È possibile installare l'applicazione Microsoft LAPS nell'ambiente, in cui è possibile modificare manualmente o automaticamente la password degli account di amministratore locali di "Client" e "Server" nell'ambiente di dominio, utilizzando il collegamento riportato di seguito.
1. Download e installazione di LAPS
Download: LaPS (Local Administrator Password Solution) dal Download Center Microsoft ufficiale
2. Distribuzione dell'applicazione LAPS ai dispositivi client con GPO
Dopo aver installato l'applicazione sul controller di dominio, dobbiamo anche distribuire l'applicazione ai computer di cui cambieremo la password. Per questo motivo, apriamo prima una condivisione chiamata App sul server che stiamo utilizzando per le operazioni di backup e copiamo il file di installazione qui.
L'installazione dell'applicazione sui computer può essere eseguita individualmente se lo si desidera, ma in strutture di grandi dimensioni questo sarà un enorme spreco di tempo, distribuiremo e installeremo la nostra applicazione sui nostri computer tramite Gestione Criteri di gruppo. Poiché i computer si trovano nell'unità organizzativa Organizzazioni nella struttura, creiamo l'oggetto Criteri di gruppo in questa unità organizzativa. Selezionando un nuovo oggetto Criteri di gruppo, creiamo un nuovo criterio denominato LAPS.
Quindi procediamo a Configurazione computer / Impostazioni software / Installazione software, Nuovo / Pacchetto.
Qui ci chiede di mostrare il file di installazione. Continuiamo mostrando il nostro file.
Continuiamo selezionando Assegnato nella schermata che viene visualizzata su come avverrà l'installazione.
La nostra politica è stata stabilita con successo.
Ora arriviamo a uno dei nostri computer e otteniamo la politica con il comando gpupdate / force e quindi riavviamo la nostra macchina. Quando controlliamo dopo che la nostra macchina è accesa, possiamo vedere che l'installazione corretta dell'applicazione LAPS è stata completata.
3. Impostazioni di Criteri di gruppo
Dopo queste operazioni, prepareremo un oggetto Criteri di gruppo in AD per LAPS. Venendo alla schermata Gestione Criteri di gruppo, creiamo un criterio denominato LAPS nell'unità organizzativa Organizzazioni. Dopo aver creato la nostra politica, arriviamo a Configurazione computer / Modelli amministrativi / LAPS dicendo modifica. Qui facciamo clic su Abilita gestione password amministratore locale.
Nella schermata che viene visualizzata, rendiamo abilitata la nostra politica e diciamo Ok.
Quindi arriviamo all'area Impostazioni password e impostiamo questa impostazione su Abilitato, quindi impostiamo il criterio password.
Per verificare dopo il completamento delle operazioni, prendiamo la policy con il comando gpupdate/force come login ad un computer.
Grazie per le immagini e le descrizioni pubblicate nell'articolo.
4. Espansione dello schema di strutturazione di PowerShell
Aprire "PowerShell" sul server Active Directory.
AdmPwd.PS del modulo di importazioneUpdate-AdmPwdADSchema
5. Passaggi per autorizzare il team IT a gestire le password degli amministratori locali.
Creiamo un "Gruppo di sicurezza" denominato "Helpdesk" in Active Directory. Inseriamo il personale IT che vogliamo autorizzare in questo gruppo.
Nell'ambiente AD aprire Power Shell.
Se i membri del gruppo "Helpdesk" che crei per il tuo team IT gestiranno le "Entità computer" in base alle quali unità organizzativa, autorizziamole con il seguente comando.
Set-AdmPwdReadPasswordPermission -OrgUnit LAPS -AllowedPrincipals Helpdesk
NOTA: "LAPS" è il nome dell'unità organizzativa in cui si trovano i computer. "Helpdesk" è il nome del gruppo di sicurezza che ho creato per il personale IT che delegherò.È necessario autorizzare gli oggetti computer dei computer in base ai quali si gestiranno gli account di amministrazione locale con il seguente comando.
Nella nostra build, i computer sono sotto LAPS OU.
Set-AdmPwdComputerSelfPermission -OrgUnit LAPS
6. Applichiamo le restrizioni necessarie in modo che nessuno, tranne il team IT, possa visualizzare le informazioni sulla password degli account amministratore locale.
Identifica quelli autorevoli:
Con il seguente comando, identifichiamo il "gruppo" o gli "utenti" autorizzati a visualizzare le password degli account "Local Admin".
AdmPwd.PS del modulo di importazioneFind-AdmPwdExtendedrights -identity LAPS | Format-Table (LAPS è il nome del comando di modifica dell'unità organizzativa in base all'ambiente)
Apri "ADSI Edit" con il comando CMD qui sotto.
adsiedit. MscAprire la schermata "Proprietà" premendo il contenitore LAPS con il tasto destro.
NOTA: LAPS è il nome dell'unità organizzativa in cui si trovano gli oggetti del computer nella nostra struttura.
Nella schermata che si apre, fai clic sul nostro pulsante "Sicurezza" e quindi su "Avanzate".
Selezioniamo le persone o i gruppi che non vedranno la password e cambia ora in ordine e facciamo clic sul pulsante " Modifica".
Nella schermata che si apre, deselezioniamo la funzione Tutti i diritti estesi.
6. Controllo
Su un dispositivo che è un membro del server Active Directory o del dominio in cui è installato il programma LAPS e ha installato l'applicazione LAPS, fare clic sull'icona dell'applicazione LAPS con MAIUSC + clic DESTRO e fare clic su "Apri con un altro utente". Dopo aver effettuato l'accesso con lo staff del team IT o gli account di amministratore di dominio che autorizziamo qui, sarai in grado di vedere la data "Password" e "Scadenza" se inserisci il nome del computer del dispositivo in cui desideri apprendere la password dell'amministratore locale e "Cerca ".
La password e la data di scadenza sull'AD si trovano sotto l'editor di attributi dei computer.
