LAPS (Local Administrator Password Solution) в AD

LAPS (Local Administrator Password Solution) в AD

LAPS позволяет управлять локальными паролями на ПК в домене. Для каждого ПК генерируется случайный пароль, который администратор может посмотреть через GUI.

Тут можно скачать LAPS. Нужно установить его на сервере, где вы хотите смотреть пароли. Скачать стоит и x64, и x32 версии — мы так же будем устанавливать на рабочие станции.

Для администратора установим LAPS с такими настройками


Fat Client UI – GUI утилита для быстрого поиска ПК в домене
PowerShell Module – подгружаемый модуль для LAPS через PowerShell
GPO Editor templates – административные шаблоны для управления настройками модуля LAPS на клиентах

LAPS использует два атрибута для хранения нужных данных – это ms-Mcs-AdmPwd, который используется для хранения пароля, и ms-Mcs-AdmPwdExpirationTime в котором хранится время истечения действия пароля. Для того, чтобы они появились в схеме — её нужно обновить!

Для этого открываем powershell на сервере AD и вводим две команды:

Import-module AdmPwd.PS
Update-AdmPwdADSchema

Настройка прав

Если вы будите смотреть только под доменным администратором — смело пропускайте этот раздел!

Для настройки возможности видеть пароль конкретным пользователям и группам нужно сначала отключить «Все расширенные права» в OU.

Первое что нужно сделать — создать новый OU (подразделение) в Active Directory — пользователи и домены и переместить туда все ПК, которыми вы хотите управлять.

Далее запускаем ADSIEdit, правый клик мышью по созданному OU -> свойства, переходим во вкладку Безопасность и нажимаем дополнительно.

Выбираем нужную группу и редактируем права. Если «Все расширенные права» установлены — пользователь получит доступ к атрибутам, что не рекомендуется microsoft.

Чтобы посмотреть список пользователей с правами LAPS введите в powershell:

Find-AdmPwdExtendedrights -identity <имя OU> | Format-Table

Так же нужно дать права доступа машинам на изменения своих атрибутов, чтобы машина могла изменить пароль и время его истечения. Открываем powershell и:

Set-AdmPwdComputerSelfPermission -OrgUnit <Имя OU>

Если нужно, чтобы пользователь мог читать пароли — введите в powershell:

Set-AdmPwdReadPasswordPermission -OrgUnit <Имя OU> -AllowedPrincipals <пользователь или группа>

GPO

Создадим новую групповую политику. Переходим в Computer Configuration\Administrative Templates\LAPS .

Enable local admin password management – включение локального клиента LAPS. Если не включен, но установлен, то работать не будет – надо и установить, и включить. Про установку поговорим позднее.

Password Settings – настройки сложности пароля и времени автоматической замены.

Name of administrator account to manage – если вы используете LAPS для управления учёткой админа с отличным от стандарта именем, то введите его сюда.

Do not allow password expiration time longer than required by policy – Это специфичная настройка, нужная для разрешения конфликтов в Password Settings установлено одно время смены пароля, а вручную в атрибуте ms-Mcs-AdmPwdExpirationTime – другое. Включаем.

Далее нужно разлить установочные пакеты LAPS на компьютеры в домене. Можно использовать GPO или любые другие доступные вам инструменты централизованного управления.

Чтобы заработало нужно, чтобы пользователь после установки ещё раз перезагрузился. Если не торопитесь — через 1-2 дня будет работать у всех.

Всякое и решение проблем

Команды ps не выполняются!

Перед вводом команд выполните:
Import-module AdmPwd.PS

Как включить логи?

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}\
создать dword ключ со значением 1 (ошибки) или 2 (ошибки и предупреждения)

Ошибка » Could not write changed password to AD. Error 0x80070032 » eventid 7, что делать?

  • Проверьте, что ПК находится в нужно OU и на него распространяется GPO и сделайте gpupdate /force, проверьте что пакет установился на клиенте;
  • Если всё верно: выполните regsvr32 schmmgmt.dll , откройте mmc и добавьте консоль «Схема AD». В свойствах класса computer перейдите в «Безопасность по умолчанию» — «Дополнительно» и добавьте разрешение субъекту self. Снимите все галочки и поставьте «Применяется к» — Только этот объект, установите галочки на ms-Mcs-AdmPwdEpirationTime, ms-Mcs-AdmPwd и на чтение, и на запись;
  • Если после всего этого не получилось — выведите компьютер из домена, удалите его запись и введите заново.

Как вести аудит доступа?

Set-AdmPwdAuditing –OrgUnit: <имя OU> -AuditedPrincipals: :<пользователь/группа, доступ к которых должен быть записан>

После ввода команды выше на контроллере домена будут появляться события 4662

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *