Вадим Алджанов

ИТ-архитектура от А до Я: Комплексное решение. Первое издание


Скачать книгу

быть аналогична.

      Local Administrator Password Solution (LAPS) настройка через GPO

      Решение по администрированию паролей локальных администраторов (LAPS) позволяет администрировать пароли локальных администраторов, предоставляя временный доступ службе ИТ поддержке пользователей. Используется для управления административного доступа на компьютерах пользователей. Последовательность установки включает в себя:

      Скачиваем LAPS (текущая версия 7.5). Пакет состоит из двух частей:

      •AdmPwd GPO Extension – исполняемая часть LAPS

      •Модули управления:

      Fat Client UI – утилита для просмотра паролей;

      PowerShell Module – модуль для управления LAPS;

      GPO Editor Templates – административные шаблоны;

      Открываем оснастку Group Policy Management на контроллере домена.

      Создаем новую групповую политику: LAPS-INSTALL

      •Через Group Policy Management Editor (GPME) открываем ветку:

      •Computer Configuration> Policies> Software Settings> Software Installation

      Д•обавляем новый пакет, выбираем путь к файлу AdmPwd.E.CSE.Setup.x64.msi

      В нашем случае все программы располагаются в директории \\FSS-PDC-MS01\WKML (Well Known Media Library). Для этого необходимо предварительно развернуть файловый сервер и настроить соответствующий ресурс.

      •Тип установки: Assigned

      •Деактивируем User Configuration секцию данной групповой политики.

      •Применяем политику на соответствующую организационную единицу.

      •Политика применяется на все компьютеры в соответствующей Организационной Единице (OU).

      Следующий этап: устанавливаем модуль управления на контроллере домена, на Выделенной Рабочей станции Доступа (DAW) или на рабочий компьютер специалиста подразделения Поддержки Пользователей.

      •Расширяем схему Активного Каталога (Active Directory): Import-module AdmPwd.ps и update-AdmPwdADSchema

      •В классе «Computer» будут добавлены два новых атрибута: ms-MCS-AdmPwd и ms-MCS-AdmPwdExpirationTime

      •Настраиваем права администраторов (ADDS-ADM), локальных администраторов компьютеров (ADDS-ADM-LOCAL) и группы подразделения Поддержки Пользователей (HELP-DESK-ADM) на доступ к атрибуту ms-MCS-AdmPwd в котором хранятся пароли администраторов в открытом виде. Доступ к этому атрибуту имеют все, кто имеет права «All Extended Rights».

      •Find-AdmPwdExtendedRights -Identity MyCompany-Workstations | Format-Table ExtendedRightHolders находим всех кто имеет право доступа в OU «MyCompany-Workstations».

      •Открываем оснастку ADSIEdit и подключаемся к Default naming context

      •Разворачиваем дерево и находим нужный OU (MyCompany-Workstations)> [правая кнопка мышки]> PROPERTIES

      •Переходим к закладке> SECURITY> [ADVANCED]

      •Нажимаем [ADD]

      •В разделе [SELECT PRINCIPAL] указываем имя группы (MYCOMPANY-USERS) и снимаем доступ «All Extended Rights»

      •Сохраняем изменения.

      Операцию необходимо повторить для всех групп, которые необходимо ограничить. Ограничения придется сделать для всех OU где имеются компьютеры.

      •Назначаем разрешение для компьютеров на модификацию собственных атрибутов (SELF) ms-MCS-AdmPwd и ms-MCS-AdmPwdExpirationTime так как изменения производятся от имени компьютера:

      •Set-AdmPwdComputerSelfPermission -OrgUnit MyCompany-Workstations

      •Предоставляем группе (HELP-DESK-ADM) права на чтение атрибутов (паролей):

      •Set-AdmPwdReadPasswordPermission -OrgUnit MyCompany-Workstations