Windows Local Administrator Password Solution (LAPS) — это инструмент от Microsoft для централизованного управления паролями локальных администраторов на компьютерах в домене Active Directory (AD). Пароли хранятся в защищенных атрибутах объектов Computer в AD, регулярно обновляются автоматически и доступны только авторизованным пользователям. Начиная с апреля 2023 года, новая версия LAPS встроена в Windows 10/11 и Windows Server, что упрощает ее развертывание. В этой статье мы разберем, как настроить Windows LAPS для управления паролями локальных администраторов в AD.
Особенности новой версии Windows LAPS
С апреля 2023 года LAPS интегрирован в Windows через следующие обновления:
— Windows 11 22H2: KB5025239
— Windows 11 21H2: KB5025224
— Windows 10 22H2: KB5025221
— Windows Server 2022: KB5025230
— Windows Server 2019: KB5025229
Новые возможности
— Встроенные компоненты LAPS в Windows, без необходимости установки MSI-пакета.
— Хранение паролей в локальной AD или Azure AD.
— Управление паролями DSRM (Directory Services Restore Mode) на контроллерах домена.
— Шифрование паролей и поддержка истории паролей.
— Автоматическая смена пароля после локального входа администратора.
— Журнал событий: Application and Service Logs -> Microsoft -> Windows -> LAPS -> Operational.
— Минимальный функциональный уровень домена: Windows Server 2016.
Инструменты управления
— ADMX-шаблоны для групповых политик.
— Вкладка LAPS в консоли Active Directory Users and Computers (ADUC).
— PowerShell-модуль LAPS.
— Журнал событий для диагностики.
Подготовка к развертыванию
1. Убедитесь, что все контроллеры домена и клиентские компьютеры обновлены до указанных выше версий.
2. Если использовалась старая версия LAPS (MSI):
— Отключите политики legacy LAPS.
— Удалите настройки из реестра:
reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\State" /f
— Удалите MSI-пакет LAPS с клиентов.
3. Проверьте отсутствие событий Event ID 10033 или 10031 в журнале LAPS, указывающих на конфликт со старой версией.
Развертывание Windows LAPS
Шаг 1: Обновление схемы Active Directory
1. На контроллере домена с ролью Schema Master откройте PowerShell с правами администратора.
Для управления Local Administrator Password Solution используются PowerShell командлеты из модуля LAPS. Доступны следующие команды:
Get-Command -Module LAPS
2. Выполните команду для обновления схемы AD:
Update-LapsADSchema
3. Если не все контроллеры домена обновлены, может появиться ошибка: A local error occurred. Убедитесь, что все DC имеют апрельские обновления 2023 года.
4. Новая схема добавляет атрибуты:
— msLAPS-PasswordExpirationTime
— msLAPS-Password
— msLAPS-EncryptedPassword
— msLAPS-EncryptedPasswordHistory
— msLAPS-EncryptedDSRMPassword
— msLAPS-EncryptedDSRMPasswordHistory
5. В ADUC откройте свойства любого компьютера, перейдите на вкладку Редактор атрибутов и убедитесь, что атрибуты msLAPS-* присутствуют ).
Шаг 2: Настройка разрешений для компьютеров
Разрешите компьютерам в определенной OU обновлять свои атрибуты msLAPS-*:
1. Выполните команду, заменив путь к OU на ваш:
Set-LapsADComputerSelfPermission -Identity "OU=Computers,OU=MSK,DC=softcomputers,DC=org"
Шаг 3: Настройка группы для просмотра паролей
1. Создайте группу для пользователей, которые будут иметь доступ к паролям:
New-ADGroup MSK-LAPS-Admins -Path 'OU=Groups,OU=MSK,DC=softcomputers,DC=org' -GroupScope Local -PassThru -Verbose
2. Добавьте пользователей в группу:
Add-ADGroupMember -Identity MSK-LAPS-Admins -Members user1,user2
3. Разрешите группе читать и сбрасывать пароли:
$ComputerOU = "OU=Computers,OU=MSK,DC=softcomputers,DC=ru"
Set-LapsADReadPasswordPermission -Identity $ComputerOU -AllowedPrincipals MSK-LAPS-Admins
Set-LapsADResetPasswordPermission -Identity $ComputerOU -AllowedPrincipals MSK-LAPS-Admins
4. Проверьте права:
Find-LapsADExtendedRights -Identity "OU=Computers,OU=MSK,DC=softcomputers,DC=ru"
Примечание: Члены группы Domain Admins по умолчанию имеют доступ к паролям.
Шаг 4: Настройка групповой политики
1. Скопируйте новый ADMX-шаблон laps.admx из %systemroot%\PolicyDefinitions в централизованное хранилище (если используется):
copy %systemroot%\PolicyDefinitions\laps.admx \\softcomputers.org\SysVol\softcomputers.org\Policies\PolicyDefinitions
copy %systemroot%\PolicyDefinitions\en-US\laps.adml \\softcomputers.org\SysVol\softcomputers.org\Policies\PolicyDefinitions\en-US
2. Откройте Group Policy Management:
gpmc.msc
3. Создайте новую GPO и привяжите ее к OU с компьютерами.
4. Откройте GPO и перейдите в Конфигурация компьютера -> Политики -> Административные шаблоны -> Система -> LAPS.
5. Настройте политики:
— Configure password backup directory: Active Directory (или Azure AD, если требуется).
— Password Settings: укажите сложность, длину и частоту смены пароля (например, 14 символов, смена каждые 30 дней).
— Name of administrator account to manage: укажите имя учетной записи, например, Administrator.
Примечание: LAPS не создает учетные записи. Если используется нестандартная учетная запись, создайте ее заранее через GPO или PowerShell.
6. Примените GPO:
gpupdate /force
7. Перезагрузите клиентские компьютеры.
Проверка работы LAPS
1. После применения GPO компьютер при загрузке обновит пароль локального администратора и сохранит его в атрибуте msLAPS-Password.
2. В ADUC откройте свойства компьютера и перейдите на вкладку LAPS. Проверьте:
— Current LAPS password expiration: время истечения пароля.
— LAPS local admin account name: имя учетной записи.
— LAPS local admin account password: текущий пароль.
3. Через PowerShell получите пароль:
Get-LapsADPassword "msk-pc221" -AsPlainText
Пример вывода:
ComputerName: msk-pc221
DistinguishedName: CN=msk-pc221,OU=…
Account: Administrator
Password: .[lB2DWxy1!k23
PasswordUpdateTime: 4/20/2023 10:13:16 AM
ExpirationTimestamp: 5/20/2023 10:13:16 AM
Source: EncryptedPassword
DecryptionStatus: Success
AuthorizedDecryptor: SOFTCOMPUTERS\Domain Admins
4. Используйте пароль для локального входа на компьютер.
Сброс пароля
Для немедленной смены пароля выполните на целевом компьютере:
Reset-LapsPassword
Новый пароль будет записан в AD.
Устранение неполадок
1. Вкладка LAPS отсутствует в ADUC:
— Убедитесь, что схема AD обновлена (Update-LapsADSchema).
— Проверьте установку обновлений на контроллерах домена.
2. Пароль не обновляется:
— Проверьте применение GPO на клиенте:
gpresult /r
— Убедитесь, что компьютер имеет права на обновление атрибутов (Set-LapsADComputerSelfPermission).
3. Event ID 10033/10031:
— Удалите legacy LAPS и очистите реестр.
4. Ошибка доступа к паролю:
— Проверьте права группы (Find-LapsADExtendedRights).
— Убедитесь, что пользователь входит в группу MSK-LAPS-Admins или Domain Admins.
Рекомендации
— Создайте резервную копию схемы AD перед обновлением.
— Ограничьте доступ к паролям только необходимым группам.
— Включите шифрование паролей в GPO для дополнительной безопасности.
— Регулярно проверяйте журнал событий LAPS для диагностики.
Windows LAPS — мощное решение для управления паролями локальных администраторов в домене AD. Новая встроенная версия, доступная с апреля 2023 года, упрощает развертывание и поддерживает шифрование, историю паролей и интеграцию с Azure AD. Настройка включает обновление схемы AD, настройку разрешений и применение GPO. Это повышает безопасность, автоматизируя смену паролей и централизованное хранение в защищенных атрибутах AD.
