Začínáme s Windows LAPS a Windows Server Active Directory

K správě hesel účtů místního správce a účtů DSRM (Režim obnovení služby Directory Services) v řadičích domény můžete použít řešení Windows Local Administrator Password Solution (Windows LAPS). V tomto článku se dozvíte, jak začít používat Windows LAPS a Windows Server Active Directory. Popisuje základní postupy pro použití systému Windows LAPS k zálohování hesel do služby Windows Server Active Directory a k jejich načtení.

Požadavky na verzi operačního systému řadiče domény a úroveň funkčnosti domény

Pokud je vaše úroveň funkčnosti domény (DFL) starší než 2016, nemůžete povolit šifrování hesel Windows LAPS. Bez šifrování hesla:

• Klienty můžete nakonfigurovat tak, aby ukládaly hesla jenom ve formátu prostého textu zabezpečeného seznamy řízení přístupu (ACL) windows Serveru Active Directory.
• Řadiče domény nemůžete nakonfigurovat tak, aby spravovaly místní účet DSRM.

Pokud vaše doména používá DFL verze 2016 nebo novější, můžete povolit šifrování hesel windows LAPS. Všechny řadiče domény s Windows Serverem 2016 a staršími verzemi, které používáte, ale nepodporují windows LAPS. V důsledku toho tyto řadiče domény nemůžou používat funkci správy účtů DSRM.

Je v pořádku používat windows Server 2016 a starší podporované operační systémy na řadičích domény, pokud o těchto omezeních víte.

Následující tabulka shrnuje funkce podporované v různých scénářích:

Podrobnosti o doméně	Podporované ukládání hesel v prostém textu	Podporované šifrované úložiště hesel (pro klienty připojené k doméně)	Podpora správy účtů DSRM (pro řadiče domény)
DFL před rokem 2016	Ano	Ne	Ne
2016 DFL s jedním nebo více řadiči domény Windows Server 2016 nebo starší verze	Ano	Ano	Ano, ale jenom pro řadiče domény s Windows Serverem 2019 a novějším
2016 DFL pouze s Windows Serverem 2019 a novějšími řadiči domény	Ano	Ano	Ano

Důrazně doporučujeme upgradovat na nejnovější dostupný operační systém na klientech, serverech a řadičích domény, abyste mohli využívat nejnovější funkce a vylepšení zabezpečení.

Příprava služby Active Directory

Před konfigurací zařízení připojených ke službě Active Directory nebo hybridních zařízení za účelem zálohování hesel spravovaného účtu do služby Active Directory postupujte podle těchto kroků.

Poznámka:

Pokud plánujete zálohovat pouze hesla do Microsoft Entra ID, nemusíte provádět žádný z těchto kroků, včetně rozšíření schématu AD.

1. Pokud používáte centrální úložiště Zásad skupiny, je nutné ručně zkopírovat soubory šablon Zásad skupiny Windows LAPS do centrálního úložiště. Další informace najdete v tématu Konfigurace nastavení zásad pro windows LAPS.
2. Analyzujte, určete a nakonfigurujte příslušná oprávnění AD pro vypršení platnosti hesla a načítání hesla. Viz hesla služby Active Directory systému Windows Server.
3. Analyzujte a určete příslušné autorizované skupiny pro dešifrování hesel. Viz hesla služby Active Directory systému Windows Server.
4. Vytvořte novou zásadu LAPS systému Windows, která cílí na spravovaná zařízení s odpovídajícími nastaveními stanovenými v předchozích krocích.

Aktualizace schématu služby Active Directory pro Windows Server

Než budete moct používat windows LAPS, musíte aktualizovat schéma služby Windows Server Active Directory. Tuto akci můžete provést pomocí rutiny Update-LapsADSchema . Jedná se o jednorázovou operaci pro celý les. Rutinu Update-LapsADSchema můžete spustit místně na řadiči domény s Windows Serverem 2019 nebo novějším aktualizovaným nástrojem Windows LAPS. Tuto rutinu ale můžete spustit také na serveru, který není řadičem domény, pokud server podporuje modul Windows LAPS PowerShell.

PS C:\> Update-LapsADSchema

Návod

Zahrňte parametr -Verbose do příkazového řádku, abyste viděli podrobné informace o průběhu cmdletu během zpracování. Parametr -Verbose můžete použít s libovolným cmdletem v modulu PowerShell LAPS.

Udělení oprávnění spravovaného zařízení k aktualizaci hesla

Je-li k správě hesla na zařízení používán Windows LAPS, toto spravované zařízení musí mít uděleno oprávnění k aktualizaci hesla. Tuto akci můžete provést nastavením zděděných oprávnění v organizační jednotce, která obsahuje zařízení. K tomuto účelu můžete použít příkazový příkaz Set-LapsADComputerSelfPermission, jak je znázorněno v následujícím kódu:

PS C:\> Set-LapsADComputerSelfPermission -Identity NewLaps

Name    DistinguishedName
----    -----------------
NewLAPS OU=NewLAPS,DC=laps,DC=com

Návod

Pokud dáváte přednost nastavení zděděných oprávnění v kořenovém adresáři domény, můžete zadat celý kořen domény pomocí vstupního formátu rozlišujícího názvu (DN). Můžete například použít -Identity parametr s argumentem DC=laps,DC=com.

Udělení oprávnění k dotazu na heslo

Uživatelům musí být uděleno oprávnění k dotazování hesel ze služby Active Directory. Tuto akci můžete provést nastavením zděděných oprávnění v organizační jednotce, která obsahuje zařízení. K tomuto účelu můžete použít příkazový příkaz Set-LapsADReadPasswordPermission, jak je znázorněno v následujícím kódu:

PS C:\> Set-LapsADReadPasswordPermission -Identity NewLAPS -AllowedPrincipals @("laps\LapsPasswordReadersGroup")

Name    DistinguishedName
----    -----------------
NewLAPS OU=NewLAPS,DC=laps,DC=com

Návod

Členové skupiny Domain Admins už mají ve výchozím nastavení oprávnění k dotazu na heslo.

Návod

Pokud je uživateli uděleno oprávnění k dotazování hesla ze služby Active Directory, které automaticky neznamená, že uživatel má oprávnění k dešifrování šifrovaného hesla. Oprávnění k dešifrování šifrovaného hesla se konfiguruje pomocí ADPasswordEncryptionPrincipal nastavení zásad v době, kdy zařízení ukládá heslo ve službě Active Directory. Výchozí nastavení zásad pro ADPasswordEncryptionPrincipal je skupina Domain Admins.

Udělení oprávnění k vypršení platnosti hesla

Aby bylo možné nastavit dobu vypršení platnosti hesel uložených ve službě Active Directory, musí být uživatelům uděleno oprávnění. Pokud je heslo označené jako prošlé ve službě Active Directory, zařízení heslo otočí při dalším cyklu zpracování. Pomocí tohoto mechanismu můžou uživatelé zkrátit (nebo prodloužit) zbývající čas na další očekávanou obměnu hesel.

Tuto akci můžete provést nastavením zděděných oprávnění v organizační jednotce, která obsahuje zařízení. K tomuto účelu můžete použít příkazový příkaz Set-LapsADResetPasswordPermission, jak je znázorněno v následujícím kódu:

PS C:\> Set-LapsADResetPasswordPermission -Identity NewLAPS -AllowedPrincipals @("laps\LapsPasswordExpirersGroup")

Name    DistinguishedName
----    -----------------
NewLAPS OU=NewLAPS,DC=laps,DC=com

Návod

Členové skupiny Domain Admins už mají ve výchozím nastavení oprávnění k vypršení platnosti hesla.

Návod

Tuto Set-LapsADPasswordExpirationTime rutinu můžete použít k nastavení doby vypršení platnosti hesla pro dané zařízení ve službě Active Directory, jakmile se udělí oprávnění.

Dotazování na rozšířená oprávnění práv

Někteří uživatelé nebo skupiny můžou mít rozšířená oprávnění k OU spravovaného zařízení. Tato situace je problematická, protože uživatelé, kteří mají toto oprávnění, mohou číst důvěrné atributy a všechny atributy hesla systému Windows LAPS jsou označené jako důvěrné.

Pomocí této rutiny Find-LapsADExtendedRights můžete zjistit, kdo má toto oprávnění, jak je znázorněno v následujícím kódu:

PS C:\> Find-LapsADExtendedRights -Identity newlaps

ObjectDN                  ExtendedRightHolders
--------                  --------------------
OU=NewLAPS,DC=laps,DC=com {NT AUTHORITY\SYSTEM, LAPS\Domain Admins}

Ve výstupu mají oprávnění pouze důvěryhodné entity SYSTEM a Domain Admins. V tomto případě není nutná žádná další akce.

Nakonfigurujte zásady zařízení

Následující části ukazují, jak nakonfigurovat zásady zařízení.

Volba mechanismu nasazení zásad

Prvním krokem je volba způsobu použití zásad na vašich zařízeních.

Většina prostředí používá zásady skupiny Windows LAPS k nasazení požadovaných nastavení do zařízení připojených k doméně Windows Serveru.

Pokud jsou vaše zařízení také hybridně připojená k Microsoft Entra ID, můžete zásady nasadit pomocí Microsoft Intune s poskytovatelem konfigurační služby Windows LAPS (CSP).

Konfigurace konkrétních zásad

Musíte minimálně nakonfigurovat nastavení BackupDirectory, aby mu byla přiřazena hodnota 2. Tato hodnota se používá k zálohování hesel do služby Windows Server Active Directory.

Pokud nenakonfigurujete nastavení AdministratorAccountName, Windows LAPS ve výchozím nastavení spravuje výchozí předdefinovaný účet místního správce. Tento integrovaný účet se automaticky identifikuje pomocí dobře známého relativního identifikátoru (RID). Nikdy by neměla být identifikována pomocí jejího názvu. Název předdefinovaného účtu místního správce se liší v závislosti na výchozím národním prostředí zařízení.

Pokud chcete nakonfigurovat vlastní účet místního správce, měli byste nakonfigurovat AdministratorAccountName nastavení s názvem tohoto účtu.

Důležité

Pokud nakonfigurujete windows LAPS pro správu vlastního účtu místního správce, musíte zajistit, aby byl účet vytvořen. Windows LAPS nevytvoří účet. K vytvoření účtu doporučujeme použít CSP RestrictedGroups .

Podle potřeby můžete pro vaši organizaci nakonfigurovat další nastavení, například PasswordLength.

Pokud dané nastavení nenakonfigurujete, použije se výchozí hodnota. Ujistěte se, že rozumíte výchozím hodnotám nastavení. Pokud například povolíte šifrování hesel, ale nenakonfigurujete ADPasswordEncryptionPrincipal nastavení, heslo se zašifruje, aby ho dešifrovali jenom správci domény. Pokud chcete, aby ho uživatelé kromě domain Admins mohli dešifrovat, můžete nakonfigurovat ADPasswordEncryptionPrincipal s jiným nastavením.

Aktualizace hesla ve službě Windows Server Active Directory

Windows LAPS zpracovává aktivní politiku každou hodinu. Cyklus zpracování můžete spustit také ručně, protože systém Windows LAPS reaguje na oznámení o změnách zásad skupiny.

Pokud chcete ověřit úspěšné aktualizace hesla ve službě Windows Server Active Directory, vyhledejte v protokolu událostí událost s ID 10018:

Abyste se vyhnuli čekání po použití zásad, můžete spustit rutinu Invoke-LapsPolicyProcessing PowerShellu, která zásadu zpracuje okamžitě.

Načtení hesla ze služby Windows Server Active Directory

Pomocí této rutiny Get-LapsADPassword můžete načíst hesla ze služby Windows Server Active Directory, jak je znázorněno v následujícím kódu:

PS C:\> Get-LapsADPassword -Identity lapsAD2 -AsPlainText

ComputerName        : LAPSAD2
DistinguishedName   : CN=LAPSAD2,OU=NewLAPS,DC=laps,DC=com
Account             : Administrator
Password            : <password>
PasswordUpdateTime  : 7/1/2022 1:23:19 PM
ExpirationTimestamp : 7/31/2022 1:23:19 PM
Source              : EncryptedPassword
DecryptionStatus    : Success
AuthorizedDecryptor : LAPS\Domain Admins

V tomto výstupu Source řádek označuje, že je povolené šifrování hesla. Šifrování hesla vyžaduje, aby vaše doména byla nakonfigurovaná pro Windows Server 2016 nebo novější DFL.

Pokud vám bylo odepřeno právo dotazovat heslo, můžete upravit oprávnění pro čtení hesla. Viz Udělení oprávnění k dotazování na hesla.

Otočení hesla

Windows LAPS čte dobu vypršení platnosti hesla ze služby Windows Server Active Directory během každého cyklu zpracování zásad. Pokud vypršela platnost hesla, vygeneruje se nové heslo a uloží se okamžitě.

V některých situacích můžete chtít heslo předčasně otočit, například po porušení zabezpečení nebo během improvizovaného testování. Pokud chcete ručně vynutit rotaci hesla, můžete použít tento cmdlet Reset-LapsPassword.

Pomocí této rutiny Set-LapsADPasswordExpirationTime můžete nastavit naplánovanou dobu vypršení platnosti hesla uloženou ve službě Windows Server Active Directory. Následující kód nastaví čas vypršení platnosti na aktuální čas:

PS C:\> Set-LapsADPasswordExpirationTime -Identity lapsAD2

DistinguishedName                           Status
-----------------                           ------
CN=LAPSAD2,OU=NewLAPS,DC=laps,DC=com PasswordReset

Příště, když Windows LAPS zpracuje aktuální zásadu politiky, zaznamená změněnou dobu vypršení platnosti hesla a heslo se změní. Pokud nechcete čekat na další cyklus zpracování, můžete spustit rutinu Invoke-LapsPolicyProcessing , která zásadu zpracuje okamžitě.

Můžete použít cmdlet Reset-LapsPassword pro místní vynucení okamžité rotace hesla.

Načtení hesel ve scénářích zotavení po havárii Windows Serveru Active Directory

Pokud chcete načíst hesla Windows LAPS (včetně hesel DSRM), obvykle potřebujete mít k dispozici alespoň jeden řadič domény služby Windows Server Active Directory. V katastrofickém scénáři můžou být všechny řadiče domény v doméně neaktivní. Jak v této situaci obnovíte hesla?

Osvědčené postupy pro správu služby Windows Server Active Directory doporučují pravidelné zálohování všech řadičů domény. Hesla Windows LAPS uložená v připojené zálohované databázi Služby Active Directory windows Serveru můžete dotazovat pomocí Get-LapsADPassword rutiny PowerShellu a zadáním parametru -Port .

V buildu Windows Insider 27695 a novějších cmdlet Get-LapsADPassword nabízí vylepšené možnosti načítání hesel. Konkrétně platí, že když použijete rutinu Get-LapsADPassword a zadáte parametry -Port i -RecoveryMode parametry, obnovení hesla proběhne úspěšně bez nutnosti kontaktovat řadič domény. V tomto režimu můžete také spustit Get-LapsADPassword na počítači pracovní skupiny (nepřipojený k doméně). Tato funkce je dostupná v klientských a serverových operačních systémech.

Návod

Nástroj můžete použít dsamain.exe k připojení záložního média služby Active Directory systému Windows Server a jeho dotazování přes protokol LDAP (Lightweight Directory Access Protocol). Nástroj dsamain.exe není ve výchozím nastavení nainstalovaný, takže je potřeba ho přidat. Pomocí Enable-WindowsOptionalFeature cmdletu jej můžete povolit.

• Na klientských počítačích s Windows můžete spustit Enable-WindowsOptionalFeature -Online -FeatureName DirectoryServices-ADAM-Client.
• Na počítači s Windows Serverem můžete spustit Enable-WindowsOptionalFeature -Online -FeatureName DirectoryServices-ADAM.

Následující kód se dotazuje na hesla windows LAPS uložená v zálohovací databázi služby Windows Server Active Directory, která je místně připojená na portu 50000:

PS C:\> Get-LapsADPassword -Identity lapsDC -AsPlainText -Port 50000 -RecoveryMode

ComputerName        : LAPSDC
DistinguishedName   : CN=LAPSDC,OU=Domain Controllers,DC=laps,DC=com
Account             : Administrator
Password            : <password>
PasswordUpdateTime  : 8/15/2024 10:31:51 AM
ExpirationTimestamp : 9/14/2024 10:31:51 AM
Source              : EncryptedDSRMPassword
DecryptionStatus    : Success
AuthorizedDecryptor : S-1-5-21-2127521184-1604012920-1887927527-35197

Důležité

Při načtení šifrovaných hesel Windows LAPS ze záložní databáze služby Windows Server Active Directory, která je připojená k počítači pracovní skupiny, AuthorizedDecryptor se pole vždy zobrazí ve formátu nezpracovaného identifikátoru zabezpečení (SID). Stroj pracovní skupiny nemůže převést identifikátor SID na uživatelsky přívětivý název.

Viz také

• Představujeme řešení hesel místního správce Windows s id Microsoft Entra (Azure AD)
• Řešení hesel místního správce Windows v Microsoft Entra ID
• Omezené skupiny CSP
• Microsoft Intune
• Podpora Microsoft Intune pro Windows LAPS
• Windows LAPS CSP
• pokyny k řešení potíží s Windows LAPS

Další kroky

• Konfigurace nastavení zásad pro Windows LAPS
• Použijte protokoly událostí Windows LAPS
• Použijte rutiny Windows LAPS PowerShell
• Klíčové koncepty ve Windows LAPS