Gestire le Password Locali nel Dominio

Esiste la possibilità di gestire, in modo centralizzato, le password di amministrazione locali memorizzate nei client (compresi i server membri) in un dominio. Lo strumento che dovremo utilizzare si chiama LAPS (Local Administrator Password Solution) e ci permette di interrogare le password di amministrazione locali e di richiederne il cambio, anche configurandone i prerequisiti di complessità, lunghezza e storico.

Lo strumento può essere installato ed utilizzato in dominio ma deve esserne predisposto il deploy. Di base, gli utenti che sono autorizzati dal LAPS a vedere le password locali sono di default i Domain Admins e gli Enterprise Admins; possono però essere scelti altri gruppi od utenti.

Per prima cosa installiamo il LAPS con tutte le opzioni sul server di nostro riferimento (potete trovare qui i binari necessari). Da notare che la prima voce nelle opzioni di installazione è quella che permette al LAPS di gestirne la password, quindi lasciatela attiva SOLO se volete che la password su questo server sia sotto management:

Ora è necessario eseguire un aggiornamento dello schema di AD per predisporre la trasmissione e l’interrogazione delle password. Su una PowerShell con privilegi elevati caricate i moduli LAPS prima di tutto:

Import-Module admpwd.ps

Eseguiamo quindi l’aggiornamento dello schema:

Update-AdmPwdADSchema

Infine, applichiamo il management delle password locali a tutte le OU che contengono i nostri account computer. E’ necessario eseguire questo terzo comando per ciascuna OU interessata SOLO a livello radice, la procedura infatti si propagherà alle OU sottostanti.

Set-AdmPwdComputerSelfPermission -Identity “TMBComputers"

Ora dobbiamo gestire con una GPO il comportamento del nostro LAPS. Proseguiamo con la creazione di un criterio di gruppo nel dominio ed applichiamolo ad ogni OU che contiene i computers che vogliamo gestire. Abilitiamo per prima cosa il LAPS andando a configurare l’opzione dal percorso Computer Configuration > Policies > Administrative Templates > Laps. Abilitiamo “Enable local admin password management” e settiamo in “Password Settings” le opzioni per la composizione delle password.

Ora è necessario installare il software LAPS su ogni client (Workstation o Server) per il quale vogliamo gestirne le password locali. E’ possibile eseguirne la distribuzione via GPO essendo un MSI.

Al twrmine del deploy, possiamo posizionarci sul server dove abbiamo installato il LAPS ed interrogare e/o settare le password locali in due modi:

Con interfaccia grafica, aprendo dal menù start LAPS UI:

Oppure con PowerShell eseguendo:

Get-AdmPwdPassword <computername>| Out-Gridview

Dove <computername> è il nome della macchina che vogliamo interrogare o settare

 

Add a Comment

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.