Local Administrator Password Solution (LAPS), Microsoft tarafından geliştirilen ve Active Directory (AD) ortamında yerel yönetici şifrelerinin güvenli bir şekilde yönetilmesini sağlayan bir çözümdür. LAPS, özellikle büyük kuruluşlar için önemlidir çünkü birçok bilgisayarda bulunan yerel yönetici hesaplarının parolalarını güncellemek ve yönetmek karmaşık bir görev olabilir.
LAPS’in temel işlevleri şunlardır:
- Yerel Yönetici Şifrelerini Döngüsel Olarak Değiştirme: LAPS, belirli aralıklarla (varsayılan olarak 30 gün) tüm bilgisayarların yerel yönetici hesaplarının parolalarını otomatik olarak değiştirir. Bu, saldırılar ve yetkisiz erişimleri engellemeye yardımcı olur.
- Yerel Yönetici Şifrelerini Güvende Tutma: Şifreler, Active Directory içinde özel bir nesne (LAPS nesnesi) altında saklanır ve sadece belirli kullanıcılar veya gruplar tarafından erişilebilir. Bu, şifrelerin güvende olduğu anlamına gelir.
- Auditleme: LAPS, şifre değişikliklerini ve erişim denemelerini izler ve denetler. Bu, kimin şifreye erişebileceğini ve ne zaman değişiklikler yapıldığını takip etmenizi sağlar.
- Özelleştirilebilir Kurallar: LAPS, şifre değiştirme sıklığını, şifre karmaşıklığını ve diğer politikaları özelleştirmenizi sağlar. Bu, organizasyonunuzun güvenlik gereksinimlerine uygun bir şekilde yapılandırılmasını sağlar.
LAPS, Windows işletim sistemlerini çalıştıran bilgisayarlarda yerel yönetici hesaplarının yönetimini kolaylaştırır ve güçlendirir. Özellikle çok sayıda bilgisayarın olduğu büyük bir ağınız varsa, yerel yönetici şifrelerini düzenli olarak güncellemek ve güvende tutmak kritik bir öneme sahiptir. LAPS bu işlemi otomatikleştirerek güvenlik risklerini azaltır.
İlk olarak Microsoft’un resmi sitesinden LAPS’ı indirin.
Local Administrator Password Solution (LAPS)
İndirdiğiniz Setup’ı AD üzerinde Yönetici olarak çalıştırın.
Burada tüm componentleri seçin.
İşlemi yaptığınız AD Admin’in yetkilerini ve Schema Admin olup olmadğını kontrol edin.
PowerShell’i Yönetici olarak çalıştırın.
Import-Module AdmPwd.PS
Update-AdmPwdADSchema
OU’daki Computer’ların Local Admin password’ünü kimlerin görebileceğini kontrol edin.
Find-AdmPwdExtendedrights –identity <ou name> | Format-Table
Computer’ların passwordleri kendi üzerlerine yazma yetkileri verilir.
Set-AdmPwdComputerSelfPermission -OrgUnit <ou name>
OU’daki Computer’ların local admin şifrelerinin kimlerin görmesi isteniyorsa, yetki verilir.
Set-AdmPwdReadPasswordPermission -OrgUnit <ou name> -AllowedPrincipals <domain\user>
Group Policy üzerinden yeni bir Policy oluşturun.
Active Directory üzerinde işlem yapacağınız OU’da Properties>Security tab’ında mevcut Domain Adminin’izin Effective Access kısmını açın.
All extented rights yetkinin verilip, verilmediğiini kontrol edin.
Active Directory üzerinde işlem yapacağınız OU’da Properties>Security>Permission tab’ında mevcut Domain Admininizin yetkilerini açın.
Permission kısmında aşağıdaki yetkileri verin;
Read ms-Mcs-AdmPwd
Write ms-Mcs-AdmPwd
Read ms-Mcs-AdmPwdExpirationTime
Policy’de düzenlemeler yapmak için, Group Policy Management Editor’den oluşturduğunuz Policy’e sağ tıklayıp Edit’e tıklayın.
Computer Configuration>Administrative Template>LAPS’a gidin.
İlk olarak Password Settings’i düzenleyin.
LAPS’ı yönetecek Domain Admin hesabının adını girin.
Password expiration kısmını not configured’de bırakın, ona dokunmayın.
Local Admin Password Management’ı Enable edin.
OU üzerindeki Bilgisayarlara LAPS’ı yükleyebilmek için, AD Users’larının erişebileceği ortak bir alana LAPS setup’ını atın.
Ben AD üzerinde D diskini Domain Users’lara share ederek ilerledim.
Group Policy Management Editor üzerinden oluşturduğunuz Policy’e geri dönün.
Computer Configuration>Policies>Software Settings>Software Installation kısmından New>Package’a tıklayın.
Share ettiğiniz alanı ve setup dosyasını seçip gösterdiğinizde, şu şekilde gözükecektir.
Son olarak oluşturduğunuz Policy’i OU’ya linkleyin. OU>Link an existing GPO
Hem sunucu tarafında gpupdate, hemde OU’daki bilgisayarlarda gpupdate yaptığınızda LAPS sorunsuz olarak kurulacaktır.
Kurulum sonrası test için OU’daki herhangi bir bilgisayarın adını yazdığınızda Local Admin şifresi gözükecektir.
