Site Overlay

LAPS Kurulumu ve Yapılandırma

Domain ortamınızda bulunan “Client” ve “Sunucularınızın” local admin hesaplarının parolasını merkezi olarak manuel veya otomatik olarak değiştirebileceğiniz Microsoft LAPS uygulamasını aşağıdaki bağlantıyı kullanarak ortamınıza kurabilirsiniz.

1. LAPS İndirme ve Yükleme

Download Local Administrator Password Solution (LAPS) from Official Microsoft Download Center

Local Administrator Password Solution LAPS Kurulumu ve yapılandırma

2. LAPS Uygulamasının GPO ile Client cihazlarına Dağıtılması

DC üzerinde uygulamanın kurulumunu yaptıktan sonra, uygulamayı şifresini değiştireceğimiz bilgisayarlara da dağıtmamız gerekmektedir. Bu sebepten dolayı ilk olarak backup işlemleri için kullanmakta olduğumuz sunucuda Apps adında bir paylaşım açıyoruz ve kurulum dosyasını buraya kopyalıyoruz.

Uygulamanın bilgisayarlara kurulum işlemini istenilirse tek tek de yapılabilir, ancak büyük yapılarda bu çok büyük bir vakit kaybı olacaktır, biz uygulamamızı Group Policy Management üzerinden bilgisayarlarımıza dağıtarak yükleyeceğiz. Yapıda bilgisayarlarımız Organizasyonlar OU’su altında yer aldığı için GPO’muzu bu OU altında oluşturuyoruz. New GPO seçerek, LAPS adında yeni bir politika oluşturuyoruz.

Sonrasında Computer Configiration/Software Settings/Software İnstallation üzerine gelerek, New/Package üzerinden işlemlerimize devam ediyoruz.

Burada bizden kurulum dosyasını göstermemizi istemektedir. Dosyamızı göstererek devam ediyoruz.

Kurulumun nasıl gerçekleşeceği ile ilgili gelen ekranda Assigned seçerek devam ediyoruz.

Politikamız başarılı bir şekilde oluşturulmuş oldu.

Şimdi bilgisayarlarımızdan birisine gelerek gpupdate/force komutu ile politikayı aldırıyoruz ve daha sonrasında makinamızı restart ediyoruz. Makinamız açıldıktan sonra kontrol ettiğimizde LAPS uygulamasının başarılı bir şekilde kurulumunun tamamlandığını görebiliyoruz.

3. Group Policy Ayarları

Bu işlemlerden sonra LAPS için AD üzerinde bir GPO hazırlayacağız. Group Policy Management ekranına gelerek, Organizasyonlar OU’su altında LAPS isimli bir politika oluşturuyoruz. Politikamızı oluşturduktan sonra edit diyerek, Computer Configiration/Administrative Templates/LAPS altına geliyoruz. Burada Enable local admin password management seçeneğine tıklıyoruz.

Gelen ekranda politikamızı Enabled yapıyoruz ve Ok diyoruz.

Daha sonrasında Password Settings alanına gelip, bu ayarıda Enabled yaptıktan sonra, şifre politikasını belirliyoruz.

İşlemlerden tamamlandıktan sonra kontrol etmek için, bir bilgisayara login olarak gpupdate/force komutu ile politikayı alıyoruz.

Makalede yayınlanan görsel ve açıklamalar için teşekkür ederiz.

Local Administrator Password Solution (LAPS) Yapılandırma ve Dağıtma – Azure – Cyber Security (volkandemirci.org)

4. PowerShell yapılanması Şema Genişletme

Active Directory sunucunuzda “PowerShell” açın.

Import-module AdmPwd.PS
Update-AdmPwdADSchema
LAPS Kurulumu ve Yapılandırma

5. Local Admin parolalarını yönetmek için IT ekibinizi yetkilendirme adımları.

Active Directory üzerinde “Helpdesk” adında “Security Group” oluşturalım. yetki vermek istediğimiz IT personellerini bu gurubun içine atalım.

AD ortamında Power Shell açın.

IT ekibiniz için oluşturduğunuz “Helpdesk” grubu üyeleri hangi OU altında bulunan “Computer objelerini” yönetecekse aşağıdaki komut ile yetki verelim.

Set-AdmPwdReadPasswordPermission -OrgUnit LAPS -AllowedPrincipals Helpdesk  

Not: "LAPS" bilgisayarlarımın bulunduğu OU adıdır. "Helpdesk" yetki vereceğim IT personeli için oluşturduğum security grubun adıdır.

Local Admin hesaplarını yöneteceğiniz bilgisayarların Computer Objeleri hangi OU altında ise o OU’lara aşağıdaki komut ile yetki vermeniz gerekmektedir.

Bizim yapımızda bilgisayarlar LAPS OU altında.

Set-AdmPwdComputerSelfPermission -OrgUnit LAPS

6. Local Admin hesaplarının parola bilgilerini IT ekibiniz dışında kimsenin görmemesi için gereken kısıtlamaları yapalım.

Yetkili olanları tespit etme:

Aşağıdaki komut ile “Local Admin” hesaplarının parolalarını görüntüleme yetkisi olan “grup” veya “kullanıcıları” tespit edelim.

Import-module AdmPwd.PS
Find-AdmPwdExtendedrights -identity LAPS | Format-Table  (LAPS OU adıdır kendi ortamınıza göre komutu düzenleyin)

Aşağıda ki CMD komutu ile “ADSI Edit” açın.

adsiedit. msc

LAPS konteynerine sağ tuş ile basarak “Properties” ekranını açın.
NOT: LAPS bizim yapımızda Computer Objelerinin bulunduğu OU adıdır.

LAPS Yetkilendirmesi – LAPS Yetki Kısıtlama

Açılan ekranda önce “Security” ardından “Advanced” butonumuza tıklayın.

LAPS Yetkilendirmesi – LAPS Yetki Kısıtlama

Parola ve Değişim Sürelerini görmeyecek olan kişi veya grupları sırası ile seçip “Edit butonuna tıklayalım.

LAPS Yetkilendirmesi – LAPS Yetki Kısıtlama

Açılan ekranda All extended rights özelliğinin seçme işaretini kaldıralım.

LAPS Yetkilendirmesi – LAPS Yetki Kısıtlama

6. Kontrol

LAPS programının kurulu olduğu Active Directory sunucuna veya domaine üye olan ve LAPS uygulaması kurulu olan bir cihazda LAPS uygulamasının simgesine SHIFT + SAĞ klik ile tıklayıp “Farklı bir Kullanıcı ile aç” seçeneğini tıklayalım. Buraya yetki verdiğimiz IT ekibi personeli veya domain admin hesapları ile giriş yaptıktan sonra local admin şifresini öğrenmek istediğiniz cihazın Bilgisayar adını girip “Search” etmeniz durumunda “Password” ve “Expires” tarihini görebileceksiniz.

AD üzerinde şifre ve expired tarihi Bilgisayarların attribute editör altında yer almaktadır.