مايكروسافتهاردنینگ

Windows LAPS

توسط فاطمه نوری
0 189

 (Local Administrator Password Solution)Windows LAPS یک ابزار رایگان ارائه‌شده توسط مایکروسافت است که به سازمان‌ها کمک می‌کند تا امنیت حساب‌های (Local Administrator Accounts) در کامپیوترهای ویندوزی را افزایش دهند. این ابزار با مدیریت و ذخیره امن رمز عبور Local Administrator برای هر دستگاه به صورت مجزا، از سوءاستفاده‌های احتمالی جلوگیری می‌کند.

از ویندوز سرور ۲۰۱۹ و ویندوز ۱۰ بروز رسانی ۱۱ آپریل ۲۰۲۳ Microsoft LAPS را به عنوان یک Feature تحت عنوان Windows LAPS به ویندوز اضافه کرده و دیگر نیازی به نصب بسته نرم‌افزاری نیست و حتی از ویندوز ۱۱ نسخه ۲۳H2 به بعد نصب این بسته را بر روی ویندوز مسدود (Block) کرده است. Window LAPS معماری کامل‌تری نسبت به Legacy LAPS دارد.در این مقاله به استفاده از آن در Active Directory می‌پردازیم.

 

برای کانفیگ Windows LAPSدر Active Directory، به صورت گام به گام ، با من همراه باشید.

 

۱_در گام اول Windows PowerShellرا به صورت Run as administrator روی DC اجرا کنید.
ابتدا ماژول LAPS را وارد کنید:

ipmo LAPS

سپس برای اطمینان از بارگذاری ماژول LAPS دستور زیر را وارد کنید:

gcm -Module LAPS

 

۲ _ دستور Update-LapsADSchema و سپس A را وارد نمایید.

 

۳_برای تأیید اینکه LapsAdSchema با موفقیت اجرا شده دستور زیر را وارد کنید:

Update-LapsAdSchema -Verbose

در نهایت با مشاهده ی خروجی زیر کار ما در این قسمت به پایان رسیده است.(اگر با خطا مواجه شدید باید DC ها رو به نسخه ی قابل پشتیبانی بروز کنید.)

۴_در گام بعد باید روی OU مورد نظر permission بدهیم.

در PawerShell دستور “Set-LapsADComputerSelfPermission -Identity “OU را اجرا کنید.
( نام OU را به صورت distinguished name  ,LDAP وارد کنید.)

 

۵_وارد کنسول Group policy شده و پالیسی LAPS را روی OU مدنظر با نام مناسب ساخته و ان را اعمال می نماییم.

۶_ روی C_LAPS GPO راست کلیک کرده و گزینه ی Edit را انتخاب نمایید.

از طریق مسیر زیر ادامه میدهیم.

Navigate to Computer Configuration > Policies > Administrative Templates > System > LAPS

۷_ گام بعد Enable نمودن پالیسی ها :
Configure password backup directory(باید تنظیمات را فعال کنید و Active Directoryرا انتخاب کنید. در غیر این صورت، local administrator password مدیریت نشده و اعمال نخواهد شد.)

 

Password Settings

Name of administrator account to manage
(از اکانت User-14 به عنوان Local Admin سیستم استفاده خواهیم کردو غیر فعال نمودن اکانت های دیگر ادمین ها ضروری است.)

در نهایت لیست ما به این صورت نمایش داده خواهد شد.

کانفیگ Microsoft LAPS به اتمام رسید . با ریستارت نمودن سیستم پالیسی اعمال خواهد شد.

برای اطلاع از پسورد LAPS بهترین گزینه استفاده ازPowerShell می باشد.
PawerShell را به صورت Run as administrator اجرا کنید.
سپس دستور Get-LapsADPassword “computer name” -AsPlainText راوارد نمایید تا جزییات نمایش داده شود.

همچنین از طریق مسیر زیر نیز پسورد و سایر اطلاعات در دسترس خواهد بود.

Active Directory Users and Computers >computer object properties>LAPS

 

موفق و پیروز باشید.

 

فاطمه نوری

فاطمه نوری .کارشناس شبکه های مبتنی بر مایکروسافت

ممکن است شما دوست داشته باشید بیشتر از نویسنده

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.