===== Настройка Windows LAPS =====

Одинаковые пароли локальных администраторов представляют собой риск с точки зрения безопасности. Для устранения этой проблемы можно использовать решение LAPS. 

Существует два вида LAPS: //Microsoft LAPS// (Legacy) и //Windows LAPS//. Первое решение предполагает установку дополнительного набора компонентов из специального msi-пакета и является устаревшим. Для использования Windows LAPS, в свою очередь, не требуется отдельного пакета. Всё нужное уже есть в Windows 10 или 11, если редакция старше следующих: 

   Windows 10 – April 11 2023 Update 
   Windows 11 22H2 – April 11 2023 Update
   Windows Server 2019 – April 11 2023 Update
   Windows Server 2022 – April 11 2023 Update

Настройке //Windows LAPS// посвещена данная инструкция.

** Расширение схемы AD **

:!: //Все последующие команды выполняются на контроллерах домена.//

1. Импортируем модули LAPS

   ipmo LAPS
2. Проверяем наличие модулей. Если в выводе команды пусто - вероятно, требуется обновление Windows

   gcm -Module LAPS
3. От имени доменного администратора добавляем необходимые атрибуты и расширяем схему AD (выбираем опцию "A" после появления запроса)

   Update-LapsADSchema
4. Проверяем наличие атрибутов (в выводе команды будет сообщение о том, что атрибуты уже добавлены)

   Update-LapsAdSchema -Verbose
Можно проверить наличие атрибутов в консоли управления AD в свойствах какой-либо рабочей станции или сервера.

;#;
{{::laps_ad_attr_ws.jpg?400|}}
;#;
Также появится вкладка //LAPS//, где и будет располагаться управление паролями. 

** Назначение права компьютерам обновлять информацию о LAPS **

Компьютерам необходимо обновлять информацию о LAPS. Данная команда позволит им записывать информацию в AD. Здесь необходимо выбрать OU, в котором располагаются компьютеры, предоставляющие информацию LAPS. Если имя OU не уникально - в //Identity// можно указать его //DistinguishedName// из атрибутов. 

   Set-LapsADComputerSelfPermission -Identity "OU=Company,DC=domain,DC=local"
**Настройка GPO**

Настройка GPO происходит в следующей ветке:

   Computer Configuration > Policies > Administrative Templates > System > LAPS
:!: //Если мы не видим данного раздела вообще - вероятно, у нас настроена //Central Store// и соответствующие файлы GPO необходимо в неё скопировать.// 

Исходные файлы располагаются здесь:

   C:\Windows\PolicyDefinitions\LAPS.admx
   C:\Windows\PolicyDefinitions\en-US\LAPS.adml
Их нужно скопировать в шару контроллеров домена //SysVol//. Чтобы не получить ошибку с правами на запись в общую папку, проще скопировать файлы локально (они будут реплицированы на другие контроллеры):

   C:\Windows\SYSVOL\sysvol\domain.domain.ru\Policies\PolicyDefinitions\LAPS.admx
   C:\Windows\SYSVOL\sysvol\domain.domain.ru\Policies\PolicyDefinitions\en-US\LAPS.adml

В политике нас интересуют следующие параметры. 

//Name of administrator account to manage// - имя учётки локального админа, которую будем контроллировать.

;#;
{{::laps_ad_gpo_admin_name.jpg?400|}}
;#;

//Configure password backup directory// - место, куда бэкапим пароли (альтернатива AD тут Azure).

;#;
{{::laps_ad_gpo_backup_dir.jpg?400|}}
;#;

//Password settings// - настройки сложности пароля.

;#;
{{::laps_ad_gpo_password_settings.jpg?400|}}
;#;

//Configure authorized password decryptors// - SID группы, которой мы хотим делегировать право расшифровывать и смотреть пароли локальных УЗ. 

;#;
{{::laps_ad_gpo_password_decryptors.jpg?400|}}
;#;

**Настройка группы расшифровки и просмотра**

Чтобы узнать SID группы, которую хотим добавить в политику выше - выполним команду:

   Get-ADGroup "LAPS_group"
:!: //По умолчанию расшифровывать пароли могут администраторы домена. Если мы делегируем это группе явно - администраторов домена следует включить в данную группу.//

:!: //При создании группы для LAPS - её тип необходимо обязательно выставить в Universal, а не Global//. 

;#;
{{::laps_group_ad.jpg?400|}}
;#;

Для выбранной группы необходимо разрешить просмотр паролей данной командой:
<WRAP prewrap>
<code>
Set-LapsADReadPasswordPermission -Identity "OU=Company,DC=domain,DC=local" -AllowedPrincipals @("S-1-5-21-1083891243-2317051905-4228426097-3278")
</code>
</WRAP>

Право на сброс пароля устанавливаем другой командой: 

<WRAP prewrap>
<code>
Set-LapsADResetPasswordPermission -Identity "OU=Company,DC=domain,DC=local" -AllowedPrincipals @("S-1-5-21-1083891243-2317051905-4228426097-3278")
</code>
</WRAP>

**Результаты**

Применяем созданную политику к нужным OU, в которых располагаются устройства, обновляющие пароли, и ждём пока сведения в AD в графе //LAPS// начнут обновляться.

;#;
{{::laps_ad_pwd_example.jpg?400|}}
;#;

{{tag>ActiveDirectory Microsoft PowerShell LAPS GPO}}