
Implementieren von Windows LAPS
Brunnen, Heute kommen wir mit einem Klassiker, ein großartiges Tool, über das wir im Blog noch nie gesprochen haben, Also, falls jemand sie nicht kennt, Wir werden Windows LAPS implementieren (Lösung für lokale Administratorkennwörter) in unserer Organisation. Was, wie der Name schon sagt, Helfen Sie uns, lokale Administratorkonten auf den Positionen zu verwalten, Mitgliedsserver unserer Organisation und sogar das DSRM-Passwort.
Vielleicht kennen es viele von Ihnen oder haben es zu seiner Zeit installiert, Die Wahrheit ist, dass es sehr nützlich ist, all diese lokalen Administratorkonten zentral zu verwalten, PCs oder Mitgliedsserver. Microsoft integriert es bereits seit einiger Zeit in das eigene Betriebssystem, Sie müssen also nichts separat installieren. Und darum geht es in diesem Beitrag, So aktivieren Sie die neuen Windows LAPS.
Bevor Sie beginnen, Nehmen wir uns einen Moment Zeit, um nachzudenken, Das ist alles sehr gut, aber… Und was passiert, wenn unser AD ausfällt?? und, Wenn es einen weiteren CrowdStrike-Moment gibt? Nun, es kann sein, dass wir keinen Zugang zu einer Maschine haben, Auch nicht mit den lokalen Konten, da wir sie nicht kennen werden, Denken Sie also darüber nach, Vielleicht lassen Sie einige Geräte unverwaltet, etc…
Wenn Ihr Windows auf dem neuesten Stand ist, Möglicherweise haben sie den "April-Patch" bereits installiert 2023 Kumulative Aktualisierung’ (https://support.microsoft.com/help/5025221). Unterstützt Windows Server 2019 und 2022 Mit den Patches der 11 April 2023 sowie in Fenster 10 und 11 Versionen 21H2 und 22H2 mit der 11 April 2023.
Wie wir bereits erwähnt haben, Es wird auch verwendet, um das Kennwort für den Wiederherstellungsmodus für Verzeichnisdienste zu verwalten (DSRM o Wiederherstellungsmodus für Verzeichnisdienste). Um dieses Passwort zu verschlüsseln, benötigen wir eine Funktionsebene im Bereich von 2016 Mindestens. Wenn unsere Distributionszentren 2019 oder 2022 Wir werden in der Lage sein, alle Funktionen von Windows LAPS zu nutzen, und ob unsere DCs 2016 Wir werden in der Lage sein, Passwörter zu verschlüsseln, mit Ausnahme des DSRM.
So aktivieren Sie Windows LAPS, Der erste Schritt wird darin bestehen, das Schema unseres Active Directory zu erweitern, Wir werden von einer PowerShell mit Schemamaster-Berechtigungen ausgeführt:
Update-LapsADSchema -verbose
Wir müssen Windows LAPS für die Organisationseinheiten aktivieren, die die Computerkonten enthalten, die wir verwalten möchten, Ausgeführte:
Set-LAPSADComputerSelfPermission –Identität "OU=...,OU=...."
Und schließlich erstellen wir ein Gruppenrichtlinienobjekt, in dem wir die Einstellungen anwenden, an denen wir für Windows LAPS interessiert sind, seit “Einrichtung der Ausrüstung” > “Politik” > “Administrative Vorlagen” > “System” > “SCHÖßE” Wir werden mehrere Optionen haben. Dieses Gruppenrichtlinienobjekt muss auf die Teamkonten angewendet werden, die wir verwalten möchten.
Das “Passwort-Einstellungen” Wir müssen es ermöglichen und die Komplexität angeben, die wir wollen, sowie die Länge oder das Alter des Passworts, das wir möchten.
In der Richtlinie “Konfigurieren des Sicherungsverzeichnisses” Wir werden als Backup-Verzeichnis angeben, um “Aktives Verzeichnis” um dort Computerpasswörter zu verwalten und zu speichern.
Sobald das Passwort verwendet ist, Wir haben ein GPO, das es uns ermöglicht, eine Aktion durchzuführen, wenn wir interessiert sind, Es heißt “Aktionen nach der Authentifizierung”,
Wenn wir “Aktivieren der Kennwortverschlüsselung” Unser Passwort wird in verschlüsselter Form in das Active Directory übertragen, um dort gespeichert zu werden, Wir brauchen ein funktionales Maß an Beherrschung 2016.
Wenn Sie daran interessiert sind, das Kennwort für den Wiederherstellungsmodus für Verzeichnisdienste zu verwalten (DSRM o Wiederherstellungsmodus für Verzeichnisdienste) Wir werden in der Lage sein, es zu aktivieren, und das Gruppenrichtlinienobjekt muss auf die Domänencontroller angewendet werden.
Standardmäßig ist es nicht erforderlich, den Namen des zu verwaltenden Kontos anzugeben, da Windows LAPS es anhand der Konto-SID ermittelt, wenn wir in unserem Fall einen bestimmten Benutzer haben, den wir verwalten möchten, dann werden wir es anzeigen.
Und wir können auch “Lassen Sie nicht zu, dass die Ablaufzeit des Kennworts länger ist als von der Richtlinie gefordert”.
Wenn wir einer bestimmten Gruppe im Active Directory Berechtigungen zum Lesen von Kennwörtern erteilen möchten, tun wir dies mit:
Set-LapsADReadPasswordPermission -identity "OU=...,OU=...." -AllowedPrincipals "MYDOMAINGruppenname"
Wenn wir die Berechtigung zum Zurücksetzen der Passwörter einer bestimmten Gruppe im Active Directory erteilen möchten, Wir werden es tun mit:
Set-LapsADResetPasswordPermission -identity "OU=...,OU=...." -AllowedPrincipals "MYDOMAINGruppenname" Set-LapsADResetPasswordPermission -identity "OU=...,OU=...." -AllowedPrincipals @("MYDOMAINGruppenname 1", "MYDOMAINGruppenname 2")
Wenn wir die Berechtigungen anzeigen möchten, die für eine Organisationseinheit gelten, Wir konnten es mit diesem Befehl sehen:
Find-LapsADExetendedRights -Identität "OU=...,OU=...." |Fl
Naja, So zeigen Sie Kennwörter für LAPS-verwaltete Konten an, Es ist so einfach wie das Öffnen der Active Directory-Benutzer- und Teams-Konsole, Finden Sie das Konto des Teams, das wir möchten, Wir werden sehen, dass es eine Registerkarte hat “SCHÖßE” wo es uns mitteilt, wann das Passwort abläuft, Wenn wir es jetzt zur Veränderung zwingen wollen, sowie wer der verwaltete Administratorbenutzer ist, oder ob wir das Passwort sehen oder kopieren möchten.
Wir können auch das PowerShell-Passwort eines Remote-Computers sehen:
Get-LapsADPassword -Identity NOMBRE_MAQUINA -AsPlainText
Sowie das Erzwingen des Passworts des lokalen Computers, auf dem wir zurückgesetzt werden sollen:
Zurücksetzen-LapsPassword
Oder setzen Sie das Passwort eines Remote-Computers zurück:
invoke-command -ComputerName NOMBRE_MAQUINA -ScriptBlock {Zurücksetzen-LapsPassword}
Brunnen, Ich hoffe, dass diese Art von Dokument Ihnen helfen kann, Ihre Zeit und Ihre Organisation effizienter zu verwalten, Ideen aufzugreifen, um die Umwelt zu sichern und unser Leben 🙂 zu erleichtern Damit verabschiede ich mich, Und wie immer sende ich dir eine Umarmung!