27/12/2021 Matan Sigavker Active Directory, Microsoft On-Prem, Windows LAPS, Windows Server, Windows Server 2016, Windows Server 2019 0 איך LAPS עובד:LAPS זה תוסף של מספר אובייקטים למדיניות (GPO) של הארגון שמסוגל לבצע את הפעולות הבאות: בדיקת תוקפה של הסיסמה של משתמש ה- Administrator המקומי. מנפיק סיסמה חדשה כאשר פג תוקפה של סיסמת ה- Administrator המקומי או ע”י הנפקה ידנית. ווידוי תאימות של הסיסמאות המונפקות ע”י מדיניות ה-LAPS אל מול מדיניות הסיסמאות שהוגדר בארגון. מדווח ל-Active Directory על הסיסמאות אשר שהונפקו ע”י LAPS ומתי הפעם הבאה שהסיסמה תפוג, ערכים אלו נרשמים ב-Attributes של המחשבים הנמצאים ב-AD. שינוי סיסמת ה- Administrator המקומי בתחנות. יכולת הצגה או שינוי של הסיסמאות ש-LAPS הנפיקה ל- Administrator למשתמשים אשר ניתנה להם הרשאה לכך. הורדת קובץ ההתקנה של LAPS:https://www.microsoft.com/en-us/download/details.aspx?id=46899 התקינו את LAPS עם ההגדרות הבאות על השרת: לאחר סיום ההתקנה אמור להתווסף לכם ADMX חדש לתיקיית PolicyDefinitions שנמצאת בתיקיית ה-Sysvol של הארגון.זה בעצם מוסיף לכם את הPolicy של ה-LAPS. הרחבת הסכמה ב-Active Directory: Import-Module AdmPwd.PS Update-AdmPwdADSchema הפצת LAPS לתחנות דרך GPO בשני דרכים: דרך ראשונה: יצירת תיקיית שיתוף עם הרשאות קריאה למשתמשים העבירו את ההתקנה של LAPS אל תיקיית השיתוף יצירת GPO בשם “Laps” נתבו אל:Computer Configuration > Policies > Software Settings לחצו קליק ימני על “ Software Installation > New > Package” עכשיו נתבו אל תיקיית השיתוף שההתקנה של ה-LAPS נמצאת בה. סמנו את ההתקנה, לחצו “Open” וודאו שבחלון “Deploy Software” האופציה המסומנת היא ” assigned” ולחצו “OK” דרך שנייה: יצירת תיקיית שיתוף עם הרשאות קריאה למשתמשים העברת קובץ ה-DLL שנמצא ב- C:\Program Files\LAPS\CSE אל התיקייה המשותפת יצירת Script המבצע רישום לקובץ ה-DLL: @echo off regsvr32.exe \\dc01\LAPS\AdmPwd.dll exit דרך שנייה: העבירו את ההתקנה של LAPS אל תיקיית השיתוף הפצת הScript דרך GPO: Computer Configuration > Policies > Windows Settings > Scripts > Startup ננתב אל תיקיית השיתוף, נסמן את הScript ונלחץ על OK הגדרת ה-Policy: בכדי להגדיר את ה-Policy נלך אל:Computer configuration → Policies → Administrative Templates → LAPS וכאן תצטרכו להגדיר את ה-Policy על פי מה שהארגון דורש: הגדרת הרשאות: על מנת שסיסמת ה-Administrator המקומי תוכל להתחדש, אנחנו צריכים לתת הרשאה לכל המחשבים שאתם רוצים להחיל עליהם את ה-LAPS. אני נתתי הרשאה לכל המחשבים שנמצאים ב-Ou שנקרא Computer.(כמובן שאתם צריכים להתאים את הפקודה לסביבה שלכם.) Set-AdmPwdComputerSelfPermission -Identity “CN=Computers,DC=MatanIT,DC=Local” עכשיו, עלינו להגדיר לאיזו קבוצת משתמשים תינתן הרשאה לראות את סיסמת ה-Administrator המקומי: Set-AdmPwdReadPasswordPermission -OrgUnit "CN=Computers,DC=MatanIT,DC=Local" -AllowedPrincipals “HelpDesk” כעת נשאר לנו להגדיר איזו קבוצת משתמשים תוכל לאפס את הססמה של ה-Administrator המקומי: Set-AdmPwdResetPasswordPermission -OrgUnit "CN=Computers,DC=MatanIT,DC=Local" -AllowedPrincipals “Domain Admins” דוגמה לאיך התוצאה אמורה להראות: Troubleshooting במידה ואינכם יכולים לראות את הסיסמת Administrator שאיפסתם, בצעו את הפעולות הבאות: בדיקה שמשתמש הAdministrator במחשב ה-CLIENT לא על מצב Disable. (Administrator המקומי חייב להיות במצב Enable) בדיקה של ה-Default Policy האם ה-Policy של הסיסמאות תואם לתנאים של ה-Policy הארגוני. לדוגמה:אם בהגדרות ה-“Default Policy” מוגדר שהסיסמה חייבת להיות באורך של לפחות 14 תווים, אז בפוליסי של ה-LAPS אנחנו חייבים להגדיר סיסמה באורך של 14 תווים. בדיקה שה-Agent של LAPS מותקן על תחנת הקצה. הרצת הפקודה “Gpupdate /force” דרך CMD או .Powershell בדיקה האם ניתן לראות את הסיסמה דרך :Attribute Editor אוסף פקודות PowerShell של LAPS: Find-AdmPwdExtendedRights Get-AdmPwdPassword Reset-AdmPwdPassword Set-AdmPwdAuditing Set-AdmPwdComputerSelfPermission Set-AdmPwdReadPasswordPermission Set-AdmPwdResetPasswordPermission Update-AdmPwdADSchema This Article Was Written By Matan Sigavker Tags: Install LAPSLAPSLocal Administrator Password Solution