LAPS Nedir? Local Admin Password Solution Nasıl Kullanılır?

Merhaba, bu yazımda sizlere Microsoft tarafından kesinlikle önerilmekte olan LAPS Nedir? Local Admin Password Solution Nasıl Kullanılır? detaylı bir şekilde anlatacağım. Kullanımı oldukça basit olan LAPS uygulaması hem etki alanı güvenliğinizi arttıracak, hem de local admin parolalarının aynı olmaması sağlanmış olacaktır. Öncelikle LAPS kullanımı, mevcut domaininizde bulunan tüm kullanıcılar için ayrı ayrı local admin password yaratılmasını sağlar.

Eski tip yöntemle Active Directory Group Policy Management üzerinden topluca basmış olduğunuz local admin şifreniz hem clear text olduğu için hızlı bir şekilde kırılabiliyor. Ve bir kişinin eline geçerse, olacakları düşünmek bile istemeyiz. Bir domain üzerinde en önemli şeylerden bir tanesi local admin şifreleridir. Dolayısıyla her kullanıcıyı kendi bilgisayarında bile local admin yapmamak gerekmektedir. İhtiyaç var ise, bir domain admin kullanıcısı farklı çalıştır yaparak kuruluma yardımcı olabilir. Bilgisayarlar üzerine kurulacak her uygulama role base yetki verilerek yapılmalıdır.

Dilerseniz LAPS kurulum ve kullanımına geçelim. Öncelikle LAPS (Local Admin Password Solution) uygulamasını aşağıdaki linkten indirmelisiniz ve kurulumunu aşağıda vereceğimiz adımlar şeklinde kurmalısınız. Önce uygulamayı aşağıdaki linkten edinin ve kurulumunu yapınız.

LAPS Kurulumu

https://www.microsoft.com/en-us/download/details.aspx?id=46899

Hemen kurulum adımlarına geçebilirsiniz. İlk ekranda sizi aşağıdaki gibi bir ekran karşılıyor.

LAPS Setup Wizard

Burada son kullanıcı lisans sözleşmesini kabul edip devam ediyoruz.

LAPS – License Agreement

Bütün seçenekleri aktif ederek ilerliyoruz.

Kuruluma başlıyoruz.

AdmPWD.UI

Ve aşağıdaki gibi kurulum işleminin tamamlandığını görüyoruz.

İşlemlerimize başlamadan önce hangi makinelerde değişikliğin geçerli olacağını belirliyoruz. Unutulmamalıdır ki; belirleyeceğiniz OU içerisinde Computerlar bulunmalıdır.

LAPS Uygulaması Active Directory Ayarları

Şimdi de Active Directory üzerine 3 adet Attiribute eklemesi yapıyoruz. Bunun sebebi LAPS verilerinin burada tutulması gerektiğidir. Bunun için öncelikle Powershell uygulamasını run as admin diyerek çalıştırmalısınız.

Import-module AdmPwd.PS komutu ile modülün dahil edilmesini sağlıyoruz.

Update-AdmPwdADSchema komutu ile de AD üzerinde şema genişletme işlemini yapıyoruz.

Eğer Local Admin şifrelerinin yetkilendirmiş olduğunuz gruplar dışında görülmesini istemezseniz, ADSI edit üzerinden işlem yapılacak olan OU’ya gelinir. Properties > Security > Advanced tabına gelinir. Şimdi işlem yapmak istediğiniz grubun üzerine gelerek Edit denilir.

Burada yetkilendirme yaparak “All Extended Rights” seçeneği işaretlenmelidir.

OU üzerinde hangi grupların yetkisinin olduğuna da yine Powershell uygulaması üzerinden, Find-AdmPwdExtendedrights -identity OU-İSMİ | Format-Table komutu ile öğrenebilirsiniz.

Şimdi de Local Admin Password değişimlerini hangi grup yapacaksa onu security grup olarak oluşturuyoruz. Seçmiş olduğunuz OU üzerinde yine aşağıdaki komutlar yardımı ile parola değiştirme kuralını uygulamış oluyorsunuz.

Import-module AdmPwd.PS

Set-AdmPwdComputerSelfPermission -OrgUnit OU-İSMİ

Şimdi de admin local admin parolalarını okuyacak olan grubu aşağıdaki komut yardımı ile yine Powershell uygulaması üzerinden ekliyoruz.

Import-module AdmPwd.PS

Set-AdmPwdReadPasswordPermission -OrgUnit Client_OU -AllowedPrincipals Security Grup İsmi

Sıra geldi en son ve en önemli noktaya. Domain ortamınızda Group Policy ayarlarını yapacağız. Öncelikle belirlediğiniz bir isimle yeni bir policy oluşturuyor ve edit diyorsunuz. Aşağıdaki resimde görüldüğü gibi Computer Configuration > Administrative Templates > LAPS içerisine giriş yapıyor ve mevcut 4 adet policy ayarını yapınıza göre değiştiriyorsunuz.

LAPS uygulamasının çalışması için gerekli olan Enable local admin password managementkuralını aşağıdaki gibi aktif etmeniz gerekiyor.

Password Settings kuralı içerisinden, local admin şifrelerinin hangi özelliklere sahip olacağı, büyük küçük harf, sayı ya da özel karakter içerip içermeyeceği gibi ayarları ve maximum parolanın kaç gün boyunca aktif olacağını ve parolanın karakter sayısını belirleyebilirsiniz.

Eğer yapınızda local admin hesaplarınızın adı Administrator olarak görünüyorsa herhangi bir sorun yok demektir. Ancak local admin hesaplarınızın adı farklı ise bunu, “Name of administrator account to manage” içerisinde, aşağıda gördüğünüz şekilde değiştirebilirsiniz.

Şimdi de Local Admin şifresini değiştirmek istediğiniz OU içerisindeki makinelere LAPS uygulamasını kurmanız gerekiyor. Bunu oluşturacağınız bir Group Policy ya da yapınızda SCCM varsa onunla da uygulayabilirsiniz. Ancak kurulumunuzu aşağıda görüldüğü şekilde uygulamalısınız.

Hızlı bir şekilde kişilerin policy almaları adına Domain Controller üzerinde gpupdate /force komutu çalıştırılabilir. Sorunsuz ve düzgün çalışabilmesi için client makinelerin bir kez restart edilmeleri gerekebilir. Son olarak LAPS’ın bir UI uygulaması olduğunu söyleyelim. Aşağıda gördüğünüz gibi Security group içerisinde olan tüm kullanıcılar local admin şifrelerini görüntüleyebilir ve değiştirebilirler.

LAPS GUI Arayüzü

Bu yazımda LAPS (Local Admin Password Solution) uygulamasının kurulumu ve kullanımından, powershell üzerindeki yetkilendirmelerinden ve Group Policy olarak nasıl ortama uygulandığından bahsettim. Faydalı olması dileğiyle.


 

Dağcan Nural

1988 İstanbul doğumluyum. Bilgisayar dünyasına olan hayranlığım çok küçük yaşlarda başladı. Bu sebeple sistem alanında kendimi geliştirmeye karar verdim. Celal Bayar Üniversitesi Bilgisayar Programcılığı ve Anadolu Üniversitesi İşletme mezunuyum. Şu anda da Beykent Üniversitesi'nde Yönetim Bilişim Sistemleri Bölümü'nde yüksek lisans eğitimi alıyorum. 2005 yılında Bilge Adam Sistem & Network Mühendisliği eğitimi aldım. Hemen ardından IT dünyasına giriş yaptım. Collezione şirketinde 2006 - 2018 yılları arasında Sistem Uzmanı olarak görev yaptım. 2018 Temmuz ayından beri LCWAIKIKI şirketinde IT System Engineer pozisyonunda çalışmaktayım. Sektörde 14 yıllık deneyime sahibim. Birçok önemli projede görev aldım. Sayfanın en alt kısmından Linkedin profilime ulaşabilirsiniz. Bilgi ve tecrübemi hem bu blog üzerinde hem de Çözümpark Bilişim Portalı üzerinde paylaşıyorum. Bilgi paylaştıkça güzeldir.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir