Installazione e Configurazione LAPS per la gestione delle Password – Fase 1

LAPS consente di gestire una password randomica per amministratore locale differente su ogni computer gestita localmente senza necessità di un generatore centralizzato di password.
Tramite LAPS è possibile gestire, tramite una GPO client-side extension (CSE),:

• il nome del local administrator account
• il periodo di rinnovo e la lunghezza e complessità della password
• rende disponibile una serie di cmdlet PowerShell per una gestione automatizzata.

Note IMPORTANTI di funzionamento:

• • LAPS gestisce solo le password. Laps non blocca e non “sblocca” utenze (quindi non sblocca l’Administrator “inerte” di Windows 7 o Windows10)
  • LAPS deve essere installato sul Domain Controller.
    Se non viene fatto ci sarà un problema con un file Template delle policy che dovrà essere riportato nelle cartelle SYSVOL per la sincronizzazione e, se non fatto, la policy (da settare) non appare.
  • LAPS deve essere installato con un utente che abbia il ruolo di “Schema Admins” perché deve effettuare delle modifiche nello schema AD (Update–AdmPwdADSchema)
  • I membri di “Domain Admins” sono abilitati di Default a visionare le password e non gli può essere tolto il privilegio senza togliere il ruolo. Se il ruolo deve essere dato anche ad altri è possibile definire un gruppo di persone o una OU che possa accedere all’attributo password
  • Le password sono IN CHIARO nelle proprietà AD
    
  •  

Questi sono i CAMPI che verranno aggiunti all’account COMPUTER per la gestione delle password:

GUIDA INSTALLAZIONE – fase 1) DEPLOY:
Scaricare e installare il componente con installazione standard.
Download componente : https://www.microsoft.com/en-us/download/details.aspx?id=46899

Creare, sul server, una cartella condivisa (la chiameremo laps$).
Deve essere accessibile al gruppo “Domain Computer” sia come permessi di condivisione, sia come NTFS.
Mettere in questa cartella gli .Exe scaricati con cui abbiamo installato LAPS.
Questa condivisione deve essere raggiunta dalle macchine che dovranno installare (su se stesse) il componente LAPS che verrà prelevato da questa share.

Creare una policy (a dominio o su una specifica OU) per il DEPLOY del pacchetto.
Possiamo chiamare questa policy “Deploy-LAPS”.
Deve essere impostata sotto : Computer > Policy > Software Settings

New > Package

Indicare il file .exe nella forma seguente: \\condivisione\….
Deve essere un percorso che la vm di destinazione possa raggiungere.

Nel Deploy METHODS selezionare “Advanced”

Impostare le proprietà in questo modo:

Nella scheda “security” riportare nuovamente “Domain Computers”

La stessa procedura deve essere fatta anche per il pacchetto a 32bit ma quando viene creato il pacchetto assicurarsi di modificarlo per deselezionare l’opzione” Rendi questa applicazione X86 a 32 bit disponibile per i computer Win64”. (va rimossa).
Troverai questa opzione quando fai clic con il pulsante destro del mouse sul pacchetto x86> Proprietà> Distribuzione. Ciò garantirà che i computer a 64 bit ottengano la DLL a 64 bit e che i computer a 32 bit ottengano la DLL a 32 bit.

Se le impostazioni sono state fatte correttamente, dopo un po’ di tempo, nelle macchine TARGET apparirà LAPS come applicazione installata

Prosegui su : Installazione e Configurazione LAPS per la gestione delle Password – Fase 2

Laps, Microsoft Laps, gestione password Laps, Deploy Laps, Deploy Microsoft Laps, Install Microsoft Laps