Руководство по установке и настройке Microsoft LAPS

Если вы ранее не встречались с термином “LAPS”, то, наверное, не знаете, что он обозначает. Акроним LAPS расшифровывается как “Local Administrator Password Solution” ― решение для управления паролями локального администратора. LAPS позволяет сгенерировать пароль для локального администратора и затем хранить этот пароль в текстовом формате в атрибуте Active Directory (AD).

Хранение паролей в текстовом формате может противоречить всем лучшим практикам в области безопасности, но, поскольку LAPS использует разрешения Active Directory, эти пароли видны только тем пользователям, которые имеют на это права или принадлежат к группе, участники которой имеют такие права.

Основной сценарий использования показывает, что можно свободно предоставлять пароль локального администратора сотрудникам на выезде, у которых могут быть проблемы со входом в систему с помощью кэшированных учетных данных. После этого можно настроить LAPS для запроса нового пароля в следующий раз, когда они захотят подключиться к AD на локальной площадке через VPN.

LAPS также будет полезен для приложений с возможностями автоматического входа в систему. Отличный пример этого ― недавно выпущенный Windows Admin Center:

Чтобы настроить LAPS, необходимо выполнить несколько шагов для его правильной работы:

1. Скачайте файл LAPS MSI.
2. Измените схему.
3. Установите файлы групповых политик LAPS.
4. Назначьте разрешения для групп.
5. Установите LAPS DLL.

Скачивание LAPS

LAPS предлагается в виде файла MSI, который необходимо скачать и установить на клиентской машине. Скачать файл можно с сайта Microsoft.

Изменение схемы

LAPS должен добавить к Active Directory два атрибута: пароль администратора и время окончания срока действия. Чтобы изменить схему, необходимо сначала установить компонент PowerShell, относящийся к LAPS. Запустите PowerShell и выполните команды:

Import-module AdmPwd.PS
Update-AdmPwdADSchema

После установки вы увидите раздел LAPS в GPMC: Computer configuration -> Policies -> Administrative Templates -> LAPS.

Четыре настройки включают:

Password settings (настройки пароля) — позволяет задать сложность пароля и периодичность его изменения.

Name of administrator account to manage (название учетной записи администратора) — требуется только в случае переименования учетной записи ‘administrator’. Если учетная запись локального администратора не переименована, оставьте эту настройку как “not configured.”

Do not allow password expiration time longer than required by policy (запрет более длительного срока действия пароля, чем установлено политикой) — в некоторых случая (например, если машина удаленная), устройство может быть не в сети, когда истечет срок действия пароля. В таких случаях LAPS подождет возможности изменения пароля. Если выбрать для этой настройки значение FALSE, тогда пароль будет изменен независимо от наличия доступа к AD.

Enable local password management (возможность локального управления паролем) — включает групповую политику (GPO) и позволяет компьютеру отправлять пароль в Active Directory.

Единственная настройка, которая не может быть оставлена как “not configured”, это “Enable local admin password management”, которая активирует политику LAPS. Без этой настройки LAPS GPO не будет работать после установки на клиентскую машину.

Назначение разрешений для групп

Теперь, когда схема расширена, необходимо настроить групповую политику LAPS и назначить разрешения. Для этого я создаю подразделение (OU), в котором компьютеры получат политику LAPS, а также группу с разрешением «только чтение» и группу с разрешением «чтение/запись».

Поскольку клиент LAPS на компьютере устанавливает пароль и отправляет его в AD, объект компьютера SELF в AD должен иметь разрешение на запись в AD.

Команда PowerShell, которая обеспечивает это, выглядит так:

Set-AdmPwdComputerSelfPermission -OrgUnit <name of the OU to delegate permissions>

Чтобы администраторы службы поддержки могли читать пароли, установленные LAPS, мы должны предоставить группе это разрешение. Я всегда создаю в AD группу “LAPS Password Readers”, поскольку это упрощает дальнейшее администрирование. Для этого я использую такую строку PowerShell:

Set-AdmPwdReadPasswordPermission -OrgUnit <name of the OU to delegate permissions> -AllowedPrincipals <users or groups>

Последняя группа, которую я создаю, это “LAPS Admins”. Эта группа может проинструктировать LAPS сбросить пароль в следующий раз, когда компьютер подключится к AD. Для этого также используется PowerShell:

Set-AdmPwdResetPasswordPermission -OrgUnit <name of the OU to delegate permissions> -AllowedPrincipals <users or groups>

После настройки необходимых разрешений вы можете перенести компьютеры в подразделение с поддержкой LAPS и установить LAPS DLL на эти машины.

LAPS DLL

После настройки подразделения и разрешений необходимо установить файл admpwd.dll на все машины, входящие в подразделение с назначенным LAPS GPO. Существует два способа это сделать. Во-первых, вы можете просто выбрать расширение admpwd dll в файле LAPS MSI.

regsvr32.exe AdmPwd.dll

Этот процесс можно включить в стартовый скрипт GPO или в «золотой образ» для будущей установки.

После установки DLL на клиенте, команда

gpupdate /force

позволит DLL выполнять свою работу и отправлять пароли в AD для будущего извлечения.

Извлечь пароли очень просто. Если у пользователей есть в LAPS хотя бы разрешение на чтение, они могут извлекать пароли с помощью пользовательского интерфейса LAPS.

Пользовательский интерфейс LAPS можно установить, выбрав “Fat Client UI” в процессе установки. После установки пользовательского интерфейса его можно открыть путем запуска “LAPS UI”. Запустив интерфейс, укажите название компьютера, для которого необходимо создать пароль локального администратора и, если разрешения были настроены правильно, вы увидите пароль.

Если пароль не отображается, убедитесь, что применяется GPO, а для подразделения, в котором сконфигурирована учетная запись пользователя, установлены необходимые разрешения.

Диагностика и устранение неполадок

Как и во всем в этом мире, в LAPS могут возникать некоторые странности. Самые распространенные из них ― это когда сотрудники с разрешениями не могут видеть пароли и когда клиентские машины не обновляют пароли, как это требуется.

Первым делом необходимо убедиться, что файл admpwd.dll установлен и зарегистрирован. После этого проверьте, применяется ли GPO к серверу, на котором вы пытаетесь изменить пароль локального администратора, с помощью команды

gpresult /r

Я всегда предпочитаю предоставлять таким приложениям, как LAPS, собственные GPO, чтобы упростить подобную диагностику.

Далее, проверьте, что GPO включена. Одна из странностей LAPS состоит в том, что можно все прекрасно настроить в GPO и назначить эту GPO для подразделения, но ничего не будет работать, пока вы не установите флажок “Enable Local admin password management”.

Если проблемы сохраняются, убедитесь еще раз, что все необходимые разрешения назначены. LAPS не выдает сообщения об ошибке, но в пользовательском интерфейсе LAPS просто будет пробел на месте пароля. Это может означать, что или пароль не был установлен, или разрешения неверно заданы.

Вы можете еще раз проверить разрешения, используя раздел расширенных атрибутов разрешений Windows. Для этого запустите  Active Directory users and computers -> найдите нужный объект computer -> Properties -> Security -> Advanced

Дважды кликните на security:

Прокрутите вниз и убедитесь, что Read ms-Mcs-AdmPwd и Write ms-Mcs-admpwd выбраны.

В целом, LAPS работает очень хорошо, это отличный инструмент для установки на серверы, особенно ноутбуки и пр. Вначале может быть придется немного потрудиться, но это вложение времени обязательно окупится.

Узнать больше:

• Узнайте об основах работы с AD, приняв участие в нашем вебинаре  Active Directory: основы
• Научитесь управлять AD с помощью PowerShell и пользовательского интерфейса, посетив наш вебинар  Active Directory и виртуализация
• Узнайте, как выполнять резервное копирование, восстановление и автоматическую установку AD на вебинаре Active Directory и резервное копирование