LAPS Nedir? Local Admin Password Solution Nasıl Kullanılır?

LAPS Nedir? Local Admin Password Solution Nasıl Kullanılır?

Merhaba, bu yazımda sizlere Microsoft tarafından kesinlikle önerilmekte olan LAPS, yani Local Admin Password Solution uygulamasının kurulumu ve nasıl kullanacağını anlatacağım. Kullanımı oldukça basit olan LAPS uygulaması hem etki alanı güvenliğinizi arttıracak, hem de local admin parolalarının aynı olmaması sağlanmış olacaktır. Öncelikle LAPS kullanımı, mevcut domaininizde bulunan tüm kullanıcılar için ayrı ayrı local admin password yaratılmasını sağlar.

Eski tip yöntemle Active Directory Group Policy Management üzerinden topluca basmış olduğunuz local admin şifreniz hem clear text olduğu için hızlı bir şekilde kırılabiliyor. Ve bir kişinin eline geçerse, olacakları düşünmek bile istemeyiz. Bir domain üzerinde en önemli şeylerden bir tanesi local admin şifreleridir. Dolayısıyla her kullanıcıyı kendi bilgisayarında bile local admin yapmamak gerekmektedir. İhtiyaç var ise, bir domain admin kullanıcısı farklı çalıştır yaparak kuruluma yardımcı olabilir. Bilgisayarlar üzerine kurulacak her uygulama role base yetki verilerek yapılmalıdır.

Dilerseniz LAPS kurulum ve kullanımına geçelim. Öncelikle LAPS (Local Admin Password Solution) uygulamasını aşağıdaki linkten indirmelisiniz ve kurulumunu aşağıda vereceğimiz adımlar şeklinde kurmalısınız. Önce uygulamayı aşağıdaki linkten edinin ve kurulumunu yapınız.

https://www.microsoft.com/en-us/download/details.aspx?id=46899

Hemen kurulum adımlarına geçebilirsiniz. İlk ekranda sizi aşağıdaki gibi bir ekran karşılıyor.

Burada son kullanıcı lisans sözleşmesini kabul edip devam ediyoruz.

Bütün seçenekleri aktif ederek ilerliyoruz.

Kuruluma başlıyoruz.

Ve aşağıdaki gibi kurulum işleminin tamamlandığını görüyoruz.

İşlemlerimize başlamadan önce hangi makinelerde değişikliğin geçerli olacağını belirliyoruz. Unutulmamalıdır ki; belirleyeceğiniz OU içerisinde Computerlar bulunmalıdır.

Şimdi de Active Directory üzerine 3 adet Attiribute eklemesi yapıyoruz. Bunun sebebi LAPS verilerinin burada tutulması gerektiğidir. Bunun için öncelikle Powershell uygulamasını run as admin diyerek çalıştırmalısınız.

Import-module AdmPwd.PS komutu ile modülün dahil edilmesini sağlıyoruz.

Update-AdmPwdADSchema komutu ile de AD üzerinde şema genişletme işlemini yapıyoruz.

Eğer Local Admin şifrelerinin yetkilendirmiş olduğunuz gruplar dışında görülmesini istemezseniz, ADSI edit üzerinden işlem yapılacak olan OU’ya gelinir. Properties > Security > Advanced tabına gelinir. Şimdi işlem yapmak istediğiniz grubun üzerine gelerek Edit denilir.

Burada yetkilendirme yaparak “All Extended Rights” seçeneği işaretlenmelidir.

OU üzerinde hangi grupların yetkisinin olduğuna da yine Powershell uygulaması üzerinden, Find-AdmPwdExtendedrights -identity OU-İSMİ | Format-Table komutu ile öğrenebilirsiniz.

Şimdi de Local Admin Password değişimlerini hangi grup yapacaksa onu security grup olarak oluşturuyoruz. Seçmiş olduğunuz OU üzerinde yine aşağıdaki komutlar yardımı ile parola değiştirme kuralını uygulamış oluyorsunuz.

Import-module AdmPwd.PS

Set-AdmPwdComputerSelfPermission -OrgUnit OU-İSMİ

Şimdi de admin local admin parolalarını okuyacak olan grubu aşağıdaki komut yardımı ile yine Powershell uygulaması üzerinden ekliyoruz.

Import-module AdmPwd.PS

Set-AdmPwdReadPasswordPermission -OrgUnit Client_OU -AllowedPrincipals Security Grup İsmi

Sıra geldi en son ve en önemli noktaya. Domain ortamınızda Group Policy ayarlarını yapacağız. Öncelikle belirlediğiniz bir isimle yeni bir policy oluşturuyor ve edit diyorsunuz. Aşağıdaki resimde görüldüğü gibi Computer Configuration > Administrative Templates > LAPS içerisine giriş yapıyor ve mevcut 4 adet policy ayarını yapınıza göre değiştiriyorsunuz.

LAPS uygulamasının çalışması için gerekli olan Enable local admin password managementkuralını aşağıdaki gibi aktif etmeniz gerekiyor.

Password Settings kuralı içerisinden, local admin şifrelerinin hangi özelliklere sahip olacağı, büyük küçük harf, sayı ya da özel karakter içerip içermeyeceği gibi ayarları ve maximum parolanın kaç gün boyunca aktif olacağını ve parolanın karakter sayısını belirleyebilirsiniz.

Eğer yapınızda local admin hesaplarınızın adı Administrator olarak görünüyorsa herhangi bir sorun yok demektir. Ancak local admin hesaplarınızın adı farklı ise bunu, “Name of administrator account to manage” içerisinde, aşağıda gördüğünüz şekilde değiştirebilirsiniz.

Şimdi de Local Admin şifresini değiştirmek istediğiniz OU içerisindeki makinelere LAPS uygulamasını kurmanız gerekiyor. Bunu oluşturacağınız bir Group Policy ya da yapınızda SCCM varsa onunla da uygulayabilirsiniz. Ancak kurulumunuzu aşağıda görüldüğü şekilde uygulamalısınız.

Hızlı bir şekilde kişilerin policy almaları adına Domain Controller üzerinde gpupdate /force komutu çalıştırılabilir. Sorunsuz ve düzgün çalışabilmesi için client makinelerin bir kez restart edilmeleri gerekebilir. Son olarak LAPS’ın bir UI uygulaması olduğunu söyeleyelim. Aşağıda gördüğünüz gibi Security group içerisinde olan tüm kullanıcılar local admin şifrelerini görüntüleyebilir ve değiştirebilirler.

Bu yazımda LAPS (Local Admin Password Solution) uygulamasının kurulumu ve kullanımından, powershell üzerindeki yetkilendirmelerinden ve Group Policy olarak nasıl ortama uygulandığından bahsettim. Faydalı olması dileğiyle.


 

Yazımızı Buradan Paylaşabilirsiniz.

Dağcan Nural

1988 İstanbul doğumluyum. Bilgisayar dünyasına olan hayranlığım çok küçük yaşlarda başladı. Bu sebeple sistem alanında kendimi geliştirmeye karar verdim. Celal Bayar Üniversitesi Bilgisayar Programcılığı ve Anadolu Üniversitesi İşletme mezunuyum. 2005 yılında Bilge Adam Sistem & Network Mühendisliği eğitimi aldım. Hemen ardından IT dünyasına giriş yaptım. Collezione şirketinde 2006 - 2018 yılları arasında Sistem Uzmanı olarak görev yaptım. 2018 Temmuz ayından beri LCWAIKIKI şirketinde IT System Engineer pozisyonunda çalışmaktayım. Sektörde 14 yıllık deneyime sahibim. Birçok önemli projede görev aldım. Linkedin üzerinden profilime ulaşabilirsiniz. Bilgi ve tecrübemi bu blog üzerinde paylaşıyorum. Bilgi paylaştıkça güzeldir.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir