Windows Server

Windows Sistemlere Entegre Edilen Yeni Laps Kullanım Rehberi

Merhaba, LAPS uygulaması her sistem yöneticisinin vazgeçilmez araçlarından birisidir. Microsoft tarafın dan sağlanan bu küçük tool büyük işler başarmaktadır. LAPS ile bizler local kullanıcı parolalarını yönetebilmekteyiz.

Bu güne kadar LAPS’ı ortalmarımıza dağıtmak için bir dizi adımı gerçekleştirme gerekiyordu. Microsoft bu ay yayınladığı güncellemeler ile LAPS’ı Windows server ve client tarafında entegre etti ve kullanımı çok daha kolay.

Bu makalede sizler ile adım adım yeni Laps’ın kullanımını inceleyeceğiz. Yeni LAPS’ı kullanmak için bazı ön gereksinimleri karşılamak gerekiyor.

Başlamadan önce!

  • Microsoft, bu özelliği ekledikten bir kaç gün sonra eski yüklü LAPS ile sorun yaratabileceğini açıkladı. Çözüm olarak ise;
    Eski LAPS’ın sistemden kaldırılması veya Microsoft LAPS emulation mode’un disable edilmesini öneriyor. Bunu yapmak için “HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\Config” değerini “0” olarak ayarlamız gerekli veya HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\State altındaki kayıtların silinmesi gerekiyor.
  • Domain Functional Level, Server 2016 olmalı.

Aşağıda görüldüğü gibi Nisan 2023 güncellemelerinin yüklenmesi gerekiyor. Bu güncellemeler hem Server hem de Client tarafında yapılması gerekiyor.

Benim yapım ise şöyle:

  • DC – Windows Server 2019
  • Client – Windows 10 22H2

İlk olarak güncellemelerimizi kontrol ediyoruz. DC tarafı ile başlıyoruz.

Güncellemeler yüklü değilse buradan indirip yüklüyoruz.

DC üzerinde yüklü olduğunu doğruluyoruz.

Client tarafına geçiyoruz ve kontrollerimizi yapıyoruz. Güncellemeler yüklü değilse buradan indirip yüklüyoruz.

Bu işlemlerin ardından hazır hale geliyoruz. İlk olarak DC tarafı ile başlıyoruz.

Update-LapsAdSchema

Bu işlemlerin ardından aşağıdaki attribute’lar oluşuyor.

msLAPS-PasswordExpirationTime
msLAPS-Password
msLAPS-EncryptedPassword
msLAPS-EncryptedPasswordHistory
msLAPS-EncryptedDSRMPassword
msLAPS-EncryptedDSRMPasswordHistory

Sıradaki işlem LAPS uygulamasını hangi OU’a uygulayacaksak OU adını not ediyoruz.

Aşağıdaki komut ile “BILGISAYARLAR” OU’na ilk yetkilendimeyi yapıyoruz

Set-LapsADComputerSelfPermission -Identity BILGISAYARLAR

Bu işlemin ardından GP ayarlarını yapmamız gerekiyor. Default olarak hiç bir izin atamaz isek Domain Admin grubu üyeleri parola okuma ve yönetmek için yetkili durumda. Bu yüzden şimdilik başka bir yetkilendirme yapmıyoruz.

Güncellemeler sorasında baktığımızda “Computer Configuration > Administrative Templates > System > LAPS” altına yeni LAPS ayarlarımız geldiğini görüyoruz.

Aşağıdaki ayarlara kısaca bakarsak:

Configure password backup directory

Name of administrator account to manage

Bu ayar eğer Administrator hesapını GP ile rename yapmışsanız yeni hesap ismini yazarak yönetmeniz sağlar. Eğer bu ayar değiştirmezseniz default olarak gelen Administrator hesapı yönetilir.

Do not allow password expiration time longer than required by policy

Güvenliği artırmak için, “Parola Ayarları” ilkesinde tanımlanan yaş sınırını aşması durumunda parolanın hemen değiştirilmesini ve geçerlilik süresinin ilkeye göre ayarlanmasını sağlar.

Enable Password Encryption

Active Directory’ye göndermeden önce parola şifrelemeyi etkinleştirir.

Configure Authorized Password Decryptors

Yöneticilerin hangi kullanıcıların veya grupların şifrelenmiş parolaların şifresini çözebileceğini tanımlamasına olanak tanır. Varsayılan olarak, Etki Alanı Yöneticileri bu ayrıcalığa sahiptir, ancak SID’yi dize biçiminde veya “etki alanı(grup veya kullanıcı)” biçiminde kullanan özel bir grup veya kullanıcı belirtebilirsiniz.

Configure size of encrypted password history

Active Directory’de saklanan önceki şifrelenmiş parolaların sayısını kontrol eder.

Enable password backup for DSRM accounts

Dizin Hizmetleri Geri Yükleme Modu (DSRM) yönetici hesabı parolasının Active Directory’ye yönetilmesine ve yedeklenmesine olanak tanır.

Post-Authentication Actions 

Parola kullanımı sonrası alınacak eylemleri buradan tanımlıyoruz.

Password Settings

Güvenlik gereksinimlerini kuruluşunuzun ihtiyaçlarına göre uyarlamak için karmaşıklık, uzunluk ve yaş gibi parola parametrelerini buradan özelleştirebiliyorsunuz.

Bu bilgiler sonrası LAPS için yeni GP oluşturuyoruz.

Bu iki ayarlar parola sıfırlama için yeterli. Oluşturduğumuz GP’ı uygulamak istediğimiz OU’a linkliyoruz.

Yeni LAPS’ta bir arayüz yok, parolasını almak istediğiniz bilgisayarın özelliklerine girip aşağıdaki gibi görebiliyorsunuz. Aşağıda görüldüğü gibi GP uygulanan bilgisayarın parolasını görebildik.

Aynı şekilde powershell üzerindende parola bilgisi alabildik.

Senaryomuzu şöyle değiştiriyoruz. Bazı durumlarda parolayı sadece okumak ve sadece belli gruplara parola expire reset yetkisi vermek isteyebilirsiniz. Bunun için ilk olarak “yardim_masasi” adında bir security grup oluşturuyorum.

Aşağıdaki komut ile “BILGISAYARLAR” OU’u için “yardim_masasi” grubuna parola okuma yetkisi veriyor.

Aşağıdaki komut ile “BILGISAYARLAR” OU’u için “yardim_masasi” grubuna parola expire etme yetkisi veriyor.

Kullanabileceğiniz yeni laps komutları aşağıdaki gibi:

Get-LapsAADPasswordUse to query Azure Active Directory for Windows LAPS passwords.
Get-LapsDiagnosticsUse to collect diagnostic information for investigating issues.
Find-LapsADExtendedRightsUse to discover which identities have been granted permissions for an Organization Unit (OU) in Windows Server Active Directory.
Get-LapsADPasswordUse to query Windows Server Active Directory for Windows LAPS passwords.
Invoke-LapsPolicyProcessingUse to initiate a policy processing cycle.
Reset-LapsPasswordUse to initiate an immediate password rotation. Use when backing up the password to either Azure Active Directory or Windows Server Active Directory.
Set-LapsADAuditingUse to configure Windows LAPS-related auditing on OUs in Windows Server Active Directory.
Set-LapsADComputerSelfPermissionUse to configure an OU in Windows Server Active Directory to allow computer objects to update their Windows LAPS passwords.
Set-LapsADPasswordExpirationTimeUse to update a computer’s Windows LAPS password expiration time in Windows Server Active Directory.
Set-LapsADReadPasswordPermissionUse to grant permission to read the Windows LAPS password information in Windows Server Active Directory.
Set-LapsADResetPasswordPermissionUse to grant permission to update the Windows LAPS password expiration time in Windows Server Active Directory.
Update-LapsADSchemaUse to extend the Windows Server Active Directory schema with the Windows LAPS schema attributes.

Eski ve yeni LAPS komut karşılıkları aşağıdai gibi:

Windows LAPS cmdletLegacy Microsoft LAPS cmdlet
Get-LapsAADPasswordDoesn’t apply
Get-LapsDiagnosticsDoesn’t apply
Find-LapsADExtendedRightsFind-AdmPwdExtendedRights
Get-LapsADPasswordGet-AdmPwdPassword
Invoke-LapsPolicyProcessingDoesn’t apply
Reset-LapsPasswordDoesn’t apply
Set-LapsADAuditingSet-AdmPwdAuditing
Set-LapsADComputerSelfPermissionSet-AdmPwdComputerSelfPermission
Set-LapsADPasswordExpirationTimeReset-AdmPwdPassword
Set-LapsADReadPasswordPermissionSet-AdmPwdReadPasswordPermission
Set-LapsADResetPasswordPermissionSet-AdmPwdResetPasswordPermission
Update-LapsADSchemaUpdate-AdmPwdADSchema

Windows sistemlere LAPS’ı default olarak entegre etmek gerçekten dağıtma ve yönetmesini çok kolaylaştırmış. Faydalı olmasını dilerim. Keyifli okumalar.

İlgili Makaleler

5 Yorum

  1. hocam merhabalar teknik servis kullanıcılarına şifreyi görmeleri için sunucuya baglanmadan nasıl bir yöntem uygulayabılırım acaba

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu