Differences

This shows you the differences between two versions of the page.

--- настройка_laps [2024/06/26 16:35] – jp
+++ настройка_laps [2024/07/10 08:17] (current) – jp
@@ Line 10: / Line 10: @@
    Windows Server 2022 – April 11 2023 Update
-Настройке //Windows LAPS// посвящена данная инструкция.
+Настройке //Windows LAPS// посвещена данная инструкция.
 ** Расширение схемы AD **
+:!: //Все последующие команды выполняются на контроллерах домена.//
 . Импортируем модули LAPS
@@ Line 23: / Line 25: @@
    Update-LapsADSchema
-. Проверяем наличие аттрибутов (в выводе команды будет сообщение о том, что атрибуты уже добавлены)
+. Проверяем наличие атрибутов (в выводе команды будет сообщение о том, что атрибуты уже добавлены)
    Update-LapsAdSchema -Verbose
-Можно проверить наличие аттрибутов в консоли управления AD в свойствах какой-либо рабочей станции или сервера.
+Можно проверить наличие атрибутов в консоли управления AD в свойствах какой-либо рабочей станции или сервера.
 ;#;
 {{::laps_ad_attr_ws.jpg?400|}}
 ;#;
-Также появится вкладка "LAPS", где и будет располагаться управление паролями.
+Также появится вкладка //LAPS//, где и будет располагаться управление паролями.
 ** Назначение права компьютерам обновлять информацию о LAPS **
-Компьютерам необходимо обновлять информацию о LAPS. Данная команда позволит им записывать информацию в AD. Здесь необходимо выбрать OU, в котором располагаются компьютеры, предоставляющие информацию LAPS. Если имя OU не уникально в //Identity// можно указать его //DistinguishedName// из атрибутов.
+Компьютерам необходимо обновлять информацию о LAPS. Данная команда позволит им записывать информацию в AD. Здесь необходимо выбрать OU, в котором располагаются компьютеры, предоставляющие информацию LAPS. Если имя OU не уникально - в //Identity// можно указать его //DistinguishedName// из атрибутов.
-   Set-LapsADComputerSelfPermission -Identity "OU=Company,DC=exoip,DC=local"
+   Set-LapsADComputerSelfPermission -Identity "OU=Company,DC=domain,DC=local"
 **Настройка GPO**
@@ Line 80: / Line 82: @@
 ;#;
-Чтобы узнать SID - выполним
+**Настройка группы расшифровки и просмотра**
+Чтобы узнать SID группы, которую хотим добавить в политику выше - выполним команду:
    Get-ADGroup "LAPS_group"
-:!: //По умолчанию смотреть пароли могут администраторы домена. Если мы делегируем это группе явно - администраторов домена следует включить в данную группу.//
+:!: //По умолчанию расшифровывать пароли могут администраторы домена. Если мы делегируем это группе явно - администраторов домена следует включить в данную группу.//
+:!: //При создании группы для LAPS - её тип необходимо обязательно выставить в Universal, а не Global//.
+;#;
+{{::laps_group_ad.jpg?400|}}
+;#;
+Для выбранной группы необходимо разрешить просмотр паролей данной командой:
+<WRAP prewrap>
+<code>
+Set-LapsADReadPasswordPermission -Identity "OU=Company,DC=domain,DC=local" -AllowedPrincipals @("S-1-5-21-1083891243-2317051905-4228426097-3278")
+</code>
+</WRAP>
+Право на сброс пароля устанавливаем другой командой:
+<WRAP prewrap>
+<code>
+Set-LapsADResetPasswordPermission -Identity "OU=Company,DC=domain,DC=local" -AllowedPrincipals @("S-1-5-21-1083891243-2317051905-4228426097-3278")
+</code>
+</WRAP>
+**Результаты**
+Применяем созданную политику к нужным OU, в которых располагаются устройства, обновляющие пароли, и ждём пока сведения в AD в графе //LAPS// начнут обновляться.
+;#;
+{{::laps_ad_pwd_example.jpg?400|}}
+;#;
+{{tag>ActiveDirectory Microsoft PowerShell LAPS GPO}}