For 64-bit/x64 systems

msiexec /q /i <a href=“file:///\\server\path\LAPS.x64.msi”>\\server\path\LAPS.x64.msi
# For 32-bit/x86 systems
msiexec /q /I <a href=“file:///\\server\path\LAPS.x86.msi”>\\server\path\LAPS.x86.msi
GUI ile şifreleri görüntüleme
LAPS tarafından yönetilen bir Yönetici şifresi olan bir bilgisayarın şifresini görüntülemek için iki yol vardır. İlk yöntem Active Directory Users and Computers (ADUC) kullanmaktır. ADUC’da View ’yi tıklayın ve Advanced Features’in bir seçili olduğunu doğrulayın.
Enable-Advanced-Features-in-Active-Directory-Users-and-Computers_thumb
Ardından, bilgisayarı bulup çift tıklatın ve ardından Attribute Editor sekmesini tıklatın. Attribute Editor sekmesi eksikse, Gelişmiş Özellikleri etkinleştirmediniz veya kullandığınız hesap, bilgisayar nesnesinde uygun izinlere sahip değil. Şifreyi görüntülemek için ms-Mcs-AdmPwd özniteliğini bulana kadar aşağı kaydırın.
ms-Mcs-AdmPwd-attribute-on-the-Attribute-Editor-tab-of-computer-properties_thumb
 LAPS için tüm Yönetici araçları paketini yüklediyseniz, “Fat client UI” yönetim istasyonunuza yüklenecektir. Yüklü uygulama LAPS UI olarak adlandırılır ve Başlangıç ekranında bulunabilir.
LAPS-UI-on-Start-Screen_thumb1
LAPS UI uygulamasını çalıştırdığınızda, bilgisayarın tam adını girmeniz gerekir. Ne yazık ki, LAPS uygulaması şu anda Active Directory’deki bilgisayarları aramanıza izin vermemektedir; Bu nedenle, bilgisayarın tam adını bilmeniz gerekir. Bilgisayar adını girdikten sonra, Search düğmesini tıkladığınızda mevcut Yönetici şifresi ve şifrenin geçeceği tarih ve saat görüntülenir. LAPS UI uygulaması ayrıca yeni bir sona erme süresi ayarlamanıza veya anında bir sona erdirmeye zorlamanıza izin verir. Şifre veya son kullanma tarihi alanları boşsa, büyük olasılıkla kullandığınız hesabın AD’deki özelliği okumak için yeterli izinleri yoktur.
LAPS-UI-application-showing-a-computers-local-Administrator-password_thumb
PowerShell ile şifreleri görüntüleme
 Yönetim Araçları, parolaları görüntülemek ve son kullanma süresini zorlamak için kullanabileceğiniz bir PowerShell modülü de içerir. Öncelikle, AdmPwd.PS modülünü yüklemeniz ve Get-AdmPwdPassword cmdlet’ini kullanmanız gerekir:
Import-Module AdmPwd.PS
Get-AdmPwdPasswordComputerName WIN10-X64
Viewing-an-Administrator-password-with-Get-AdmPwdPassword_thumb
Parolayı değiştirmek için zorlamanız gerekiyorsa, parolanın anında değiştirilmesini zorlamak için Reset-AdmPwdPassword cmdlet’ini kullanabilirsiniz:
Reset-AdmPwdPasswordComputerName WIN81-X64
Adding -WhenEffective allows you to control the date and time that the password will update on the computer:
Reset-AdmPwdPasswordComputerName WIN81-X64WhenEffective “6.14.2018 18:00”
Force a reset of a local Administrator password with Reset-AdmPwdPassword

Microsoft LAPS kurulumundan bahsetmeye çalıştım. Ücretsiz bir ürün olarak Microsoft LAPS ile ilgili şikayette bulunmayı gerçekten zor buluyorum. Ücretli ürünlere istinaden bazı eksikleri var fakat zaten Microsft o ürünlerle rekabet için LAPS’ı çıkarmadı. Umarım size yeni bir şeyler öğretme konusunda yardımcı olabilmişimdir. Diğer yandan katıldığınız veya katılmadığınız görüşler ile sorularınızı da yorum kısmından belirtirseniz elimden geldiğince yanıtlamaya çalışırım.