Bir çok şirket ilk kurulum aşamalarından kolay ve hızlı ilerlemek için oluşturulan temlate sistemler üzerinden tüm sunucuların local admin şifrlerini aynı olarak kullanır . Bir GPO yardımı ile Ya Local Admin Hesablarını disable duruma getirir veya farklı bir isimde Local Admin hesabı oluşturarak Local Administrators grubuna üye yapar . Burada yapılan sızma testlerinde hesabların password never expire durumları dikkate alınır ve böyle bir durum pekte doğru bulunmaz . Belli aralıklarlada olsa bu tür passwordlerin değiştirlmesi gerekmektedir . Bu konuda Microsoft un ücretsiz kullanıma sunduğu LAPS (Local Admin Password Solutions ) ‘ ı kullanabilirsiniz .
Öncelikle dosya yı Microsoft sayfasından indiriyoruz .
Local admin Passwordlerini yöneteceğimiz tüm makinelere kurulumumuzu gerçekleştiriyoruz. Kurulumumuzu bir GPO yardımı ile gerçekleştirebiliriz .
msiexec /i \\Server\Share\laps.x64.msi /quiet veya msiexec /i c:\laps.x64.msi /quiet
İndirdiğimiz dosyayının kurulumuna başlıyoruz next ile ilerliyoruz.
Lisans sözleşmesini kabul edip ilerliyoruz.
Tüm seçenekleri seçerek ilerliyoruz.
Kurulumumuzu bitirdikten sonra program ekle kaldırda görebiliyoruz .
Daha sonra AD tarafından Shemamıza iki özellik eklemek için aşağıdaki komutları sırası ile giriyouz.
Import-module AdmPwd.PS Update-AdmPwdADSchema
Daha sonra oluşturuduğumuz OU ‘ şifreleri güncelleyebilmek için aşağıdaki komut ile yetki veriyoruz.
Set-AdmPwdComputerSelfPermission -OrgUnit ' Etki Alanı Bilgisayarları '
Aşağıdaki komut ile bu OU üzerinde kimlerin yetki olduğunu görebilmekteyiz .Ben LAPS adında bir OU oluşturdum .
Find-AdmPwdExtendedRights -Identity LAPS
Oluşturduğumuz bir grup veya kullanıcıya şifrleri görebilmesi için aşağıdaki komut ile izin veriyoruz . Ben PasswordShow adından bir grup oluşturdum ve bu gruba izin veriyorum .
Set-AdmPwdReadPasswordPermissions -Orgunit LAPS -AllowedPrinciples PasswordShow
Eğer ilgili kullanıcı veya gruba password resetleme yetkisi vermek istersek aşağıdaki komut setini kullanıyoruz.
Set-AdmPwdResetPasswordPermission -OrgUnit PasswordShow
Active Directory Group Policy Management ‘ ı açıyoruz . LAPS OU ‘ su üzerinde yeni bir policy oluşturuyoruz .
Computer Configuration > Policies > Administrative Templates > LAPS üzerine geliyoruz.
Enable Local Admin Password Management sekmesini enable yapıyoruz.
Password Setting sekmesini enable yapıyoruz. Burada uygulanacak password politikamızı belirliyoruz. Default olarak 14 karakter , kompleks ve 30 günde bir değiştirme seçeneği geliyor . Ben defaul ayarda bıraktım .
Yazımızın da başından belirtmiştim eğer administrator hesabı yerine farklı bir isimde admin hesabı kullanılmışsa onuda yönetebiliyoruz.
Daha sonra uyguladığımız policy ve LAPS setup ‘ ını yükleme yaptığımız bir client makinanın özelliklerine AD üzerinden baktığımızda Password ‘ ü ve Expire zamanını görebiliyoruz .
Gui ekranından password ‘ ü ve expire zamanımızı görebiliyoruz .
Bu şekilde tüm client ve server makinalarımızın Local Admin passwordlerini yönetebilir hale geldik . Umarım faydalı bir makale olmultur .
- admin
- Windows Server
- 25 Mart 2019 - 11:34
- Yorum Yok
- 364 Görüntülenme