Tweet
Vous a-t-on déjà demandé comment gérer les mots de passe d'administration locaux à partir d'un endroit sans coûts supplémentaires ?
Si la réponse est « oui », vous êtes au bon endroit.
Laissez-moi vous montrer l'idée de la solution de mot de passe de l'administrateur local (LAPS).
Il s'agit d'une petite application (disponible à télécharger à partir de https://aka.ms/LAPS) qui fournit la gestion des mots de passe de compte locaux d'ordinateurs liés au domaine.
Je suppose que votre prochaine question pourrait être "OK, mais qu'en est-il de la sécurité ?"
Lorsque vous configurez LAPS, vous êtes en mesure de configurer le LCA sur les OU spécifiques pour permettre à un groupe spécifique d'utilisateurs de lire et de modifier des mots de passe.
Nous allons donc faire un peu bref sur l'environnement avant que nous ne commencions la partie de mise en œuvre.
Vous trouverez ci-dessous la configuration LAB
<LAb HLD>
Comme vous pouvez le voir sous le domaine tips-of-mine.local j'ai 3 entités:
SWDCOP01 – Contrôleur de domaine pour le domaine tips-of-mine.local (Windows Server 2022)
SWFILP01 – Serveur membre dans le domaine tips-of-mine.local (Windows Server 2022)
SWRDSP01 – Serveur membre dans le domaine tips-of-mine.local (Windows Server 2022)
W10 – Poste de travail d'utilisateur final dans le domaine tips-of-mine.local (Fenêtres 10 1909)
Pour ce qui est de la LAPS, j'ai également créé les groupes et comptes suivants:
Groupes
t0-admins (Groupe de sécurité) – membre des groupes «administrateurs de domaine» et «administrateurs de schémas»
t1-admins (groupe de sécurité) – les membres de ce groupe peuvent se connecter au SRV01
t2-admins (Groupe de sécurité)
Utilisateurs
Domop – un membre de t0-admins
t1-admin – un membre de t1-admins
t2-admin – un membre des administrateurs t2-admins
Comme chaque installation logicielle, tout d'abord, nous devons télécharger un fichier zip (LAPS est disponible sous https://aka.ms/LAPS).
Quand vous aurez un fichier zip, le copier sur l'un de vos contrôleurs de domaine et oui, je sais que ce n'est pas la meilleure approche mais qu'il ne l'est qu'à des fins de démonstration.
Lorsque les fichiers seront stockés sur le contrôleur de domaine, vous pouvez les extraire et les copier sur le chemin suivant :
DOMMAIN-NAME-SysVol-DOMAIN-NAME-Scripts-LAPS
(par défaut, chemin local vers SysVol sur un contrôleur de domaine est C:-Windows-SysVol)
Une autre question possible « Pourquoi utilisons-nous SysVol? »
Nous l'utiliserons pour fournir des fichiers d'installation plus tard lors de la configuration de GPO.
Commencés à configurer quelque chose
Notre première étape sera l'installation LAPS. Pour ce faire, nous devons exécuter le code PowerShell suivant:
Code:
$domain = $env:USERDNSDOMAIN $lapsPath = "\\$Domain\SysVol\$Domain\Scripts\laps\LAPS.x64.msi" $expression = "C:\Windows\System32\msiexec.exe /i $LapsPath ADDLOCAL=CSE,Management,Management.UI,Management.PS,Management.ADMX /quiet" Invoke-Expression $expression
CSE – Client Side Extension – simplement l'application et les fichiers dll connexes,
Gestion – outils de gestion, y compris UI, PS et AMDX,
Management.UI – « gros client » avec UI,
Management.PS – Module PowerShell,
Management.ADMX – Modèles d'éditeur GPO
Ci-dessous, vous pouvez voir l'exécution du code dans Powershell
Installation LAPS
Lorsque nous avons LAPS installé, nous pouvons commencer l'étape suivante, à savoir la mise à jour du schéma AD. Pour ce faire, n'oubliez pas d'utiliser le compte qui est membre du groupe « Schémas » de votre domaine, et d'exécuter le code suivant :
Code:
Get-ADForest | Select-Object Name, SchemaMaster
Mise à jour du schéma, pour AdmPwdADSchema
Code:
Import-module AdmPwd.PS Update-AdmPwdADSchema
Mise à jour du schéma, pour LapsADSchema
Code:
Import-module LAPS Get-Commande -Module LAPS Update-LapsADSchema -Verbose
Après une exécution réussie du code, vous aurez 2 nouveaux attributs dans votre schéma d'annuaire actif: ms-Mcs-AdmPwd (attribut où le mot de passe sera stocké) et ms-Mcs-AdmPwdExpirationTime (attribut où la date d'expiration du mot de passe sera stockée) et vous devez recevoir une sortie similaire
Donc la moitié de la configuration est faite
Configons le LCA pour le rendre plus sûr
Afin d'autoriser l'auto-autorisation d'assignation de l'ordinateur, nous devons exécuter le code suivant
Code:
$dsnAME = (Get-ADDomain).DistinguishedName Import-module AdmPwd.PS Set-AdmPwdComputerSelfPermission -Identity "OU=PAW,OU=Tier0,OU=Admin,$dsname" Set-AdmPwdComputerSelfPermission -Identity "OU=Servers,OU=Tier0,OU=Admin,$dsname" Set-AdmPwdComputerSelfPermission -Identity "OU=PAW,OU=Tier1,OU=Admin,$dsname" Set-AdmPwdComputerSelfPermission -Identity "OU=Servers,OU=Tier1,OU=Admin,$dsname" Set-AdmPwdComputerSelfPermission -Identity "OU=Computers,OU=AzureBlog,$dsname" Set-AdmPwdComputerSelfPermission -Identity "OU=Quarantine,$dsname"
Le code précédent permet aux objets informatiques des OU fournis de mettre à jour ms-Mcs-AdmPwd et ms-Mcs-AdmPwdExpirationTemp dans Active Directory.
L'étape suivante consiste à permettre aux utilisateurs de lire des mots de passe à partir des attributs ms-Mcs-AdmPwd et ms-Mcs-AdmPwdExpirationTime.
Code:
$dsnAME = (Get-ADDomain).DistinguishedName Import-module AdmPwd.PS Set-AdmPwdReadPasswordPermission -Identity "OU=PAW,OU=Tier0,OU=Admin,$dsname" -AllowedPrincipals "t0-admins" Set-AdmPwdReadPasswordPermission -Identity "OU=Servers,OU=Tier0,OU=Admin,$dsname" -AllowedPrincipals "t0-admins" Set-AdmPwdReadPasswordPermission -Identity "OU=PAW,OU=Tier1,OU=Admin,$dsname" -AllowedPrincipals "t0-admins","t1-admins" Set-AdmPwdReadPasswordPermission -Identity "OU=Servers,OU=Tier1,OU=Admin,$dsname" -AllowedPrincipals "t0-admins","t1-admins" Set-AdmPwdReadPasswordPermission -Identity "OU=Computers,OU=AzureBlog,$dsname" -AllowedPrincipals "t0-admins","t1-admins" Set-AdmPwdReadPasswordPermission -Identity "OU=Quarantine,$dsname" -AllowedPrincipals "t0-admins","t2-admins"
Comme vous pouvez le voir que sous le paramètre Identity, nous fournissons le nom distingué à l'OU et aux Autorisés non rouges, nous fournissons des groupes qui devraient avoir des autorisations pour lire les attributs.
La configuration des permissions de mot de passe est la fin de, nous devons configurer les permissions de mot de passe de réinitialisation
Code:
$dsnAME = (Get-ADDomain).DistinguishedName Import-module AdmPwd.PS Set-AdmPwdResetPasswordPermission -Identity "OU=PAW,OU=Tier0,OU=Admin,$dsname" -AllowedPrincipals "t0-admins" Set-AdmPwdResetPasswordPermission -Identity "OU=Servers,OU=Tier0,OU=Admin,$dsname" -AllowedPrincipals "t0-admins" Set-AdmPwdResetPasswordPermission -Identity "OU=PAW,OU=Tier1,OU=Admin,$dsname" -AllowedPrincipals "t0-admins","t1-admins" Set-AdmPwdResetPasswordPermission -Identity "OU=Servers,OU=Tier1,OU=Admin,$dsname" -AllowedPrincipals "t0-admins","t1-admins" Set-AdmPwdResetPasswordPermission -Identity "OU=Computers,OU=AzureBlog,$dsname" -AllowedPrincipals "t0-admins","t1-admins" Set-AdmPwdResetPasswordPermission -Identity "OU=Quarantine,$dsname" -AllowedPrincipals "t0-admins","t2-admins"
Comme avant, vous pouvez voir que sous le paramètre Identity nous fournissons le nom distingué à l'OU et les donneurs d'ordre non rouge que nous fournissons des groupes qui devraient avoir des autorisations pour lire les attributs.
Donc la partie PowerShell est faite, passons à la console de gestion de politique de groupe. Nous devons créer 2 GPO :
LAPSInstallation-v1.0 – nous utiliserons des fichiers msi de SysVol pour l'installer sur des serveurs membres et des stations de travail
LAPSConfiguration-v1.0 – nous configurerons les paramètres du mot de passe
Vous trouverez ci-dessous la configuration de GPO
Nom : LAPSInstallaton-v.1.0
Statut de GPO: Paramètres de configuration de l'utilisateur désactivés
Catégorie: Configuration de l'ordinateur - Installation de services - Installation de logiciels
Placement de l'emballage : 'DOMAIN'NAME-SysVol'Domain'NUE'Scripts-LAPS-LAPS.x64.msi
État de déploiement : Affecté
Placement de l'emballage : 'DOMAIN'NAME-SysVol'Domain'NUE'Scripts'LAPS.x86.msi
État de déploiement : Affecté
Options de déploiement avancée:
Nom : LAPSConfiguration-v.1.0
Statut de GPO: Paramètres de configuration de l'utilisateur désactivés
Catégorie: Configuration d'ordinateurs-politiques-Temples d'administration-LAPS
Politique : Permettre la gestion des mots de passe d'administration locale
État d'avancement : Persis par le traitement
Politique: Paramètres du mot de passe
Complexité du mot de passe : Grandes lettres, petites lettres, chiffres et spécialités
Mot de passe Longueur:
AP-Épée Age (Jours):
Si à l'heure actuelle vous êtes sur le point de demander « OK, mais que se passe-t-il si je renommes mon compte administrateur local, ou si je veux l'utiliser pour un compte différent ? »
Sédorons la question en 2 questions:
1. « OK, mais que se passe-t-il si je renomme mon compte administrateur local. » – la réponse est simple si vous renommez un compte administrateur intégré à n'importe quel autre comme WKSADM, etc., il aura toujours un SID bien connu et il sera détecté automatiquement.
2. » Je veux l'utiliser pour un compte différent ? «
À cette fin, vous devez configurer une politique supplémentaire dans LAPSConfiguration-v.1.0 appelée: Nom d'un compte d'administrateur pour gérer
Nous sommes presque à la fin de la partie de configuration. La dernière chose à faire est de lier nos administrateurs à l'endroit approprié
Dans mon LAB, j'ai relié les GPO comme dans la photo ci-dessous:
Affectation du LAPS GPO
Fondamentalement, LAPSConfiguration-v.1.0 GPO est lié au niveau racine du domaine azureblog.pl et LAPSInstallation-v.1.0 a été lié à chaque OU où j'ai des objets informatiques.
Après la commande gpupdate/force rapide, je peux voir que LAPS a été installé sur mon serveur de membres et la station de travail des membres.
Après quelques minutes, je devrais pouvoir lire le mot de passe de l'attribut ms-Mcs-AdmPwd en utilisant l'une des techniques ci-dessous:
UI LAPS
Utilisateurs et ordinateurs d'annuaire actif
Écoce de Powershell
Vérification du mot de passe de l'UI LAPS
ADUC lire mot de passe LAPS
Powershell lire le mot de passe de LAPS
Donc c'est la fin.. Nous avons déployé et configuré avec succès LAPS dans un environnement LAB.
J'espère que cet article vous aidera d'une manière ou d'une autre.