LAPS ile Local administrator şifresi değiştirme

 Microsoft yayınlamış olduğu |MS14-025| güncellemesi ile Gpo ile local administrator şifresi değiştrilmesi özelliğini kaldırmış durumdadır.

Detaylı bilgiye linkten erişebilirsiniz; https://technet.microsoft.com/library/security/ms14-025?f=255&MSPPError=-2147217396

Peki bilgisayarlardaki local administrator şifrelerini değiştirmek için hangi yöntemi kullanacağız,bu işlemi scrpitler ilede yapabilirsiniz.

Fakat size microsoft’un resmi çözümü olan LAPS ( Local Administrator Password Solution) i kullanmanızı tavsiye ederim.

Şimdi gelelim LAPS’in uygulama kısımına

Öncelikle LAPS’i linkten indirip DC nizin üzerine kurmanız gerekiyor,

LAPS ; https://www.microsoft.com/en-us/download/details.aspx?id=46899

Sonrasında LAPS ın kurulumunu DC mize yapıyoruz.

Sonra Active directory schema mızı genişletme (extend) işlemi yapmamız gerekiyor.Çünkü LAPS iki yeni atrtribute’u AD schema sında saklayacak.

  • Birinci atrtibute “ms-Mcs-AdmPwd” built-in Administrator hesabının şifresini tüm cihazlarda saklamak için kullanılacak.

  • İkinci attribute “ms-Mcs-AdmPwdExpirationTime” ise şifre değiştirme zamanını tüm cihazlarda saklamak için kullanılacak.

Her iki attribute ta may-contain attribute (computer class) una eklenecektir.

Şema genişletme işlemini gerçekleştirmek için,

Import-Module AdmPwd.PS

Update-AdmPwdADSchema

Komutlarını powershell de çalıştırıyoruz.

Daha sonra cihazlarımız için yazma (write) yetkisi tanımlamamız gerekiyor.

Set-AdmPwdComputerSelfPermission -OrgUnit OU ShortName

Görüntü aşağıdaki gibi olacaktır,

İstemci Tarafı Uzantıları nı (CSE) cihazlara yüklememiz gerekiyor.İşlemi LAPS içerisinde bulunan *.msi paketi sayesinde kolayca clientlarımıza yükleyebiliriz.(lapsx86.msi ve lapsx64.msi)

GPMC açıp yeni bir gpo oluşturuyoruz, Computer Configuration \ Policies \ Software Settings \ Software Installation , software installation sağ klikleyip ,New seçerek , Package işaretliyoruz,

Open menüsünde ilgili *.msi yı kopyalayıp paylaşıma açmış olduğumuz UNC path i yazıyoruz.Deployment türü olarak Assigned seçiyoruz.

Oluşturmuş olduğumuz Gpo yu Bilgisayarların bulunduğu OU ya “Link an Existing GPO…” ile uyguluyoruz.

Daha sonra LAPS ile birlikte kurulumunu yaptığımız “LAPS Group Policy Editor templates “ ile ,

  • Password settings

  • Name of administrator account manage

  • Do not allow password expiration time longer than required…

  • Enable local admin password management

Özelliklerini kullanabilir hale geleceğiz.

Ve ayrıca  LAPS UI ile kolayca yönetimi sağlayabiliriz,

 

 

 

 

 

 

Comments