LAPS Kurulum ve Yapılandırma
LAPS Kurulum ve Yapılandırma adımlarını anlatmaya çalışacağım sizlere. Çok kullanıcılı Domain yapılı ortamlarda Sistem Yöneticilerinin en çok zaman ayırdığı konu belki de Local Administrator hesaplarının şifrelerinin kontrol altında tutulmasıdır.
Bu hesap genelde teknik servis personeli tarafından ilk kurulumda default ayarlar ile bırakılmakta. Genellikle de hepsinde tek tip bir şifre kullanılmakta.
Eskiden bu durumlar için Domain Controller üzerinde ayarlanan basit bir GPO ile yönetilebiliyordu. Ancak bu durum güvenlik zaafiyeti oluşturduğu için GPO ile bu işlem artık yapılamıyor.
Bu tarz bir durumda ne yapacağı derseniz Microsoft tarafından çıkartılan bir uygulama ile bu işlemi yapacağız. Bu uygulama ile merkezi olarak tüm pc’lerde local administrator şifresinin farklı bir şekilde uygulamamızı sağlamakta. Bu şifreleri ise sadece bizim izin verdiğimiz kişilerin görmesini sağlayabiliyoruz.
LAPS Kurulum
Yapımızda bulunan AD makinası üzerin kurabiliriz bu tool’u. Güncel sürümü buradan indirebilirsiniz.
İndirdiğimiz dosyayı AD sunucumuz üzerinde çalıştırıyoruz. Karşılama ekranını Next ile geçiyoruz.
Lisans anlaşmasını kabul edip Next ile ilerliyoruz.
Karşımıza gelen ekranda “Management Tools” altındaki tüm seçenekleri seçerek Next ile devam ediyoruz.
Kuruluma başlatmak için Install butonuna basarak ilerliyoruz.
Kurulum kısa sürede tamamlandı.
Kurulum sonrası Öncelik ile PowerShell modül kurulumunu yapıyoruz. Komut setimiz aşağıdaki gibidir.
“Import-Module AdmPwd.PS”
Şimdi ise Active Directory Şema genişletme işlemini yapıyoruz. Komut setimiz aşağıdaki gibidir.
“Update-AdmPwdADSchema”
Active Directory’de Gerekli İzinlerin Tanımlanması
Active Directory üzerindeki bilgisayarlara eklenen LAPS özelliğinin kullanılabilmesi için yetkilendirme gerekmektedir. Yetkilendirme için Komut setimiz aşağıdaki gibidir.
“Set-AdmPwdComputerSelfPermission -OrgUnit “OU=Computers,OU=TECHKNOWLOJIST,DC=techknowlojist,DC=local””
Şayet yapınız çok büyük ve admin yetkili kullanıcılar haricinde (Helpdesk personeli gibi) kişilerinde bu şifreleri görme ya da değiştirme ihtiyaçları var ise bu kişiler veya gruplar için yetkilendirme yapmanız gerekmektedir. AD üzerinde Ben Usr_Pwd_Read ve Usr_Pwd_Reset isimli iki grup oluşturuyorum ve bu gruplara yetki tanımı yapıyorum.
Parola görüntüleme yetkilendirme komut seti aşağıdaki gibidir.
“Set-AdmPwdReadPasswordPermission -OrgUnit “OU=Computers,OU=TECHKNOWLOJIST,DC=techknowlojist,DC=local” -AllowedPrincipals “Usr_Pwd_Read””
Parolaları değiştirme yetkilendirme komut seti aşağıdaki gibidir.
“Set-AdmPwdResetPasswordPermission -OrgUnit “OU=Computers,OU=TECHKNOWLOJIST,DC=techknowlojist,DC=local” -AllowedPrincipals “Usr_Pwd_Reset””
LAPS GPO Oluşturma
Şimdi artık Local Admin parolası için gerekli policy ayarlarını ayarlayıp domain yapısı içindeki makinalara GPO ile dağıtabiliriz.
Group Policy Manager üzerinde policy oluşturuyoruz. Daha sonra oluşturduğumuz policy edit ediyoruz. Computer Configuration\Administrative Templates altına geliyoruz.
Açılan menüden yapınıza uygun şekilde ayarlamanızı yapıyorsunuz.
Password Settings: Zorunlu olan bu alan şifrenizin kaç karakter olacağı, ayrıca kaç gün geçerli olacağının ayarlandığı bölümdür. Burayı kendi yapınıza göre değiştirebilirsiniz.
Name of administrator to manage: Opsiyonel olan bu alan lokaldeki Administrator isimli kullanıcı hesabını kullanmıyorsanız kullanabilirsiniz. Böyle bir durumda bu seçeneği enable edip buraya ilgili hesap ismini giriyorsunuz. Fakat mevcut Lokal Administrator hesabının ismini değiştirerek kullanıyorsanız bu ayara ihtiyacınız olmayacaktır. Sebebi ise adını değiştirdiğiniz bu hesabı SID numarasından bulabiliyor olmasıdır.
Enable local admin password management: Zorunlu seçenek olan bu ayarı ise LAPS tarafından şifrenin değiştirilebilmesi için enable yapıyoruz.
Do not allow password expiration time longer than required: Opsiyon olan bu seçenek ise
yönetici hesabının planlama şifresi süresinin maksimum şifre yaşından daha uzun bir süre ayarlanamamasını sağlamaya yarayan bir özelliktir.
Şimdi ise computer hesaplarının bulunduğu OU’ya yetki vereceğiz. Bunun sebebi LAPS ile ilgili gerekli attribute değerlerinin eklenmesi içindir. Komut setimiz aşağıdaki gibidir.
“Set-AdmPwdComputerSelfPermission –OrgUnit “OU=Computers,OU=TECHKNOWLOJIST,DC=techknowlojist,DC=local””
Yapılandırmamız bitti.
Şimdi Bilgisayarlara ilgili ajanı kurmaya geldi. Bunun için ben test ortamımda manuel yöntem ile kuracağım. Siz bunu varsa ortamınızda farklı uygulamalar ile dağıtımını yapabilirsiniz.
Bilgisayar üzerinde sunucuya kurduğumuz kurulum dosyasını çalıştırıyoruz. Next ile ilerliyoruz.
Lisans anlaşmasını işaretleyip Next ile devam ediyoruz.
Karşımıza gelen ekranda “AdmPwd GPO Extension” işaretli kalacak şekilde Next ile devam ediyoruz.
Install ile kurulumu başlatıyoruz.
Kurulum tamamlandı.
Evet şuana kadar DC üzerine LAPS uygulamasını kurduk, Schema işlemlerini yaptık, GPO oluşturduk ve ilgili OU’ya bağladık ve son olarakta client kurulumunu yaptık. Şimdi Bilgisayar üzerinde Local Admin hesabının şifresini görelim.
Bunun için DC sunucu üzerinde LAPS UI açıyoruz.
Search butonuna basarak şifresini görmek istediğimiz bilgisayar hesabını seçiyoruz. başarılı oalrak GPO aldı ise local Admin şifremizi pencerede görüyoruz.
Şimdi Şifre görme için bir diğer yönteme göz atalım. Bunun için Active Directory User and Computers’i açıyoruz. Yine buradan şifresini öğreneceğimiz computer hesabını buluyoruz. Daha sonra Attribute Editor tabından “ms-Mcs-AdmPwd” tabını açmamız yeterlidir.
PowerShell ile bu işlemi yapmak istersek ilgili komut setimiz aşağıdaki gibidir.
Import-Module AdmPwd.PS
Get-AdmPwdPassword -ComputerName Client-01
LAPS Kurulum ve Yapılandırma isimli yazımızın sonuna geldik. Umarım faydalı olmuştur. Herkese sağlıklı ve sorunsuz günler dilerim.