Site Overlay

LAPS Kurulumu ve Yapılandırma

Domain ortamınızda bulunan “Client” ve “Sunucularınızın” local admin hesaplarının parolasını merkezi olarak manuel veya otomatik olarak değiştirebileceğiniz Microsoft LAPS uygulamasını aşağıdaki bağlantıyı kullanarak ortamınıza kurabilirsiniz.

1. LAPS İndirme ve Yükleme

Download Local Administrator Password Solution (LAPS) from Official Microsoft Download Center

image 2
Local Administrator Password Solution LAPS Kurulumu ve yapılandırma

2. LAPS Uygulamasının GPO ile Client cihazlarına Dağıtılması

DC üzerinde uygulamanın kurulumunu yaptıktan sonra, uygulamayı şifresini değiştireceğimiz bilgisayarlara da dağıtmamız gerekmektedir. Bu sebepten dolayı ilk olarak backup işlemleri için kullanmakta olduğumuz sunucuda Apps adında bir paylaşım açıyoruz ve kurulum dosyasını buraya kopyalıyoruz.

image 147

Uygulamanın bilgisayarlara kurulum işlemini istenilirse tek tek de yapılabilir, ancak büyük yapılarda bu çok büyük bir vakit kaybı olacaktır, biz uygulamamızı Group Policy Management üzerinden bilgisayarlarımıza dağıtarak yükleyeceğiz. Yapıda bilgisayarlarımız Organizasyonlar OU’su altında yer aldığı için GPO’muzu bu OU altında oluşturuyoruz. New GPO seçerek, LAPS adında yeni bir politika oluşturuyoruz.

image 148

Sonrasında Computer Configiration/Software Settings/Software İnstallation üzerine gelerek, New/Package üzerinden işlemlerimize devam ediyoruz.

image 149

Burada bizden kurulum dosyasını göstermemizi istemektedir. Dosyamızı göstererek devam ediyoruz.

image 150

Kurulumun nasıl gerçekleşeceği ile ilgili gelen ekranda Assigned seçerek devam ediyoruz.

image 151

Politikamız başarılı bir şekilde oluşturulmuş oldu.

image 152

Şimdi bilgisayarlarımızdan birisine gelerek gpupdate/force komutu ile politikayı aldırıyoruz ve daha sonrasında makinamızı restart ediyoruz. Makinamız açıldıktan sonra kontrol ettiğimizde LAPS uygulamasının başarılı bir şekilde kurulumunun tamamlandığını görebiliyoruz.

image 153
image 154

3. Group Policy Ayarları

Bu işlemlerden sonra LAPS için AD üzerinde bir GPO hazırlayacağız. Group Policy Management ekranına gelerek, Organizasyonlar OU’su altında LAPS isimli bir politika oluşturuyoruz. Politikamızı oluşturduktan sonra edit diyerek, Computer Configiration/Administrative Templates/LAPS altına geliyoruz. Burada Enable local admin password management seçeneğine tıklıyoruz.

image 157

Gelen ekranda politikamızı Enabled yapıyoruz ve Ok diyoruz.

image 158

Daha sonrasında Password Settings alanına gelip, bu ayarıda Enabled yaptıktan sonra, şifre politikasını belirliyoruz.

image 159

İşlemlerden tamamlandıktan sonra kontrol etmek için, bir bilgisayara login olarak gpupdate/force komutu ile politikayı alıyoruz.

image 160

Makalede yayınlanan görsel ve açıklamalar için teşekkür ederiz.

Local Administrator Password Solution (LAPS) Yapılandırma ve Dağıtma – Azure – Cyber Security (volkandemirci.org)

4. PowerShell yapılanması Şema Genişletme

Active Directory sunucunuzda “PowerShell” açın.

Import-module AdmPwd.PS
Update-AdmPwdADSchema
image 7
LAPS Kurulumu ve Yapılandırma

5. Local Admin parolalarını yönetmek için IT ekibinizi yetkilendirme adımları.

Active Directory üzerinde “Helpdesk” adında “Security Group” oluşturalım. yetki vermek istediğimiz IT personellerini bu gurubun içine atalım.

image 18

AD ortamında Power Shell açın.

IT ekibiniz için oluşturduğunuz “Helpdesk” grubu üyeleri hangi OU altında bulunan “Computer objelerini” yönetecekse aşağıdaki komut ile yetki verelim.

Set-AdmPwdReadPasswordPermission -OrgUnit LAPS -AllowedPrincipals Helpdesk  

Not: "LAPS" bilgisayarlarımın bulunduğu OU adıdır. "Helpdesk" yetki vereceğim IT personeli için oluşturduğum security grubun adıdır.

Local Admin hesaplarını yöneteceğiniz bilgisayarların Computer Objeleri hangi OU altında ise o OU’lara aşağıdaki komut ile yetki vermeniz gerekmektedir.

Bizim yapımızda bilgisayarlar LAPS OU altında.

Set-AdmPwdComputerSelfPermission -OrgUnit LAPS
image 17

6. Local Admin hesaplarının parola bilgilerini IT ekibiniz dışında kimsenin görmemesi için gereken kısıtlamaları yapalım.

Yetkili olanları tespit etme:

Aşağıdaki komut ile “Local Admin” hesaplarının parolalarını görüntüleme yetkisi olan “grup” veya “kullanıcıları” tespit edelim.

Import-module AdmPwd.PS
Find-AdmPwdExtendedrights -identity LAPS | Format-Table  (LAPS OU adıdır kendi ortamınıza göre komutu düzenleyin)
image 15

Aşağıda ki CMD komutu ile “ADSI Edit” açın.

adsiedit. msc

LAPS konteynerine sağ tuş ile basarak “Properties” ekranını açın.
NOT: LAPS bizim yapımızda Computer Objelerinin bulunduğu OU adıdır.

image 11
LAPS Yetkilendirmesi – LAPS Yetki Kısıtlama

Açılan ekranda önce “Security” ardından “Advanced” butonumuza tıklayın.

image 13
LAPS Yetkilendirmesi – LAPS Yetki Kısıtlama

Parola ve Değişim Sürelerini görmeyecek olan kişi veya grupları sırası ile seçip “Edit butonuna tıklayalım.

image 12
LAPS Yetkilendirmesi – LAPS Yetki Kısıtlama

Açılan ekranda All extended rights özelliğinin seçme işaretini kaldıralım.

image 14
LAPS Yetkilendirmesi – LAPS Yetki Kısıtlama

6. Kontrol

LAPS programının kurulu olduğu Active Directory sunucuna veya domaine üye olan ve LAPS uygulaması kurulu olan bir cihazda LAPS uygulamasının simgesine SHIFT + SAĞ klik ile tıklayıp “Farklı bir Kullanıcı ile aç” seçeneğini tıklayalım. Buraya yetki verdiğimiz IT ekibi personeli veya domain admin hesapları ile giriş yaptıktan sonra local admin şifresini öğrenmek istediğiniz cihazın Bilgisayar adını girip “Search” etmeniz durumunda “Password” ve “Expires” tarihini görebileceksiniz.

image 161

AD üzerinde şifre ve expired tarihi Bilgisayarların attribute editör altında yer almaktadır.

image 162