לאחר סיום ההתקנה​​ אמור להתווסף לכם​​ ​​ ADMX​​ חדש​​ לתיקיית​​ PolicyDefinitions שנמצאת בתיקיית ה-Sysvol​​ של הארגון.​​
זה בעצם מוסיף לכם את הPolicy​​ של​​ ה-LAPS.

הרחבת הסכמה​​ ב-Active Directory:

Import-Module AdmPwd.PS

Update-AdmPwdADSchema

הפצת​​ LAPS​​ לתחנות דרך​​ GPO בשני דרכים:

דרך ראשונה:

1. יצירת תיקיית​​ שיתוף​​ עם​​ הרשאות קריאה למשתמשים

2. העבירו את ההתקנה של​​ LAPS​​ אל תיקיית השיתוף

3. יצירת​​ GPO​​ בשם​​ “Laps”

4. נתבו​​ אל:
   Computer Configuration > Policies > Software Settings

5. לחצו קליק ימני על “​​ Software Installation​​ >​​ New > Package”

• עכשיו נתבו אל תיקיית השיתוף שההתקנה של ה-LAPS נמצאת בה.

• סמנו את ההתקנה, לחצו “Open” וודאו שבחלון “Deploy Software” האופציה המסומנת היא ” assigned” ולחצו “OK”

דרך שנייה:

• • יצירת תיקיית שיתוף עם הרשאות קריאה למשתמשים
  • העברת קובץ ה-DLL שנמצא ב- C:\Program Files\LAPS\CSE אל התיקייה המשותפת
  • יצירת Script המבצע רישום לקובץ ה-DLL:

@echo off
regsvr32.exe \\dc01\LAPS\AdmPwd.dll
exit

דרך שנייה:

• • העבירו את ההתקנה של LAPS אל תיקיית השיתוף
  • הפצת הScript דרך GPO:

    Computer Configuration > Policies > Windows Settings > Scripts > Startup

  • ננתב אל תיקיית השיתוף, נסמן את הScript ונלחץ על OK

הגדרת ה-Policy:

• בכדי להגדיר את​​ ה-Policy​​ נלך אל:
  Computer configuration → Policies → Administrative Templates → LAPS

• וכאן תצטרכו להגדיר את​​ ה-Policy​​ על פי מה שהארגון דורש:

הגדרת הרשאות:

• על​​ מנת שסיסמת​​ ה-Administrator​​ המקומי תוכל להתחדש, אנחנו צריכים לתת הרשאה​​ לכל המחשבים שאתם רוצים להחיל עליהם את ה-LAPS.

• אני נתתי הרשאה לכל המחשבים שנמצאים ב-Ou​​ שנקרא​​ Computer.
  (כמובן שאתם צריכים להתאים את הפקודה לסביבה שלכם.)

Set-AdmPwdComputerSelfPermission -Identity “CN=Computers,DC=MatanIT,DC=Local”

• עכשיו, עלינו להגדיר​​ לאיזו קבוצת משתמשים תינתן​​ הרשאה לראות​​ את סיסמת​​ ה-Administrator​​ המקומי:

Set-AdmPwdReadPasswordPermission -OrgUnit​​ "CN=Computers,DC=MatanIT,DC=Local"​​ -AllowedPrincipals “HelpDesk”

• כעת נשאר לנו להגדיר​​ איזו קבוצת משתמשים תוכל לאפס את הססמה של​​ ה-Administrator​​ המקומי:

Set-AdmPwdResetPasswordPermission -OrgUnit​​ "CN=Computers,DC=MatanIT,DC=Local"​​ -AllowedPrincipals “Domain​​ Admins”

• דוגמה​​ לאיך​​ התוצאה אמורה להראות:
  

• במידה​​ ואינכם יכולים​​ לראות את הסיסמת​​ Administrator​​ שאיפסתם,​​ בצעו את הפעולות הבאות:

1. בדיקה שמשתמש הAdministrator​​ במחשב ה-CLIENT​​ לא על מצב​​ Disable.​​ (Administrator​​ המקומי​​ חייב להיות​​ במצב​​ Enable)

2. בדיקה של ה-Default Policy​​ האם​​ ה-Policy​​ של הסיסמאות​​ תואם לתנאים של​​ ה-Policy​​ הארגוני.​​

• לדוגמה:
  אם​​ בהגדרות ה-“Default Policy” מוגדר שהסיסמה חייבת להיות באורך של לפחות​​ 14 תווים, אז בפוליסי של ה-LAPS​​ אנחנו חייבים להגדיר סיסמה באורך של 14 תווים.

3. בדיקה שה-Agent​​ של​​ LAPS​​ מותקן על תחנת הקצה.

4. הרצת הפקודה​​ “Gpupdate /force”​​ דרך​​ CMD​​ או​​ .Powershell

5. בדיקה האם ניתן לראות את הסיסמה דרך​​ :Attribute​​ Editor
   

אוסף פקודות​​ PowerShell​​ של​​ LAPS:

Find-AdmPwdExtendedRights

Get-AdmPwdPassword

Reset-AdmPwdPassword​​

Set-AdmPwdAuditing

Set-AdmPwdComputerSelfPermission

Set-AdmPwdReadPasswordPermission

Set-AdmPwdResetPasswordPermission

Update-AdmPwdADSchema

This Article Was Written By Matan Sigavker