Laps installa una .dll che scatena il cambio password dell’utente Local Admin ad una scadenza e con una complessit\u00e0 decisa tramite apposita GPO.<\/p>\n
Il computer effettua il push della password in un attributo di Active Directory confidenziale insieme alla data di scadenza.<\/p>\n
Questi attributi possono quindi essere letti da utenti appositamente autorizzati tramite comandi PS.<\/p>\n
Prerequisiti:<\/strong><\/p>\n Limiti:<\/strong><\/p>\n Avvertenze:<\/strong><\/p>\n Sono presenti online numerose guide su LAPS. Si riassumono qui i passaggi principali.<\/p>\n 1.1 Setup:<\/strong><\/p>\n Scaricare il tool dal sito ufficiale MS: https:\/\/www.microsoft.com\/en-us\/download\/details.aspx?id=46899<\/a>\u00a0<\/p>\n Versione: al momento della scrittura del presente documento la versione disponibile \u00e8 la 6.2 del 06\/10\/2020.<\/p>\n Sono inclusi i documenti tecnici ed una guida operativa.<\/p>\n Da un pc\/server con diritti amministrativi lanciare il setup relativo alla propria versione di processore (x86 o x64 o ARM)<\/p>\n Il setup \u00e8 composto dalle seguenti parti:<\/p>\n Se non si specificano parametri, il setup di default installa solo la GPO Extension (la DLL).<\/p>\n 1.2 Aggiornamento Schema:<\/strong><\/p>\n Nel pc\/server di management installare tutto (tranne la DLL eventualmente) ed eseguire un powershell con diritti amministrativi.<\/p>\n Importare il modulo con il comando: Import-Module AdmPwd.PS<\/strong><\/p>\n Eseguire quindi Update-AdmPwdADSchema\u00a0<\/strong>per aggiornare lo Schema coi due nuovi attributi:<\/p>\n L’attributo ms-Mcs-AdmPwdExpirationTime<\/strong> dove verr\u00e0 salvata la data di scadenza password. \u00c8 un campo non confidenziale<\/p>\n L’attributo ms-Mcs-AdmPwd<\/strong> dove verr\u00e0 salvata la password (campo confidenziale)<\/p>\n 1.3 Permessi Computer Account:<\/strong><\/p>\n \u00c8 necessario ora dare ai computer il diritto di scrivere in questi due attributi, dal momento che di default hanno solo diritto di lettura.<\/p>\n Con il comando successivo daremo all’account SELF (il computer stesso) i permessi di aggiornare questi valori. L’account SELF permette di aggiornare i propri attributi e non quelli degli altri naturalmente.<\/p>\n Nota bene:<\/strong> il comando va lanciato con riferimento alla\/e OU dove risiedono i computer account. In base alla politica aziendale, \u00e8 possibile lanciare il comando per singola OU (per restringere il campo di applicazione) o a livello di dominio e quindi per tutte le OU figlie.<\/p>\n Prima di eseguire il comando, ricordarsi, se non gi\u00e0 fatto precedentemente, d’importare il modulo AdmPwd.ps<\/p>\n Il comando \u00e8: Set-AdmPwdComputerSelfPermission -Identity \u201cNome OU\u201d<\/strong><\/p>\n ad esempio: Set-AdmPwdComputerSelfPermission -Identity “OU=Computers,DC=Dominio,DC=Local”<\/p>\n \u00c8 possibile lanciare il comando anche con il semplice nome della OU e non con il distinguishedName, purch\u00e9 sia un nome univoco all’interno del dominio, altrimenti verr\u00e0 restituito un avviso d’inserire il distinguishedName.<\/p>\n 1.4 Permessi Utenti:<\/strong><\/p>\n Di default solo i Domain Admins hanno il diritto di lettura e modifica degli attributi relativi al LAPS in quanto \u00e8 un campo confidenziale e fa parte degli Extended Rights. E’ possibile estendere questo diritto ad altri utenti per mansioni amministrative, distinguendo anche chi pu\u00f2 leggere il dato e chi pu\u00f2 modificarlo.<\/p>\n Si consiglia quindi la creazione di due distinti gruppi, ad esempio “Role_LAPS_Readers” e “Role_LAPS_Writers”<\/p>\n Una volta inseriti gli utenti preposti nei relativi gruppi, eseguire i seguenti comandi dal pc\/server in cui si \u00e8 caricato il setup di LAPS:<\/p>\n Per i permessi di sola lettura:<\/p>\n Set-AdmPwdReadPasswordPermission \u2013Identity \u201cNome OU\u201d \u2013AllowedPrincipals \u201cUtente o Gruppo\u201d<\/strong><\/p>\n ad esempio:<\/p>\n Set-AdmPwdReadPasswordPermission \u2013Identity \u201cComputers\u201d \u2013AllowedPrincipals \u201cRole_LAPS_Readers\u201d<\/p>\n Per i permessi di change:<\/p>\n Set-AdmPwdResetPasswordPermission \u2013Identity \u201cNome OU\u201d -AllowedPrincipals \u201cUtente o Gruppo\u201d<\/strong><\/p>\n ad esempio:<\/p>\n Set-AdmPwdResetPasswordPermission \u2013Identity \u201cComputers\u201d \u2013AllowedPrincipals \u201cRole_LAPS_Writers”<\/p>\n Si ricorda che i permessi vengono dati a livello di OU, di conseguenza vanno applicati alle OU dei computers o a livello superiore qualora non ci siano restrizioni particolari nelle politiche di sicurezza aziendale.<\/p>\n E’ possibile verificare in qualsiasi momento chi dispone dei permessi relativi alla lettura di questi attributi.<\/p>\n Da powershell si pu\u00f2 utilizzare il comando: Find-AdmPwdExtendedRights \u2013Identity \u201cNome OU”<\/strong><\/p>\n Verr\u00e0 restituita la lista di utenti\/gruppi che hanno la possibilit\u00e0 di leggere questi attributi, chiamati “ExtendedRightHolders”, appunto diritti estesi.<\/p>\n Come detto, di Default i Domain Admins hanno questo diritto, insieme ad NT AUTHORIY\\SYSTEM.<\/p>\n I diritti assegnati specifici per il LAPS si possono verificare anche da ADUC, tab di security della OU interessata.<\/p>\n Nell’esempio seguente il gruppo “Role_LAPS_Read” ha due permessi sulla OU (e oggetti figli): uno di essi \u00e8 “Special” ed \u00e8 relativo alla possibilit\u00e0 di leggere l’attributo della password. L’altro permesso senza descrizione di accesso, \u00e8 relativo all’attributo della data di scadenza.<\/p>\n Andando in View o Edit \u00e8 possibile verificare specificamente i due valori, che sono appunto Read ms-Mcs-AdmPwd (diritto extended, quindi speciale)<\/p>\n e Read ms-Mcs-AdmPwdExpiration Time.<\/p>\n Naturalmente il gruppo che avr\u00e0 diritti di modifica avr\u00e0 anche il permesso di Write spuntato.<\/p>\n Qualora si siano dati diritti a gruppi\/utenti inavvertitamente, \u00e8 possibile toglierli deselezionando la voce interessata o togliendo i permessi da “All extended rights”.<\/p>\n Nota bene:\u00a0<\/strong>all extended right abilita\/disabilita una serie ampia di diritti che possono influire sulla sicurezza e gestione degli account. Si consiglia di porre attenzione e documentarsi prima di modificare tali permessi. Non verr\u00e0 affrontato l’argomento nella presente guida<\/p>\n 2.1 Deploy e configurazione GPO<\/strong><\/p>\n Una volta configurato lo Schema, i diritti e i relativi gruppi, \u00e8 possibile passare alla creazione delle policies per la distribuzione e attivazione del tool.\u00a0<\/p>\n Si consiglia di attivare le policies sempre prima su una OU di test\u00a0<\/u>e una volta verificato il corretto funzionamento, distribuirlo all’organizzazione.<\/p>\n Dal computer utilizzato per il setup, installare se non gi\u00e0 effettuato, la componente “GPO Editor Templates”<\/p>\n Ricercare nel computer, in C:\\Windows\\PolicyDefinitions il file AdmPwd.admx<\/strong> e relativo file .adml<\/strong> presente nella sottocartella en-US.<\/p>\n Copiare il file .admx nella cartella di distribuzione degli admx, solitamente presente nella sysvol del dominio, quindi: \\\\domain.fqdn\\SYSVOL\\domain.fqdn\\Policies\\PolicyDefinitions<\/strong><\/p>\n Copiare il file .adml nella relativa sottocartella en-US<\/p>\n Aprire quindi Group Policy Management e creare una nuova policy per la configurazione dei parametri del LAPS.<\/p>\n Si tratta di una Computer Policy, quindi troveremo i parametri in Computer Configuration > Policies > Administrative Templates > LAPS<\/strong><\/p>\n Parametri:<\/p>\n Una volta configurata la policy, linkarla alla\/e OU interessate.<\/p>\n 2.2 Distribuzione LAPS nei computers<\/strong><\/p>\n LAPS nei computer pu\u00f2 essere installato manualmente, tramite GPO o altri sistemi di distribuzione software. Nella presente guida effettueremo la distribuzione tramite una GPO.<\/p>\n E’ sufficiente pubblicare il pacchetto .msi tramite Computer Policy. Da Computer Configuration > Policies > Software Settings > Software Installation\u00a0<\/strong>pubblicare i due pacchetti .msi per coprire sia la versione 64 che 32 bit. Naturalmente i pacchetti di installazione devono risiedere in una share raggiungibile dai computer interessati.<\/p>\n 3.1 Verifica attivazione LAPS<\/strong><\/p>\n Affinch\u00e9 il computer inizi ad attivare LAPS, saranno necessari due riavvii, una per l’installazione della dll ed uno per l’attivazione delle regole.<\/p>\n Una volta applicate si potr\u00e0 verificare il corretto funzionamento controllando che gli attributi di AD siano stati popolati, come nell’immagine seguente:<\/p>\n 4.1 Lettura Password LAPS<\/strong><\/p>\n \u00c8 possibile trovare la password di un determinato computer in tre modi:<\/p>\n il primo metodo \u00e8 da ritenersi solo a scopo di indagine\/troubleshooting in quanto poco agevole.<\/p>\n Il secondo metodo tramite Powershell \u00e8 possibile sempre importando nel pc dal quale si vuole fare la ricerca, il modulo admpwd.ps. Il comando per effettuare la query dell’attributo \u00e8 il seguente:<\/p>\n Get-AdmPwdPassword -ComputerName “Nome Computer”<\/strong><\/p>\n Naturalmente l’utente con cui si esegue il comando dovr\u00e0 essere o un Domain Admin o un membro del gruppo autorizzato alla lettura degli attributi.<\/p>\n Il terzo metodo \u00e8 tramite LAPS GUI, installabile sempre dal pacchetto di setup (voce: Fat Client UI)<\/p>\n Eseguito il programma, sar\u00e0 possibile cercare la password semplicemente inserendo il nome del pc:<\/p>\n 4.2 Reset Password tramite LAPS<\/strong><\/p>\n Gli utenti con diritto di reset possono forzare la scadenza della password al fine di richiedere al PC la generazione di una nuova.<\/p>\n E’ possibile forzare il reset tramite GUI, premendo sul pulsante “Set”<\/p>\n Non appena si preme su “Set” la nuova data di scadenza verr\u00e0 impostata all’ora indicata ed al successivo refresh della policy, il computer generer\u00e0 una nuova password e verr\u00e0 inviata in AD.<\/p>\n Nota tecnica:<\/strong> La password verr\u00e0 cambiata solo se il computer ricever\u00e0 la conferma che la stessa \u00e8 stata correttamente scritta in AD. Questo per evitare che le password tra il computer ed AD siano disallineate con conseguente incapacit\u00e0 di accedere al computer.<\/p>\n Tramite powershell il comando \u00e8 il seguente:\u00a0<\/p>\n Reset-AdmPwdPassword -ComputerName “Nome Computer”<\/strong><\/p>\n Nell’immagine seguente si pu\u00f2 vedere la data di scadenza prima e dopo il reset: Al comando di reset si pu\u00f2 specificare anche una data\/ora diversa se non si vuole che il cambio sia immediato, aggiungendo il parametro “ 5.1 Tips, Tricks & Troubleshooting Di seguito alcune note aggiuntive riguardante il setup di LAPS:<\/p>\n Domain Controller:\u00a0<\/strong><\/p>\n RODC:\u00a0<\/strong><\/p>\n Script di esporazione password:<\/strong>\u00a0<\/p>\n La GUI o powershell non mostra la password ma vedo la data:\u00a0<\/strong><\/p>\n La GUI o Powershell mi restituiscono la data “01\/01\/0001 00:00:00”:<\/strong><\/p>\n La GUI o powershell mi restituisce “Computer not found”:<\/strong><\/p>\n 6.1 LAPS per VDI non persistenti (Citrix, Horizon, etc):<\/strong><\/p>\n Per le vm VDI persistenti (che non vengono rigenerate ad ogni logoff), che mantengono quindi una vita duratura e con nome univoco,valgono le stesse politiche dei normali computer account.<\/p>\n Per le non persistenti invece (ricreate ad ogni logon con stesso computer name) alla configurazione sopracitata va aggiunto uno script dedicato altrimenti LAPS non funzionerebbe correttamente.<\/p>\n Si rimanda a relativa guida (in corso di stesura)<\/p>\n","protected":false},"excerpt":{"rendered":" Microsoft Laps (Local Admin Password Solution) soluzione per l’amministrazione delle password dei local admin dei computer in un dominio Active Directory Continue reading \n
\n
\n
\n
<\/p>\n
<\/p>\n
<\/p>\n
<\/p>\n
<\/p>\n
<\/p>\n
<\/p>\n
<\/p>\n
<\/p>\n
\n
Il pacchetto installer\u00e0 di default la sola AdmPwd.dll necessaria all’attivazione della policy. Si pu\u00f2 controllare l’installazione verificandone l’esistenza in C:\\Program Files\\LAPS\\CSE.<\/p>\n<\/p>\n
\n
L’output sar\u00e0 come l’immagine seguente, con password e data di scadenza.<\/p>\n
<\/p>\n
<\/p>\n
<\/p>\n
<\/p>\n
-WhenEffective\"\u00a0<\/strong>seguito da data\/ora, come nel seguente esempio:<\/strong><\/code><\/p>\nReset-AdmPwdPassword -ComputerName \"Nome Computer\" -WhenEffective \u201c31.12.21 18:00\u201d
<\/strong><\/code><\/p>\n
<\/strong><\/p>\n\n
\n
\n
\n
\n
<\/li>\n
\n
<\/li>\n