Site Overlay

LAPS Installation und Konfiguration

Sie können die Microsoft LAPS-Anwendung in Ihrer Umgebung installieren, wo Sie das Kennwort der lokalen Administratorkonten Ihrer "Client" und "Server" in Ihrer Domänenumgebung manuell oder automatisch ändern können, indem Sie den folgenden Link verwenden.

1. Runde LAPS Download und Installation

Download Local Administrator Password Solution (LAPS) from Official Microsoft Download Center

image 2
Einrichtung und Konfiguration der LAPS-Lösung für lokale Administratorkennwörter

2. Runde Bereitstellung der LAPS-Anwendung auf Clientgeräten mit GPO

Nach der Installation der Anwendung auf dem DC müssen wir die Anwendung auch an die Computer verteilen, deren Passwort wir ändern werden. Aus diesem Grund öffnen wir zunächst eine Freigabe namens Apps auf dem Server, den wir für Sicherungsvorgänge verwenden, und kopieren die Installationsdatei hierher.

image 147

Die Installation der Anwendung auf den Computern kann auf Wunsch einzeln erfolgen, aber in großen Strukturen wird dies eine große Zeitverschwendung sein, wir werden unsere Anwendung über die Gruppenrichtlinienverwaltung auf unseren Computern verteilen und installieren. Da sich unsere Computer in der Struktur unter der Organisationseinheit befinden, erstellen wir unser Gruppenrichtlinienobjekt unter dieser Organisationseinheit. Durch die Auswahl eines neuen Gruppenrichtlinienobjekts erstellen wir eine neue Richtlinie namens LAPS.

image 148

Dann fahren wir mit der Computerkonfiguration / Softwareeinstellungen / Softwareinstallation, Neu / Paket fort.

image 149

Hier bittet er uns, die Installationsdatei anzuzeigen. Wir fahren fort, indem wir unsere Datei zeigen.

image 150

Wir fahren fort, indem wir auf dem Bildschirm Zugewiesen auswählen, auf dem angezeigt wird, wie die Installation stattfinden wird.

image 151

Unsere Politik hat sich erfolgreich etabliert.

image 152

Jetzt kommen wir zu einem unserer Computer und erhalten die Richtlinie mit dem Befehl gpupdate / force und starten dann unseren Computer neu. Wenn wir überprüfen, nachdem unsere Maschine eingeschaltet wurde, können wir sehen, dass die erfolgreiche Installation der LAPS-Anwendung abgeschlossen ist.

image 153
image 154

3. Gruppenrichtlinieneinstellungen

Nach diesen Operationen bereiten wir ein GPO auf dem AD für LAPS vor. Auf dem Bildschirm Gruppenrichtlinienverwaltung erstellen wir eine Richtlinie namens LAPS unter der Organisationseinheit. Nachdem wir unsere Richtlinie erstellt haben, kommen wir zu Computer Configiration/Administrative Templates/LAPS, indem wir Edit sagen. Hier klicken wir auf Lokale Admin-Passwortverwaltung aktivieren.

image 157

Auf dem Bildschirm, der angezeigt wird, machen wir unsere Richtlinie aktiviert und sagen Ok.

image 158

Dann kommen wir zum Bereich Kennworteinstellungen und setzen diese Einstellung auf Aktiviert, und dann legen wir die Kennwortrichtlinie fest.

image 159

Um nach Abschluss der Operationen zu überprüfen, nehmen wir die Richtlinie mit dem Befehl gpupdate/force als Anmeldung an einem Computer.

image 160

Vielen Dank für die im Artikel veröffentlichten Bilder und Beschreibungen.

Konfigurieren und Bereitstellen der lokalen Administratorkennwortlösung (Local Administrator Password Solution, LAPS) – Azure – Cyber Security (volkandemirci.org)

4. PowerShell-Strukturierung der Schemaerweiterung

Öffnen Sie "PowerShell" auf Ihrem Active Directory-Server.

Import-Modul AdmPwd.PS
Update-AdmPwdADSchema
image 7
LAPS Installation und Konfiguration

5. Platz Schritte zum Autorisieren Ihres IT-Teams zum Verwalten von Kennwörtern für lokale Administratoren.

Lassen Sie uns eine "Sicherheitsgruppe" mit dem Namen "Helpdesk" in Active Directory erstellen. Lassen Sie uns das IT-Personal, das wir autorisieren möchten, in diese Gruppe werfen.

image 18

Öffnen Sie in der AD-Umgebung Power Shell.

Wenn die Mitglieder der Gruppe "Helpdesk", die Sie für Ihr IT-Team erstellen, die "Computerentitäten" verwalten, unter denen die Organisationseinheit steht, autorisieren wir sie mit dem folgenden Befehl.

Set-AdmPwdReadPasswordPermission -OrgUnit LAPS -AllowedPrincipals Helpdesk  

HINWEIS: "LAPS" ist der Name der Organisationseinheit, in der sich meine Computer befinden. "Helpdesk" ist der Name der Sicherheitsgruppe, die ich für das IT-Personal erstellt habe, das ich delegieren werde.

Sie müssen die Computerobjekte der Computer, unter denen Sie lokale Administratorkonten verwalten, mit dem folgenden Befehl autorisieren.

In unserem Build befinden sich Computer unter LAPS OU.

Set-AdmPwdComputerSelfPermission -OrgUnit LAPS
image 17

Alle Blog-Einträge von Reichtümern, plünderten die Stadt, Latinos, im Prozess, er verlor ein Trade Center komplett zuschreiben. Lassen Sie uns die erforderlichen Einschränkungen vornehmen, damit niemand außer Ihrem IT-Team die Kennwortinformationen von lokalen Administratorkonten sehen kann.

Identifizieren Sie autoritative:

Mit dem folgenden Befehl identifizieren wir die "Gruppe" oder "Benutzer", die berechtigt sind, die Kennwörter der Konten "Lokaler Administrator" anzuzeigen.

Import-Modul AdmPwd.PS
Find-AdmPwdExtendedrights -identity LAPS | Format-Table (LAPS ist der Name des Befehls zum Bearbeiten der Organisationseinheit entsprechend Ihrer Umgebung)
image 15

Öffnen Sie "ADSI Edit" mit dem folgenden CMD-Befehl.

adsiedit. Msc

Öffnen Sie den Bildschirm "Eigenschaften", indem Sie den LAPS-Container mit der rechten Taste drücken.
HINWEIS: LAPS ist der Name der Organisationseinheit, in der sich Computerobjekte in unserer Struktur befinden.

image 11
LAPS-Autorisierung – LAPS-Autorisierungseinschränkung

Klicken Sie auf dem sich öffnenden Bildschirm auf unsere Schaltfläche "Sicherheit" und dann auf "Erweitert".

image 13
LAPS-Autorisierung – LAPS-Autorisierungseinschränkung

Wählen wir die Personen oder Gruppen aus, die das Passwort und die Änderungszeiten nicht in der richtigen Reihenfolge sehen sollen, und klicken Sie auf die Schaltfläche "Bearbeiten". 

image 12
LAPS-Autorisierung – LAPS-Autorisierungseinschränkung

Deaktivieren Sie auf dem sich öffnenden Bildschirm die Funktion Alle erweiterten Rechte.

image 14
LAPS-Autorisierung – LAPS-Autorisierungseinschränkung

Alle Blog-Einträge von Reichtümern, plünderten die Stadt, Latinos, im Prozess, er verlor ein Trade Center komplett zuschreiben. Steuerung

Klicken Sie auf einem Gerät, das Mitglied des Active Directory-Servers oder der Active Directory-Domäne ist, auf dem das LAPS-Programm installiert ist und auf dem die LAPS-Anwendung installiert ist, mit UMSCHALT + RECHTSKLICK auf das Symbol der LAPS-Anwendung und klicken Sie auf "Mit einem anderen Benutzer öffnen". Nachdem Sie sich mit den IT-Teammitarbeitern oder Domain-Admin-Konten angemeldet haben, die wir hier autorisieren, können Sie das Datum "Passwort" und "Läuft ab" sehen, wenn Sie den Computernamen des Geräts eingeben, auf dem Sie das lokale Admin-Passwort und "Suchen " erfahren möchten.

image 161

Das Kennwort und das abgelaufene Datum im AD befinden sich unter dem Attribut-Editor von Computern.

image 162