إدارة كلمة مرور المسؤول المحلي باستخدام LAPS

واحدة من أكثر المشاكل شيوعًا التي يواجهها مسؤول النظام تقريبًا هي إدارة كلمات مرور المسؤول المحلي.

هناك العديد من الخيارات لحل هذه المشكلة:

1. استخدم كلمة مرور واحدة على جميع أجهزة الكمبيوتر. يمكن تعيين كلمة المرور إما أثناء النشر باستخدام MDT أو SCCM ، أو باستخدام تفضيلات سياسات المجموعة بعد النشر. عادةً ، من خلال هذا النهج ، لا تتغير كلمة المرور مطلقًا ، مما يعني أنها ستتسرب عاجلاً أو آجلاً (عندما يتم تشغيل المسؤول أو يمكن للمستخدم إلقاء نظرة خاطفة على كلمة المرور) ، في حين تتيح كلمة المرور المشوهة الوصول إلى جميع أجهزة الكمبيوتر في المؤسسة.
2. إعداد كلمة مرور فريدة لمرة واحدة على كل جهاز كمبيوتر. عادة ما يحدث مع نشر. هناك الكثير من الخيارات - بدءًا من الإنشاء اليدوي لكلمة مرور عشوائية وحفظها في نظام محاسبة كلمة المرور (Keepass و OnePassword و Excel) ، وينتهي بإنشاء كلمة مرور تلقائية وفقًا لخوارزمية معروفة للمسؤولين ، حيث يكون الإدخال هو اسم جهاز الكمبيوتر. معرفة الخوارزمية ، يمكن للمسؤول حساب كلمة المرور على الفور وتسجيل الدخول إلى أي جهاز كمبيوتر. السلبيات نفسها تقريبًا كما في الخيار 1: يحتفظ المسؤول الذي تم تشغيله بالقدرة على تسجيل الدخول إلى أي جهاز كمبيوتر ، ولكن عندما يقوم المستخدم بالتنازل عن كلمة المرور ، فإنه يحصل على الوصول إلى جهاز كمبيوتر واحد فقط ، وليس للجميع مرة واحدة.
3. استخدام نظام يقوم تلقائيًا بإنشاء كلمات مرور عشوائية لكل كمبيوتر وتغييرها وفقًا للجدول الزمني المحدد. يتم استبعاد مساوئ الخيارات السابقة هنا - سيتم تغيير كلمة المرور المخترقة وفقًا للجدول الزمني ، ولن يتمكن المسؤول المفصول بعد مرور بعض الوقت من تسجيل الدخول إلى جهاز الكمبيوتر حتى إذا كان يسرق قاعدة بيانات كلمة المرور صالحة في وقت الفصل.

أحد هذه الأنظمة هو LAPS ، التثبيت والتكوين الذي سنناقشه في هذه المقالة.

لابس

يرمز LAPS إلى Local Password Password Solution وهو خليفة حل AdmPwd ، الذي حصلت عليه Microsoft وأعيد تسميته LAPS. LAPS مجاني ولا يتطلب تكاليف البنية التحتية الإضافية ، لأنه يستخدم Active Directory كقاعدة بيانات. يتوفر الدعم من خلال خدمات دعم Microsoft Premier.

المنتج الصفحة الرسمية

قام مؤلف AdmPwd الأصلي بتطوير منتج جديد ، AdmPwd.E ، ولكن الإصدار المجاني يقتصر على 20 جهاز كمبيوتر ، لذلك لا يناسب الجميع. الموقع الرسمي .

يأتي LAPS مع وثائق مستفيضة (باللغة الإنجليزية فقط) ويترك عمومًا الانطباع بوجود حل مدروس وموثوق للغاية.

العمارة

يتكون النظام من المكونات التالية:

1. وكيل - سياسة المجموعة ملحق مثبت على جميع أجهزة الكمبيوتر المدارة عبر MSI. وهي مسؤولة عن إنشاء كلمة المرور وحفظها في كائن AD المقابل.
2. وحدة PowerShell. يستخدم لتكوين LAPS.
3. الدليل النشط يخزن كلمة مرور المسؤول المحلي.

يتم استدعاء الوكيل في كل مرة يتم فيها تحديث "نهج المجموعة" ويقوم بتنفيذ المهام التالية:

• يتحقق إذا انتهت صلاحية كلمة مرور المسؤول المحلي
• يولد كلمة مرور جديدة إذا انتهت صلاحية كلمة المرور الحالية أو كان مطلوبًا استبدالها قبل تاريخ انتهاء الصلاحية
• تغيير كلمة مرور المسؤول المحلي
• يحفظ كلمة المرور في السمة المقابلة للكائن م
• يخزن تاريخ انتهاء صلاحية كلمة المرور في السمة المقابلة لكائن AD

يمكن للمسؤولين قراءة كلمة المرور ووضع علامة على أنها تتطلب استبدالًا في المرة التالية التي يتم فيها تحديث السياسة.

يظهر الرسم البياني الكامل لعملية LAPS في الصورة التالية.

تثبيت وتكوين LAPS

أولاً ، قم بتثبيت عناصر تحكم LAPS على الكمبيوتر الذي سنقوم بتكوينه.

قم بتشغيل حزمة msi وتثبيت جميع أدوات Managemnt ، والتي تتضمن LAPS UI ووحدة PowerShell وقوالب نهج المجموعة.


إذا قمت بإعداد مستودع مركزي لقوالب نهج المجموعة ، فقم بنقل الملفات على الفور "Admpwd.admx" و "En-us \ AdmPwd.adml" من "٪ SystemRoot٪ \ PolicyDefinitions" إلى "\\ contoso.com \ SYSVOL \ contoso.com \ السياسات \ تعاريف السياسة ".

الخطوة التالية هي إضافة سمات جديدة إلى مخطط AD. للقيام بذلك ، افتح وحدة التحكم PowerShell نيابة عن حساب له حقوق "مسؤول المخطط" واستورد الوحدة النمطية أولاً باستخدام الأمر "Import-module AdmPwd.PS" ، ثم قم بتحديث المخطط باستخدام الأمر "Update-AdmPwdADSchema".





ثم تحتاج إلى التأكد من أن المسؤولين فقط يمكنهم الوصول إلى السمات التي تم إنشاؤها حديثًا. يعد ذلك ضروريًا لأن كلمات المرور مخزنة في م. بشكل واضح ، ويتم التحكم في الوصول إليها من قِبل قائمة AC AC. للقيام بذلك ، استخدم الأمر "Find-AdmPwdExtendedrights -identity <OU ، حيث توجد حسابات الكمبيوتر الشخصي> | تنسيق الجدول. "



يعرض هذا الأمر قائمة الحسابات / المجموعات التي سيكون لها حق الوصول إلى كلمات المرور المخزنة في م. إذا وجدت حسابات / مجموعات "متكررة" ، فاستخدم الأداة ADSIEdit لتكوين حقوق الوصول بشكل صحيح. تأكد من عدم فحص إذن "جميع الحقوق الموسعة" للمجموعات التي يجب ألا يكون لها حق الوصول إلى كلمات المرور.



إذا كنت تريد منح حق الوصول إلى كلمات المرور لمجموعات أو حسابات إضافية ، فاستخدم الأمر "Set-AdmPwdReadPasswordPermission -OrgUnit <OU ، حيث توجد حسابات الكمبيوتر الشخصي> - AllAllowedPrincipals <المستخدمون أو المجموعات>".

يتم إصدار حقوق الوصول لفرض تغيير كلمة مرور غير منتهية الصلاحية أثناء تحديث سياسة المجموعة التالية بواسطة الأمر التالي: "Set-AdmPwdResetPasswordPermission -Identity <OU ، حيث توجد حسابات الكمبيوتر الشخصي> -AllowedPrincipals <المستخدمون أو المجموعات>>"





ثم تحتاج إلى منح حقوق لأجهزة الكمبيوتر نفسها لتعديل هذه السمات. للقيام بذلك ، استخدم الأمر "Set-AdmPwdComputerSelfPermission -OrgUnit <OU ، حيث توجد حسابات الكمبيوتر الشخصي>"



الخطوة التالية هي تكوين "نهج المجموعة". يمكننا التحكم في تعقيد تواريخ انتهاء الصلاحية لكلمات المرور التي ستتغير كلمة المرور لحسابها ، وكذلك تشغيل LAPS وإيقاف تشغيله.







يجب الإشارة إلى اسم الحساب فقط إذا كان حسابًا تم إنشاؤه خصيصًا. إذا كان هذا حسابًا علميًا مضمنًا ، فيجب ترك هذه المعلمة في "غير مهيأ" (حتى إذا تمت إعادة تسمية الحساب) ، حيث سيتم العثور على الحساب المدمج بواسطة SID المعروف.



والخطوة التالية هي تثبيت ملحق "نهج المجموعة" على جهاز الكمبيوتر. يمكن تعيين ذلك لسياسات المجموعة أو SCCM أو إلى أداة نشر تطبيق أخرى. تجدر الإشارة إلى أنه افتراضيًا ، تقوم حزمة msi بتثبيت جزء العميل فقط ، لذلك لا يتطلب النشر تمرير معلمات إضافية إلى المثبت. مطلوب إعادة تشغيل الكمبيوتر فقط عند النشر من خلال سياسات المجموعة.

أسهل طريقة لعرض كلمة مرورك هي استخدام LAPS UI. أدخل اسم الكمبيوتر في الحقل المناسب وانقر فوق "بحث". إذا فعلنا كل شيء بشكل صحيح ، فسترى كلمة المرور في الحقل المقابل.

الخاتمة

غطت هذه المقالة الخطوات الأساسية لنشر LAPS. يتوفر المزيد من المعلومات في الوثائق المرفقة مع المنتج. لدى LAPS أيضًا وسيلة لتسجيل إجراءاتها ، والتي لم يتم مناقشتها في هذه المقالة ، ولكن تم توضيحها في الوثائق.