W poprzednim wpisie dowiedzieliście się co to jest i jak działa LAPS, jakie są jego mocne i słabe strony. Tym razem przejdziemy do kwestii bardziej technicznych. Pokażę jak uruchomić LAPSa, skonfigurować delegację uprawnień, polityki GPO oraz na koniec zainstalować na stacji klienckiej. Pomimo, że już Windows LAPS (2-ga generacja) jest już w użyciu, to wielu z Was posiada jeszcze starsze systemy kompatybilne tylko z Legacy LAPSem. Zatem do dzieła.
Przygotowanie środowiska
Aby zainstalować Legacy LAPS należy w pierwszej kolejności pobrać instalator aplikacji ze strony Microsoftu. Jest taki sam zarówno dla stacji zarządzającej jak i klienckiej, po czym uruchamiamy instalator na pierwszej stacji zarządzającej. Ja wybrałem kontroler domeny, ze względu na łatwość instalacji. Nie jest to wymagane aby rozpoczynać przygodę od DC, jednak dostęp do zapisywalnego kontrolera jest wymagany w czasie instalacji.
Do uruchomienia usługi będą niezbędne 2 komponenty – Powershell module oraz GPO Editor Templates. Na pozostałych zarządzanych stacjach wystarczy zainstalować tylko komponent AdmPwd GPO Extension.
Kolejnym krokiem jest aktualizacja schematu Active Directory, tutaj jest potrzebny dostęp do zapisywalnego kontrolera domeny oraz uprawnienia Schema Admins. Mały tip, aby znaleźć zapisywalny kontroler możesz wykonać jedną z 2 poniższych komend:
nltest.exe /dsgetdc: /writable /forceGet-ADDomainController -Discover -Writable -ForceDiscover
Modyfikacja schematu Active Directory
Gdy architektura AD jest już Wam znana, idźmy zatem do aktualizacji schematu, w tym celu należy uruchomić Powershella po czym wykonać poniższe 2 komendy:
Import-Module AdmPwd.PS
Update-AdmPwdADSchema
Rozszerzenie schematu spowodowało utworzenie w klasie obiektu komputer 2-ch nowych atrybutów:
- ms-Mcs-AdmPwd – przechowuje hasło konta administratora lokalnego w postaci niezaszyfrowanej
- ms-Mcs-AdmPwdExpirationTime – przechowuje czas wygaśnięcia hasła
Delegacja uprawnień
Następnie należy wydelegować uprawnienia, aby komputery mające zainstalowany dodatek LAPSa mogły aktualizować powyższe atrybuty dla obiektów komputera w Active Directory. Wracamy zatem do Powershella, wykonujemy następujące polecenie. Musicie je powtórzyć dla każdego OU, gdzie są obiekty komputerów.
Set-AdmPwdComputerSelfPermission -OrgUnit <nazwa OU> 
I tutaj mała uwaga, powyższą komendą z modułu LAPSowego można wydelegować uprawnienia tylko dla jednostek organizacyjnych (OU), niestety nie da się tego zrobić dla kontenerów (CN), np. Computers. Jeżeli potrzebujecie również uprawnienia w tej gałęzi, należy zrobić to ręcznie, z poziomu karty Security we właściwościach obiektu Computers, następnie dodajemy nowy wpis, wybieramy nazwę SELF, typ Allow, zaaplikowany do Descendant Computer objects oraz z listy uprawnień wybrać 3 pozycje:
- zapis atrybutu ms-Mcs-AdmPwd
- odczyt atrybutu ms-Mcs-AdmPwdExpirationTime
- zapis atrybutu ms-Mcs-AdmPwdExpirationTime
Kolejnym krokiem jest nadanie uprawnień do podglądu haseł przez administratorów. Tutaj uprawnienia do podglądu haseł kryją się w atrybucie All Extended rights. Nadanie takiego atrybutu dla określonej grupy administratorów spowoduje umożliwienie odczytu haseł.
Konfiguracja polityki GPO
Ostatnim etapem jest przygotowanie odpowiedniej polityki GPO, tak aby zdefiniować parametry haseł, częstotliwość ich zmiany. Przejdźmy zatem do utworzenia nowej polityki, ustawienia LAPSa znajdują się w gałęzi Computer Configuration -> Policies -> Administrative Templates -> LAPS
Cała polityka zawiera tylko, albo i aż 4 ustawienia:
- Enable local admin password management – włącza zarządzanie hasłami lokalnymi przez LAPSa
- Password settings – konfiguracja parametrów haseł: złożoność, długość i ważność
- Name of administrator account to manage – to ustawienie jest niezbędne, gdy inaczej macie nazwane konto Administratora lokalnego
- Do not allow password expiration time longer than required by policy – zezwolenie na wydłużenie czasu życia hasła, ponad to co jest zdefiniowane w polityce
Instalacja na stacji klienckiej
Całość środowiska została już przygotowana, przyszedł czas na instalację dodatku na maszynach klienckich. Tutaj instalator jest identyczny jak podczas wcześniejszej instalacji na kontrolerze domeny, z tą różnicą, że należy zainstalować tylko jeden komponent AdmPwd GPO Extension.
Po instalacji całość jest gotowa do działania. Inicjacja zmiany hasła następuje w momencie odświeżenia polityk GPO. Domyślnie jest to 90 minut z losowym przesunięciem czasowym 30 min, czyli między 60, a 120 minut.
Testy
Jak możecie zauważyć hasło zostało zmienione zgodnie z wcześniej utworzoną polityką i zapisane w atrybutach wraz z czasem wygasania.
W module AdmPwd.PS jest opcja rotacji hasła. Można to wykonać poleceniem Reset-AdmPwsPassword, które to zmienia wartość atrybutu ms-Mcs-AdmPwdExpirationTime na obecną datę, przez podczas kolejnego odświeżenia polityk GPO, komputer pobierając ten atrybut z kontrolera zauważy, że jego hasło już się przedawniło i zmieni je na nowe.
Nic nie stoi na przeszkodzie by ręcznie zmodyfikować wskazany atrybut lub wyzerować jego wartość – efekt będzie ten sam.
W kolejnym wpisie pokaże sposób uruchomienia Windows LAPS, czyli ulepszonej wersji obecnego rozwiązania.
Jeden komentarz do “LAPS – to Twój must have #2”