Differences

This shows you the differences between two versions of the page.

--- настройка_laps [2024/06/26 16:43] – jp
+++ настройка_laps [2024/07/10 08:17] (current) – jp
@@ Line 10: / Line 10: @@
    Windows Server 2022 – April 11 2023 Update
-Настройке //Windows LAPS// посвящена данная инструкция.
+Настройке //Windows LAPS// посвещена данная инструкция.
 ** Расширение схемы AD **
+:!: //Все последующие команды выполняются на контроллерах домена.//
 . Импортируем модули LAPS
@@ Line 23: / Line 25: @@
    Update-LapsADSchema
-. Проверяем наличие аттрибутов (в выводе команды будет сообщение о том, что атрибуты уже добавлены)
+. Проверяем наличие атрибутов (в выводе команды будет сообщение о том, что атрибуты уже добавлены)
    Update-LapsAdSchema -Verbose
-Можно проверить наличие аттрибутов в консоли управления AD в свойствах какой-либо рабочей станции или сервера.
+Можно проверить наличие атрибутов в консоли управления AD в свойствах какой-либо рабочей станции или сервера.
 ;#;
 {{::laps_ad_attr_ws.jpg?400|}}
 ;#;
-Также появится вкладка "LAPS", где и будет располагаться управление паролями.
+Также появится вкладка //LAPS//, где и будет располагаться управление паролями.
 ** Назначение права компьютерам обновлять информацию о LAPS **
-Компьютерам необходимо обновлять информацию о LAPS. Данная команда позволит им записывать информацию в AD. Здесь необходимо выбрать OU, в котором располагаются компьютеры, предоставляющие информацию LAPS. Если имя OU не уникально в //Identity// можно указать его //DistinguishedName// из атрибутов.
+Компьютерам необходимо обновлять информацию о LAPS. Данная команда позволит им записывать информацию в AD. Здесь необходимо выбрать OU, в котором располагаются компьютеры, предоставляющие информацию LAPS. Если имя OU не уникально - в //Identity// можно указать его //DistinguishedName// из атрибутов.
-   Set-LapsADComputerSelfPermission -Identity "OU=Company,DC=exoip,DC=local"
+   Set-LapsADComputerSelfPermission -Identity "OU=Company,DC=domain,DC=local"
 **Настройка GPO**
@@ Line 82: / Line 84: @@
 **Настройка группы расшифровки и просмотра**
-Чтобы узнать SID группы, которую хотим добавить - выполним команду:
+Чтобы узнать SID группы, которую хотим добавить в политику выше - выполним команду:
    Get-ADGroup "LAPS_group"
@@ Line 93: / Line 95: @@
 ;#;
-Также, для группы необходимо разрешить просмотр паролей данной командой:
+Для выбранной группы необходимо разрешить просмотр паролей данной командой:
 <WRAP prewrap>
 <code>
@@ Line 99: / Line 101: @@
 </code>
 </WRAP>
+Право на сброс пароля устанавливаем другой командой:
+<WRAP prewrap>
+<code>
+Set-LapsADResetPasswordPermission -Identity "OU=Company,DC=domain,DC=local" -AllowedPrincipals @("S-1-5-21-1083891243-2317051905-4228426097-3278")
+</code>
+</WRAP>
+**Результаты**
+Применяем созданную политику к нужным OU, в которых располагаются устройства, обновляющие пароли, и ждём пока сведения в AD в графе //LAPS// начнут обновляться.
+;#;
+{{::laps_ad_pwd_example.jpg?400|}}
+;#;
+{{tag>ActiveDirectory Microsoft PowerShell LAPS GPO}}