Bir çok şirket ilk kurulum aşamalarından kolay ve hızlı ilerlemek için oluşturulan temlate sistemler üzerinden tüm sunucuların local admin şifrlerini aynı olarak kullanır . Bir GPO yardımı ile Ya Local Admin Hesablarını disable duruma getirir veya farklı bir isimde Local Admin hesabı oluşturarak Local Administrators grubuna üye yapar . Burada yapılan sızma testlerinde hesabların password never expire durumları dikkate alınır ve böyle bir durum pekte doğru bulunmaz . Belli aralıklarlada olsa bu tür passwordlerin değiştirlmesi gerekmektedir . Bu konuda Microsoft un ücretsiz kullanıma sunduğu LAPS (Local Admin Password Solutions ) ‘ ı kullanabilirsiniz .

Öncelikle dosya yı Microsoft sayfasından indiriyoruz .

Local admin Passwordlerini yöneteceğimiz tüm makinelere  kurulumumuzu gerçekleştiriyoruz. Kurulumumuzu bir GPO yardımı ile gerçekleştirebiliriz .

msiexec /i \\Server\Share\laps.x64.msi /quiet
veya
msiexec /i c:\laps.x64.msi /quiet

İndirdiğimiz dosyayının kurulumuna başlıyoruz next ile ilerliyoruz.

Lisans sözleşmesini kabul edip ilerliyoruz.

Tüm seçenekleri seçerek ilerliyoruz.

Kurulumumuzu bitirdikten sonra program ekle kaldırda görebiliyoruz .

Daha sonra AD tarafından Shemamıza iki özellik eklemek için aşağıdaki komutları sırası ile giriyouz.

Import-module AdmPwd.PS

Update-AdmPwdADSchema

 

Daha sonra oluşturuduğumuz OU ‘ şifreleri güncelleyebilmek için aşağıdaki komut ile yetki veriyoruz.

Set-AdmPwdComputerSelfPermission -OrgUnit ' Etki Alanı Bilgisayarları '

 

Aşağıdaki komut ile bu OU üzerinde kimlerin yetki olduğunu görebilmekteyiz .Ben LAPS adında bir OU oluşturdum .

Find-AdmPwdExtendedRights -Identity LAPS

 

Oluşturduğumuz bir grup veya kullanıcıya şifrleri görebilmesi için aşağıdaki komut ile izin veriyoruz . Ben PasswordShow adından bir grup oluşturdum ve bu gruba izin veriyorum .

Set-AdmPwdReadPasswordPermissions -Orgunit LAPS -AllowedPrinciples PasswordShow

 

Eğer ilgili kullanıcı veya gruba password resetleme yetkisi vermek istersek aşağıdaki komut setini kullanıyoruz.

Set-AdmPwdResetPasswordPermission -OrgUnit PasswordShow

 

Active Directory Group Policy Management ‘ ı açıyoruz . LAPS OU ‘ su üzerinde yeni bir policy oluşturuyoruz .

Computer Configuration > Policies > Administrative Templates > LAPS üzerine geliyoruz.

Enable Local Admin Password Management sekmesini enable yapıyoruz.

Password Setting sekmesini enable yapıyoruz. Burada uygulanacak password politikamızı belirliyoruz. Default olarak 14 karakter , kompleks ve 30 günde bir değiştirme seçeneği geliyor . Ben defaul ayarda bıraktım .

Yazımızın da başından belirtmiştim eğer administrator hesabı yerine farklı bir isimde admin hesabı kullanılmışsa onuda yönetebiliyoruz.

Daha sonra uyguladığımız policy ve LAPS setup ‘ ını yükleme yaptığımız bir client makinanın özelliklerine AD üzerinden baktığımızda Password ‘ ü ve Expire zamanını görebiliyoruz .

Gui ekranından password ‘ ü ve expire zamanımızı görebiliyoruz .

Bu şekilde tüm client ve server makinalarımızın Local Admin passwordlerini yönetebilir hale geldik . Umarım faydalı bir makale olmultur .

Paylaşmak Güzeldir
Yazar
Yazar
Hatay -Reyhanlı doğumluyum. İlk ve Orta öğrenimimi Malatya Zafer İlkokulu, Lise eğitimimi Denizli Anadolu Teknik Lisesi Elektrik bölümünde okudum. Üniversite eğitimimi Trakya Üniversitesi Bilgisayar Programcılığı bölümünde tamamladım. Hizmet verdiği sektörler de lider olan Türkiye’nin öncü kurumlarında, Danışman – Kıdemli Uzman – Sistem Yöneticisi – Sistem & Network Yöneticisi gibi pozisyonlarında görev aldım. Teknik uzmanlık alanlarım Microsoft (MCT – MCSE – MCSA – MCSA + S + M , MCSE + S + M), Veeam (VMCE), Cisco (CCNA), HPE, DellEMC ürün aileleridir. Microsoft ürünlerinden , Active Directory, Exchange Server, Skype for Business , FailOver Cluster ve IIS, ile ilgili planlama, kurulum ve yaygınlaştırma projelerini yürüttüm. Sanallaştırma ve yedeklilik katmanın da VMware, ve Veeam ürünlerini kullandım. Data Center projeleri kapsamında Hyper Converged (Hiper Bütünleşik) ve Traditional (Geleneksel) mimariler ile çalışabilme imkanım oldu. Manage Engine ServiceDesk Plus, AD Manager , AD Self Service , AD Audit ürünlerini kullandım. BELBiM Elektronik Para ve Ödeme Hizmetleri A.Ş. ‘de Microsoft Sistemleri Takım Lideri olarak görev yapmaktayım .
Prevent Users from Changing Photo in OWA Windows Server 2019 IIS Shared Config
Bir yorum yazın
Siz de düşüncenizi belirtebilirsiniz.

WP Twitter Auto Publish Powered By : XYZScripts.com