1. Ana Sayfa
  2. Server 2019
  3. Server 2019 Üzerinde Microsoft LAPS (Local Admin Password Solutions ) Deployment and Configuration

Server 2019 Üzerinde Microsoft LAPS (Local Admin Password Solutions ) Deployment and Configuration

laps2

Birçok IT Yöneticisi ilk sunucu ve kurulum aşamasında kolay ve hızlı ilerlemek için oluşturulan hazır template veya imaj üzerinden tüm sunucuların veya kullanıcı bilgisayarlarının local admin şifrelerini aynı olarak kullanır. Bir GPO yardımı ile ya Local Admin Hesaplarını disable duruma getirir veya farklı bir isimde Local Admin hesabı oluşturarak Local Administrators grubuna üye yapar. Yapılan sızma testlerinde hesapların password never expire durumları dikkate alınır ve böyle bir durum pekte doğru bulunmaz. Belli aralıklarla da olsa bu tür passwordlerin değiştirilmesi gerekmektedir. Bu konuda Microsoft un ücretsiz kullanıma sunduğu LAPS (Local Admin Password Solutions ) ‘ ı kullanabilirsiniz.

Öncelikle dosyayı Microsoft sayfasından indiriyoruz.

Local admin Passwordlerini yöneteceğimiz tüm makinelere kurulumumuzu gerçekleştiriyoruz. Kurulumumuzu bir GPO yardımı ile gerçekleştirebiliriz.

msiexec /i \\Server\Share\laps.x64.msi /quiet

Veya

msiexec /i c:\laps.x64.msi /quiet

Download Linkine tıklıyoruz.

Resim-1

İşletim sistemimizin 32 veya 64 sürümüne uygun olan paketi seçip indiriyoruz.


Resim-2

İndirdiğimiz dosyanın kurulumuna başlıyoruz ve next ile ilerliyoruz.

Resim-3

Lisans sözleşmesini kabul edip ilerliyoruz.

Resim-4

Tüm seçenekleri seçerek ilerliyoruz.

Resim-5

Install seçeneği ile programımızın kurulumunu gerçekleştiriyoruz.

Resim-6

Kurulumumuz bittikten sonra AD tarafından Shemamıza iki özellik eklemek için aşağıdaki komutları sırası ile giriyoruz.

Import-module AdmPwd.PS

Update-AdmPwdADSchema

Resim-7

Hangi OU içinde bulunan istemcilerin şifre işlemleri için aşağıdaki komut ile yetki veriyoruz.

Set-AdmPwdComputerSelfPermission -OrgUnit MSHOWTO

Resim-8

Oluşturduğumuz bir grup veya kullanıcıya şifreleri görebilmesi için aşağıdaki komut ile izin veriyoruz. Ben PasswordShow adından bir grup oluşturdum ve bu gruba izin veriyorum.

Set-AdmPwdReadPasswordPermissions -Orgunit MSHOWTO -AllowedPrinciples PasswordShow

Resim-9

Eğer ilgili kullanıcı veya gruba password resetleme yetkisi vermek istersek aşağıdaki komut setini kullanıyoruz.

Set-AdmPwdResetPasswordPermission –OrgUnit MSHOWTO -AllowdPrincipals PasswordShow

Resim-10

Aşağıdaki komut ile bu OU üzerinde kimlerin yetki olduğunu görebilmekteyiz.

Find-AdmPwdExtendedRights -Identity MSHOWTO | fl

Resim-11

Active Directory Group Policy Management ‘ ı açıyoruz. MSHOWTO OU ‘ su üzerinde yeni bir policy oluşturuyoruz.

Resim-12

Oluşturduğumuz gpo’ya bir isim verip editliyoruz. Oluşturduğumuz GPO server ve clientlerın bulunduğu OU ‘ nun üstüne linklememiz gerekiyor.

Resim-13

Computer Configuration > Policies > Administrative Templates > LAPS üzerine geliyoruz.

Resim-14

Password Setting sekmesini enable yapıyoruz. Burada uygulanacak password politikamızı belirliyoruz. Default olarak 14 karakter, kompleks ve 30 günde bir değiştirme seçeneği geliyor . Ben default ayarlarda bıraktım .

Resim-15

Passwordleri yöneteceğimiz hesapların isimlerini bu alana giriyoruz.

Resim-16

Password yönetimini aktif etmek için bu ayarımızı enable duruma getiriyoruz.

Resim-17

Daha sonra uyguladığımız policy ve LAPS setup ‘ ını yükleme yaptığımız bir client makinanın özelliklerine AD üzerinden baktığımızda Password ‘ ü ve Expire zamanını görebiliyoruz.

Resim-18

Gui ekranından password ‘ ü ve expire zamanımızı görebiliyoruz. Ayrıca Password’ü daha önceki veya ileriki bir tarihte değiştirilmesini sağlayabiliyoruz.

Resim-19

Bu şekilde tüm client ve server makinalarımızın Local Admin passwordlerini yönetebilir hale geldik.

 

Bu konuyla ilgili sorularınızı http://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

www.mshowto.org

TAGs:  ,, nedir,,,

Yorum Yap

Yazar Hakkında

Hatay-Reyhanlı doğumluyum. İlk ve Orta öğrenimimi Malatya Zafer İlkokulu, Lise eğitimimi Denizli Anadolu Teknik Lisesi Elektrik bölümünde okudum. Üniversite eğitimimi Trakya Üniversitesi Bilgisayar Programcılığı bölümünde tamamladım. Hizmet verdiği sektörler de lider olan Türkiye’nin öncü kurumlarında, Danışman – Kıdemli Uzman – Sistem Yöneticisi – Sistem & Network Yöneticisi gibi pozisyonlarında görev aldım. Teknik uzmanlık alanlarım Microsoft (MCT – MCSE – MCSA – MCSA + S + M , MCSE + S + M),Veeam (VMCE), Cisco (CCNA), HPE, DellEMC ürün aileleridir. Microsoft ürünlerinden , Active Directory, Exchange Server, Skype for Business , FailOver Cluster ve IIS, ile ilgili planlama, kurulum ve yaygınlaştırma projelerini yürüttüm. Sanallaştırma ve yedeklilik katmanın da VMware, ve Veeam ürünlerini kullandım. Data Center projeleri kapsamında Hyper Converged (Hiper Bütünleşik) ve Traditional (Geleneksel) mimariler ile çalışabilme imkanım oldu. Manage Engine ServiceDesk Plus, AD Manager , AD Self Service , AD Audit ürünlerini kullandım. BELBiM Elektronik Para ve Ödeme Hizmetleri A.Ş. ‘de Microsoft Sistemleri Takım Lideri olarak görev yapmaktayım.

Yorum Yap