jpolisher's IT-wiki

User Tools

Site Tools

Trace:
настройка_laps

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
настройка_laps [2024/06/26 16:41] jpнастройка_laps [2024/07/10 08:17] (current) jp
Line 10: Line 10:
    Windows Server 2022 – April 11 2023 Update    Windows Server 2022 – April 11 2023 Update
  
-Настройке //Windows LAPS// посвящена данная инструкция.+Настройке //Windows LAPS// посвещена данная инструкция.
  
 ** Расширение схемы AD ** ** Расширение схемы AD **
 +
 +:!: //Все последующие команды выполняются на контроллерах домена.//
  
 1. Импортируем модули LAPS 1. Импортируем модули LAPS
Line 23: Line 25:
  
    Update-LapsADSchema    Update-LapsADSchema
-4. Проверяем наличие аттрибутов (в выводе команды будет сообщение о том, что атрибуты уже добавлены)+4. Проверяем наличие атрибутов (в выводе команды будет сообщение о том, что атрибуты уже добавлены)
  
    Update-LapsAdSchema -Verbose    Update-LapsAdSchema -Verbose
-Можно проверить наличие аттрибутов в консоли управления AD в свойствах какой-либо рабочей станции или сервера.+Можно проверить наличие атрибутов в консоли управления AD в свойствах какой-либо рабочей станции или сервера.
  
 ;#; ;#;
 {{::laps_ad_attr_ws.jpg?400|}} {{::laps_ad_attr_ws.jpg?400|}}
 ;#; ;#;
-Также появится вкладка "LAPS", где и будет располагаться управление паролями. +Также появится вкладка //LAPS//, где и будет располагаться управление паролями. 
  
 ** Назначение права компьютерам обновлять информацию о LAPS ** ** Назначение права компьютерам обновлять информацию о LAPS **
  
-Компьютерам необходимо обновлять информацию о LAPS. Данная команда позволит им записывать информацию в AD. Здесь необходимо выбрать OU, в котором располагаются компьютеры, предоставляющие информацию LAPS. Если имя OU не уникально в //Identity// можно указать его //DistinguishedName// из атрибутов. +Компьютерам необходимо обновлять информацию о LAPS. Данная команда позволит им записывать информацию в AD. Здесь необходимо выбрать OU, в котором располагаются компьютеры, предоставляющие информацию LAPS. Если имя OU не уникально в //Identity// можно указать его //DistinguishedName// из атрибутов. 
  
-   Set-LapsADComputerSelfPermission -Identity "OU=Company,DC=exoip,DC=local"+   Set-LapsADComputerSelfPermission -Identity "OU=Company,DC=domain,DC=local"
 **Настройка GPO** **Настройка GPO**
  
Line 80: Line 82:
 ;#; ;#;
  
-Чтобы узнать SID - выполним+**Настройка группы расшифровки и просмотра** 
 + 
 +Чтобы узнать SID группы, которую хотим добавить в политику выше - выполним команду:
  
    Get-ADGroup "LAPS_group"    Get-ADGroup "LAPS_group"
Line 91: Line 95:
 ;#; ;#;
  
-Также, для группы необходимо разрешить просмотр паролей данной командой:+Для выбранной группы необходимо разрешить просмотр паролей данной командой: 
 +<WRAP prewrap> 
 +<code> 
 +Set-LapsADReadPasswordPermission -Identity "OU=Company,DC=domain,DC=local" -AllowedPrincipals @("S-1-5-21-1083891243-2317051905-4228426097-3278"
 +</code> 
 +</WRAP> 
 + 
 +Право на сброс пароля устанавливаем другой командой:  
 + 
 +<WRAP prewrap> 
 +<code> 
 +Set-LapsADResetPasswordPermission -Identity "OU=Company,DC=domain,DC=local" -AllowedPrincipals @("S-1-5-21-1083891243-2317051905-4228426097-3278"
 +</code> 
 +</WRAP> 
 + 
 +**Результаты** 
 + 
 +Применяем созданную политику к нужным OU, в которых располагаются устройства, обновляющие пароли, и ждём пока сведения в AD в графе //LAPS// начнут обновляться. 
 + 
 +;#; 
 +{{::laps_ad_pwd_example.jpg?400|}} 
 +;#;
  
-   Set-LapsADReadPasswordPermission -Identity "OU=Company,DC=domain,DC=local" -AllowedPrincipals @("S-1-5-21-1083891243-2317051905-4228426097-3278")+{{tag>ActiveDirectory Microsoft PowerShell LAPS GPO}}
настройка_laps.1719420105.txt.gz · Last modified: 2024/06/26 16:41 by jp