Local Administrator Password Solution (LAPS) Kurulumu

Local Administrator Password Solution (LAPS) kurulumuna başlamadan önce LAPS’ın ne olduğunu kısaca açıklamak yerinde olacaktır.

Domain ortamında her bir makine için mevcut bulunan Local Administrator hesaplarının yönetimi yüksek risk içeren konulardan birisidir. Fakat genellikle Teknik Destek ekibinin işinin kolaylaştırılması adına Administrator hesabının parolası sabit bir parola olarak tanımlanır. Bu durum ise Administrator hesaplarının güvenliği için uygun değildir.

LAPS, domain ortamındaki her makine için ayrı bir parola olmak üzere Administrator hesaplarına rastgele parolalar tanımlanır ve bu parolalar belirlenen kurallar dahilinde değiştirilir. Tanımlanan parolalar ise sadece belirlenen kullanıcılar tarafından görülebilir.

Kurulum aşamasında aşağıdaki adımlar izlenir :

LAPS’ın Yönetim Sunucusuna Kurulumu
Active Directory Şeması’nın Genişletilmesi
Active Directory’de Gerekli İzinlerin Tanımlanması
LAPS Kuralları İçin Group Policy Tanımlanması
LAPS’ın Yönetilecek Makinelere Kurulumu

LAPS kurulum dosyaları aşağıdaki linkten indirilebilir:

https://www.microsoft.com/en-us/download/details.aspx?id=46899

LAPS’ın Yönetim Sunucusuna Kurulumu

İlgili linkten tüm dosyalar indirilip LAPS.x64.msi dosyası çalıştırılarak kurulum işlemi başlatılır.

Dosya çalıştırıldığında kurulum sihirbazı bizi karşılar. Next ile devam edilir.

End-User License Agreement bölümünde son kullanıcı lisans sözleşmesi kabul edilir ve Next ile devam edilir.

Custom Setup bölümünde yalnızca Management Tools ve altındaki bileşenler seçilir ve Next ile devam edilir.

Install ile kurulum başlatılır.

Finish ile kurulum bitirilir.

Kurulum sonrasında yönetim sunucusunda C:\Program Files\LAPS klasörünün içeriği aşağıdaki gibi olmalıdır.

Active Directory Şeması’nın Genişletilmesi

Active Directory şemasında gerekli LAPS attributelerinin eklenebilmesi için Active Directory şemasının genişletilmesi gerekmektedir. Bu genişletme işlemi için PowerShell yönetici haklarıyla çalıştırılır ve aşağıdaki komutlar sırayla çalıştırılır.

Import-Module AdmPwd.PS
Update-AdmPwdADSchema

Böylece Active Directory şeması LAPS attributeleri için genişletilmiş olur.

Active Directory’de Gerekli İzinlerin Tanımlanması

Active Directory üzerindeki bilgisayarlara eklenen LAPS özelliklerini kullanabilmeleri için yetkilendirme gereklidir. Bu yetkilendirme işlemi için PowerShell yönetici haklarıyla çalıştırılır ve aşağıdaki komut çalıştırılır.

Set-AdmPwdComputerSelfPermission -OrgUnit "OU-Adı"

Komutta belirtilen “OU-Adı” LAPS kurallarının uygulanacağı makinelerin bulunduğu OU’nun adıdır. Örnekte “OU=COMPUTERS,OU=IT,OU=EMRES,DC=emres,DC=com” olarak tanımlanmıştır.

Domain ortamında Domain Administrator’lar dışında parola bilgilerini görme ve değiştirme yetkilerine sahip bir grup (Örneğin Teknik Destek kullanıcıları) tanımlanacaksa bu gruba da LAPS özelliklerini kullanabilmeleri için yetkilendirme gereklidir.

Parolaları görüntüleme yetkilendirmesi için aşağıdaki komut çalıştırılır.

Set-AdmPwdReadPasswordPermission -OrgUnit "OU-Adı" -AllowedPrincipals "LAPS-Grubu"

Komutta belirtilen “OU-Adı” LAPS kurallarının uygulanacağı makinelerin bulunduğu OU’nun adıdır. Örnekte “OU=COMPUTERS,OU=IT,OU=EMRES,DC=emres,DC=com” olarak tanımlanmıştır.

Komutta belirtilen “LAPS-Grubu” LAPS üzerinde parolaları görüntüleyebilecek kullanıcıların üyesi olduğu grubun adıdır. Örnekte “LAPS-Group” olarak tanımlanmıştır.

Parolaları değiştirme yetkilendirmesi için aşağıdaki komut çalıştırılır.

Set-AdmPwdResetPasswordPermission -OrgUnit "OU-Adı" -AllowedPrincipals "LAPS-Grubu"

Komutta belirtilen “OU-Adı” LAPS kurallarının uygulanacağı makinelerin bulunduğu OU’nun adıdır. Örnekte “OU=COMPUTERS,OU=IT,OU=EMRES,DC=emres,DC=com” olarak tanımlanmıştır.

Komutta belirtilen “LAPS-Grubu” LAPS üzerinde parolaları değiştirebilecek kullanıcıların üyesi olduğu grubun adıdır. Örnekte “LAPS-Group” olarak tanımlanmıştır.

Böylece Active Directory’de gerekli yetkilendirme işlemleri tamamlanmış olur.

LAPS Kuralları İçin Group Policy Tanımlanması

LAPS kullanılarak Local Administrator hesabının parolasının karakter sayısı ve parola süresi kurallarının tanımlanması için yeni bir group policy oluşturulur. Örnekte policy adı “Local_Administrator_Password _Policy” olarak belirlenmiştir.

Oluşturulan policy LAPS kurallarının tanımlanması için düzenlenir. Düzenleme aşamasında Computer Configuration -> Policies -> Administrative Templates altında LAPS isimli yeni bir bölümün eklendiği görülmektedir.

Bu bölümde LAPS ile uygulanabilecek dört adet kural vardır.

Password Settings (Zorunlu)
Enable local admin password management (Zorunlu)
Name of administrator account to manage (Tercihen)
Do not allow password expiration time longer than required by policy (Tercihen)

Password Settings : Bu seçenekte parola karmaşıklığı, parola uzunluğu ve parola süresi belirlenir. Örnekte parolalar büyük harf, küçük harf, rakam ve semboller içeren, 30 karakterden oluşan ve her 5 günde bir değiştirilecek şekilde tanımlanmıştır.

Enable local admin password management : Bu seçenek parolanın LAPS tarafından değiştirilebilmesine olanak sağlar.

Name of administrator account to manage : Bu seçenek hesap adının Administrator’dan farklı bir isim olması durumunda parolası değiştirilecek yerel hesap adının belirlenmesi için kullanılır. Mevcut durumda Administrator hesabının sadece adı değiştirilmişse sistem bu hesabı SID numarasından algılamaktadır. Yani sadece Administrator hesabının adı değiştirilmiş bile olsa bu seçeneğin kullanılmasına gerek yoktur.

Do not allow password expiration time longer than required by policy : Bu seçenek parolanın geçerliliğini kaybetme süresinin policy tarafından belirlenmiş kuraldan daha uzun olmasını engeller.

Düzenlenen bu policy LAPS uygulanacak makinelerin bulunduğu OU’ya bağlanır.

Böylece LAPS dağıtımı için group policy oluşturulmuş olur.

LAPS’ın Yönetilecek Makinelere Kurulumu

İlgili linkten tüm dosyalar indirildikten sonra LAPS.x64.msi dosyası çalıştırılarak kurulum işlemi başlatılır.