Menjelaskan Solusi Administrator Kata Sandi Lokal

  • 7 menit

Setiap komputer yang menjadi anggota domain menyimpan akun Administrator lokal. Ini adalah akun yang Anda konfigurasikan saat pertama kali menyebarkan komputer secara manual, atau yang dikonfigurasi secara otomatis saat Anda menggunakan alat penyebaran perangkat lunak seperti Microsoft Endpoint Configuration Manager. Akun Administrator lokal memungkinkan staf TI untuk masuk ke komputer jika mereka tidak dapat membuat konektivitas ke domain.

Mengelola kata sandi untuk akun Administrator lokal bagi setiap komputer di organisasi memerlukan langkah yang sangat rumit. Sebuah organisasi dengan 5.000 komputer memiliki 5.000 akun Administrator lokal terpisah yang perlu dikelola. Hal yang sering terjadi adalah organisasi menetapkan satu kata sandi akun Administrator lokal yang umum ke semua akun Administrator lokal. Kelemahan dari pendekatan ini adalah bahwa orang-orang di luar tim operasi IT dapat menebak kata sandi ini, lalu menggunakannya untuk mendapatkan akses Administrator lokal yang tidak sah ke komputer di organisasi mereka.

Solusi Kata Sandi Administrator Lokal (LAPS) memberi organisasi repositori kata sandi administrator lokal pusat ke komputer anggota domain, dan menyediakan beberapa fitur berikut:

  • Kata sandi administrator lokal bersifat unik di setiap komputer yang dikelola LAPS.

  • LAPS mengacak dan mengubah kata sandi administrator lokal secara berkala.

  • LAPS menyimpan kata sandi dan rahasia administrator lokal dengan aman di dalam AD DS (Active Directory).

  • Izin yang dapat dikonfigurasi mengontrol akses ke kata sandi di AD DS.

  • Kata sandi yang diambil LAPS ditransmisikan ke klien dengan cara yang aman dan terenkripsi.

Anda dapat mengunduh LAPS dari situs Microsoft.

Prasyarat

LAPS didukung di semua versi Windows Server dan sistem operasi klien yang didukung saat ini. Agar LAPS dapat berfungsi, Anda harus memperbarui skema AD DS. Anda dapat memperbaruinya dengan menjalankan cmdlet Update-AdmPwdADSchema, yang disertakan dalam modul Windows PowerShell yang tersedia saat Anda menginstal LAPS di komputer.

Pengguna yang menjalankan cmdlet ini haruslah anggota grup Admin Skema, dan Anda harus menjalankan cmdlet ini di komputer yang berada di situs AD DS yang sama dengan komputer yang menghosting peran FSMO Master Skema untuk forest.

Setelah disebarkan, konfigurasikan agen LAPS dalam Active Directory Domain Services melalui ekstensi sisi klien Kebijakan Grup. Komputer klien yang kata sandi administrator lokalnya dikelola oleh LAPS memerlukan penginstalan klien LAPS, yang tersedia sebagai MSI dalam file unduhan.

Cara kerja LAPS

Proses LAPS (Solusi Kata Sandi Administrator Lokal) terjadi setiap kali Kebijakan Grup melakukan refresh. Ketika Kebijakan Grup melakukan refresh, langkah-langkah akan dilakukan:

  1. LAPS menentukan apakah kata sandi akun Administrator lokal telah kedaluwarsa.

  2. Jika kata sandi belum kedaluwarsa, LAPS tidak melakukan tindakan apa pun.

  3. Jika kata sandi telah kedaluwarsa, LAPS melakukan langkah-langkah berikut:

    1. Mengubah kata sandi Administrator lokal ke nilai acak baru berdasarkan parameter yang dikonfigurasi untuk kata sandi Administrator lokal.

    2. Mentransmisikan kata sandi baru ke AD DS, yang menyimpannya dalam atribut rahasia khusus yang terkait dengan akun komputer dari komputer yang telah diperbarui kata sandi akun Administrator lokalnya.

    3. Mentransmisikan tanggal kedaluwarsa kata sandi baru ke AD DS, yang menyimpannya dalam atribut rahasia khusus yang terkait dengan akun komputer dari komputer yang telah diperbarui kata sandi akun Administrator lokalnya.

Pengguna yang diotorisasi dapat membaca kata sandi dari AD DS, dan pengguna yang diotorisasi dapat memicu perubahan kata sandi Administrator lokal pada komputer tertentu.

Mengonfigurasi dan mengelola kata sandi menggunakan LAPS

Ada beberapa langkah yang perlu Anda lakukan untuk mengonfigurasi dan mengelola kata sandi dengan menggunakan LAPS. Langkah pertama melibatkan konfigurasi AD DS (Active Directory). Pertama, pindahkan akun komputer dari komputer yang LAPS-nya ingin Anda gunakan ke OU (Unit Organisasi). Setelah Anda memindahkan akun komputer ke OU, gunakan cmdlet Set-AdmPwdComputerSelfPermission untuk memberi akun komputer kemampuan untuk memperbarui kata sandi akun Administrator lokal komputernya ketika kedaluwarsa.

Misalnya, untuk memungkinkan komputer di OU Sydney yang kata sandinya telah kedaluwarsa untuk memperbarui kata sandinya dengan menggunakan LAPS, Anda perlu menggunakan perintah berikut:

Set-AdmPwdComputerSelfPermission -Identity "Sydney"

Secara default, akun yang merupakan anggota grup Admin Domain dan Admin Perusahaan dapat mengakses dan menemukan kata sandi yang tersimpan. Gunakan cmdlet Set-AdmPwdReadPasswordPermission untuk memberi grup tambahan kemampuan untuk menemukan kata sandi administrator lokal.

Misalnya, untuk memberi grup Sydney_ITOps kemampuan untuk menemukan kata sandi administrator lokal di komputer OU Sydney, Anda perlu menggunakan perintah berikut:

Set-AdmPwdReadPasswordPermission -Identity "Sydney" -AllowedPrincipals "Sydney_ITOps"

Langkah selanjutnya adalah menjalankan penginstal LAPS untuk menginstal template Objek Kebijakan Grup (GPO) ke AD DS. Setelah menginstal template, Anda dapat mengonfigurasi kebijakan berikut:

  • Aktifkan manajemen kata sandi admin lokal. Kebijakan ini memungkinkan LAPS dan memungkinkan Anda mengelola kata sandi akun Administrator lokal secara terpusat.

  • Pengaturan kata sandi. Kebijakan ini memungkinkan Anda mengonfigurasi kompleksitas, panjang, dan masa berlaku maksimum kata sandi Administrator lokal. Persyaratan kata sandi default adalah:

    • Huruf besar dan huruf kecil

    • Angka

    • Karakter khusus

    • Panjang kata sandi 14 karakter

    • Masa berlaku maksimal kata sandi selama 30 hari

    • Jangan biarkan waktu kedaluwarsa kata sandi lebih lama dari yang diperlukan. Saat diaktifkan, kata sandi diperbarui sesuai dengan kebijakan kedaluwarsa kata sandi domain.

    • Nama akun administrator yang akan dikelola. Gunakan kebijakan ini untuk mengidentifikasi akun Administrator lokal kustom.

Anda dapat memeriksa kata sandi yang ditetapkan ke komputer dengan menggunakan salah satu metode berikut:

  • Pengguna dan Komputer Active Directory Domain Services. Aktifkan Fitur Tingkat Lanjut untuk melihat properti akun komputer dan memeriksa atribut ms-Mcs-AdmPwd akun komputer yang dikelola LAPS.

  • Aplikasi GUI LAPS. Aplikasi ini memungkinkan Anda mengambil kata sandi administrator lokal komputer

  • cmdlet Get-AdmPwdPassword. Jalankan cmdlet ini, tersedia dari modul AdmPwd.PS, yang tersedia saat Anda menginstal LAPS untuk mengambil kata sandi administrator lokal komputer.