Domain ortamınızda bulunan “Client” ve “Sunucularınızın” local admin hesaplarının parolasını merkezi olarak manuel veya otomatik olarak değiştirebileceğiniz Microsoft LAPS uygulamasını aşağıdaki bağlantıyı kullanarak ortamınıza kurabilirsiniz.
1. LAPS İndirme ve Yükleme
Download Local Administrator Password Solution (LAPS) from Official Microsoft Download Center
![LAPS Kurulumu ve Yapılandırma 1 image 2](https://i0.wp.com/arifakyuz.com/wp-content/uploads/2022/06/image-2.png?resize=377%2C296&ssl=1)
2. LAPS Uygulamasının GPO ile Client cihazlarına Dağıtılması
DC üzerinde uygulamanın kurulumunu yaptıktan sonra, uygulamayı şifresini değiştireceğimiz bilgisayarlara da dağıtmamız gerekmektedir. Bu sebepten dolayı ilk olarak backup işlemleri için kullanmakta olduğumuz sunucuda Apps adında bir paylaşım açıyoruz ve kurulum dosyasını buraya kopyalıyoruz.
![LAPS Kurulumu ve Yapılandırma 2 image 147](https://volkandemircidotorg.files.wordpress.com/2020/04/image-147.png?w=945&resize=473%2C281)
Uygulamanın bilgisayarlara kurulum işlemini istenilirse tek tek de yapılabilir, ancak büyük yapılarda bu çok büyük bir vakit kaybı olacaktır, biz uygulamamızı Group Policy Management üzerinden bilgisayarlarımıza dağıtarak yükleyeceğiz. Yapıda bilgisayarlarımız Organizasyonlar OU’su altında yer aldığı için GPO’muzu bu OU altında oluşturuyoruz. New GPO seçerek, LAPS adında yeni bir politika oluşturuyoruz.
![LAPS Kurulumu ve Yapılandırma 3 image 148](https://volkandemircidotorg.files.wordpress.com/2020/04/image-148.png?w=945&resize=473%2C222)
Sonrasında Computer Configiration/Software Settings/Software İnstallation üzerine gelerek, New/Package üzerinden işlemlerimize devam ediyoruz.
![LAPS Kurulumu ve Yapılandırma 4 image 149](https://volkandemircidotorg.files.wordpress.com/2020/04/image-149.png?w=945&resize=473%2C217)
Burada bizden kurulum dosyasını göstermemizi istemektedir. Dosyamızı göstererek devam ediyoruz.
![LAPS Kurulumu ve Yapılandırma 5 image 150](https://volkandemircidotorg.files.wordpress.com/2020/04/image-150.png?w=945&resize=473%2C281)
Kurulumun nasıl gerçekleşeceği ile ilgili gelen ekranda Assigned seçerek devam ediyoruz.
![LAPS Kurulumu ve Yapılandırma 6 image 151](https://volkandemircidotorg.files.wordpress.com/2020/04/image-151.png?w=945&resize=473%2C240)
Politikamız başarılı bir şekilde oluşturulmuş oldu.
![LAPS Kurulumu ve Yapılandırma 7 image 152](https://volkandemircidotorg.files.wordpress.com/2020/04/image-152.png?w=945&resize=473%2C162)
Şimdi bilgisayarlarımızdan birisine gelerek gpupdate/force komutu ile politikayı aldırıyoruz ve daha sonrasında makinamızı restart ediyoruz. Makinamız açıldıktan sonra kontrol ettiğimizde LAPS uygulamasının başarılı bir şekilde kurulumunun tamamlandığını görebiliyoruz.
![LAPS Kurulumu ve Yapılandırma 8 image 153](https://volkandemircidotorg.files.wordpress.com/2020/04/image-153.png?w=945&resize=473%2C96)
![LAPS Kurulumu ve Yapılandırma 9 image 154](https://volkandemircidotorg.files.wordpress.com/2020/04/image-154.png?w=942&resize=471%2C210)
3. Group Policy Ayarları
Bu işlemlerden sonra LAPS için AD üzerinde bir GPO hazırlayacağız. Group Policy Management ekranına gelerek, Organizasyonlar OU’su altında LAPS isimli bir politika oluşturuyoruz. Politikamızı oluşturduktan sonra edit diyerek, Computer Configiration/Administrative Templates/LAPS altına geliyoruz. Burada Enable local admin password management seçeneğine tıklıyoruz.
![LAPS Kurulumu ve Yapılandırma 10 image 157](https://volkandemircidotorg.files.wordpress.com/2020/04/image-157.png?w=1040)
Gelen ekranda politikamızı Enabled yapıyoruz ve Ok diyoruz.
![LAPS Kurulumu ve Yapılandırma 11 image 158](https://volkandemircidotorg.files.wordpress.com/2020/04/image-158.png?w=1040)
Daha sonrasında Password Settings alanına gelip, bu ayarıda Enabled yaptıktan sonra, şifre politikasını belirliyoruz.
![LAPS Kurulumu ve Yapılandırma 12 image 159](https://volkandemircidotorg.files.wordpress.com/2020/04/image-159.png?w=1040)
İşlemlerden tamamlandıktan sonra kontrol etmek için, bir bilgisayara login olarak gpupdate/force komutu ile politikayı alıyoruz.
![LAPS Kurulumu ve Yapılandırma 13 image 160](https://volkandemircidotorg.files.wordpress.com/2020/04/image-160.png?w=1024&resize=511%2C165)
Makalede yayınlanan görsel ve açıklamalar için teşekkür ederiz.
4. PowerShell yapılanması Şema Genişletme
Active Directory sunucunuzda “PowerShell” açın.
Import-module AdmPwd.PS
Update-AdmPwdADSchema
![LAPS Kurulumu ve Yapılandırma 14 image 7](https://i0.wp.com/arifakyuz.com/wp-content/uploads/2022/06/image-7.png?resize=784%2C199&ssl=1)
5. Local Admin parolalarını yönetmek için IT ekibinizi yetkilendirme adımları.
Active Directory üzerinde “Helpdesk” adında “Security Group” oluşturalım. yetki vermek istediğimiz IT personellerini bu gurubun içine atalım.
![LAPS Kurulumu ve Yapılandırma 15 image 18](https://i0.wp.com/arifakyuz.com/wp-content/uploads/2022/06/image-18.png?resize=247%2C214&ssl=1)
AD ortamında Power Shell açın.
IT ekibiniz için oluşturduğunuz “Helpdesk” grubu üyeleri hangi OU altında bulunan “Computer objelerini” yönetecekse aşağıdaki komut ile yetki verelim.
Set-AdmPwdReadPasswordPermission -OrgUnit LAPS -AllowedPrincipals Helpdesk
Not: "LAPS" bilgisayarlarımın bulunduğu OU adıdır. "Helpdesk" yetki vereceğim IT personeli için oluşturduğum security grubun adıdır.
Local Admin hesaplarını yöneteceğiniz bilgisayarların Computer Objeleri hangi OU altında ise o OU’lara aşağıdaki komut ile yetki vermeniz gerekmektedir.
Bizim yapımızda bilgisayarlar LAPS OU altında.
Set-AdmPwdComputerSelfPermission -OrgUnit LAPS
![LAPS Kurulumu ve Yapılandırma 16 image 17](https://i0.wp.com/arifakyuz.com/wp-content/uploads/2022/06/image-17.png?resize=1024%2C114&ssl=1)
6. Local Admin hesaplarının parola bilgilerini IT ekibiniz dışında kimsenin görmemesi için gereken kısıtlamaları yapalım.
Yetkili olanları tespit etme:
Aşağıdaki komut ile “Local Admin” hesaplarının parolalarını görüntüleme yetkisi olan “grup” veya “kullanıcıları” tespit edelim.
Import-module AdmPwd.PS
Find-AdmPwdExtendedrights -identity LAPS | Format-Table (LAPS OU adıdır kendi ortamınıza göre komutu düzenleyin)
![LAPS Kurulumu ve Yapılandırma 17 image 15](https://i0.wp.com/arifakyuz.com/wp-content/uploads/2022/06/image-15.png?resize=537%2C112&ssl=1)
Aşağıda ki CMD komutu ile “ADSI Edit” açın.
adsiedit. msc
LAPS konteynerine sağ tuş ile basarak “Properties” ekranını açın.
NOT: LAPS bizim yapımızda Computer Objelerinin bulunduğu OU adıdır.
![LAPS Kurulumu ve Yapılandırma 18 image 11](https://i0.wp.com/arifakyuz.com/wp-content/uploads/2022/06/image-11.png?resize=1024%2C560&ssl=1)
Açılan ekranda önce “Security” ardından “Advanced” butonumuza tıklayın.
![LAPS Kurulumu ve Yapılandırma 19 image 13](https://i0.wp.com/arifakyuz.com/wp-content/uploads/2022/06/image-13.png?resize=289%2C335&ssl=1)
Parola ve Değişim Sürelerini görmeyecek olan kişi veya grupları sırası ile seçip “Edit“ butonuna tıklayalım.
![LAPS Kurulumu ve Yapılandırma 20 image 12](https://i0.wp.com/arifakyuz.com/wp-content/uploads/2022/06/image-12.png?resize=1024%2C695&ssl=1)
Açılan ekranda All extended rights özelliğinin seçme işaretini kaldıralım.
![LAPS Kurulumu ve Yapılandırma 21 image 14](https://i0.wp.com/arifakyuz.com/wp-content/uploads/2022/06/image-14.png?resize=1024%2C675&ssl=1)
6. Kontrol
LAPS programının kurulu olduğu Active Directory sunucuna veya domaine üye olan ve LAPS uygulaması kurulu olan bir cihazda LAPS uygulamasının simgesine SHIFT + SAĞ klik ile tıklayıp “Farklı bir Kullanıcı ile aç” seçeneğini tıklayalım. Buraya yetki verdiğimiz IT ekibi personeli veya domain admin hesapları ile giriş yaptıktan sonra local admin şifresini öğrenmek istediğiniz cihazın Bilgisayar adını girip “Search” etmeniz durumunda “Password” ve “Expires” tarihini görebileceksiniz.
![LAPS Kurulumu ve Yapılandırma 22 image 161](https://volkandemircidotorg.files.wordpress.com/2020/04/image-161.png?w=945&resize=473%2C258)
AD üzerinde şifre ve expired tarihi Bilgisayarların attribute editör altında yer almaktadır.
![LAPS Kurulumu ve Yapılandırma 23 image 162](https://volkandemircidotorg.files.wordpress.com/2020/04/image-162.png?w=945&resize=473%2C294)