Active Directory’de LAPS (Local Administrator Password Solution) Konfigürasyonu

Öncelikle LAPS programı buradan indiriyoruz:

LAPS Nedir ?

Bildiğiniz gibi şu yazımda (buraya tıklayın) Administrator hesabını aktif ettik ve şifre belirledik.Bunu local adminlik gerektiren bazı işleri yapılmak adına yapmıştık.Administrator hesabının şifresi sabitledi ve bu şekilde sistemin imajını alıp bunu bütün bilgisayarlara imaj attık. Örnek vermek gerekirse bütün bilgisayarların Administrator hesabı (mesela 123qwe) oldu.

Şimdi bu ne kadar güvenli ? Bir yerde bu şifre bir şekilde ele geçti diyelim ki zaten bu şifre ele geçiyorsa bazı şeyleri gözden geçirmeniz gerekiyor 🙂

Sonuç olarak bu şekilde çok güvenlikli olmadığı için adamlar bizi düşünmüş ve LAPS adında bir sistem geliştirmişler.

LAPS Nasıl Çalışır?

LAPS kurulu cilent makinemde Administrator şifresi random karakterlerden oluşan ve belli karakter uzunluğunda olan bir şifreye dönüşüyor.Ayrıca bu LAPS şifresi 30 günde bir (tercihe göre 60 gün / 90 gün vs) yenilenmekte.Şimdi uygulamaya geçelim daha iyi anlayacaksınız.

Şimdi diyelim ki daha önceden domaine aldığımız 100 tane cilent makinem var.Öncelikle bunlara LAPS programını kurmamız gerekiyor.Kurulum adımlarına geçelim.

  1. Adım Server Üzerinde Kurulum

Server üzerinde görselde görüldüğü üzere adım adım kuruyoruz.Custom setup aşamasında bütün modülleri seçiyoruz. her birine “Will be installed on local hard drive” seçeceğini seçiyoruz.

2. Aşama Client Makineme LAPS Kurulumu

Burada LAPS kurarken next diyoruz herhangi bir modül yüklemiyoruz.

3. Aşama Powershell Komutları

Şimdi tekrar Server’a dönüyoruz ve powershell açıp aşağıda ki komutları giriyoruz.

Active Directory üzerinde Client makinelere LAPS konfigürasyonu yapmak için gerekli komutları giriyoruz.Burada dikkat etmeniz gereken şey Organization Unit adını doğru şekilde girmek.Ben Balikesir Organization Unit’in atlında ki tüm Client makinelere uyguluyorum şuan.

4. Aşama Policy Oluşturmak Ve Düzenlemek

Şimdi LAPS uygulamak için bir policy’ye ihtiyacım var.

Balikesir isimli Organization Unit için bir policy oluşturuyorum .Policy adım LapsPassword olsun.Edit diyorum .

Computer Configuration diyorum ve ilgil policy yoluna giriyoruz.Ardından LAPS için policy ayarlamaya başlıyoruz.

Öncelikle “enable local admin password managment” isimli policy’mi enable ediyorum.Şuan aktif oldu ama daha işimiz bitmedi.”Password Settings” isimli policy’me giriyorum ve şifre kombinasyonunu ayarlıyorum.

Şifremi 12 karakterli ve 30 gün boyunca değişmeyecek olarak belirledim.Siz daha farklı bir kombinasyon ayarlayabilirsiniz.

Name Of administrator account to manager Üzerinde Client makinamda ki Administrator yetkili hesabımın adını girmem gerekiyor.Girdikten sonra server üzerinde gpupdate /force komutumu yazıyorum.

Not:Benim Client makinemde sadece Administrator hesabım var o yüzden ben onu yazıyorum.Siz mesela Administrator hesabını silip Admin isimli bir user açıp ona Administrator yetkileri verebilirsiniz.Tercih sizin.Normalde güvenlik amaçlı bu şekilde olması gerekiyor zaten.

Şimdi Server üzerinde gpupdate yapalım.

5. Aşama Policy Çektirmek Ve Yeni Administrator Şifresini Görmek

Ardından Client makineme geçelim.Burada dilerseniz cilent makinem içinde gpupdate yapabilirsiniz ya da restart edin.Ama garanti olsun her ikisinide yapalım 🙂 Burada amaç Computer policy’nin uygulanmasını sağlamak.Restart ediyorum.

Şimdi deneyelim bakalım Administrator hesabımla daha ilk imajda belirlediğim 123qwe şifresi ile oturum açabilecek miyim ?

Nefesleri tutuyoruz……

Evet LAPS şifremiz aktifleştirilmiş oturum açamadık 🙂 Peki bu şifreyi biz nereden görüceğiz? Hemen Server’a giriş yapıyorum ve LAPS programını açıyorum.Ardından Client ismini program üzerinden search ettiriyorum.

Bu şekilde domainde bulanan bütün Client makinelerim yeni şifresine kavuşmuş oldu.Tüm bilgisayarla LAPS MSI paketini göndeririz ve restart edildikten LAPS şifresine kavuşmuş olur. Hayırlı gpupdate’ler dilerim 🙂

Leave a Reply

*

1 comment