Mulai menggunakan Windows LAPS dan Windows Server Active Directory
Pelajari cara mulai menggunakan Windows Local Administrator Password Solution (Windows LAPS) dan Windows Server Active Directory. Artikel ini menjelaskan prosedur dasar untuk menggunakan Windows LAPS untuk mencadangkan kata sandi ke Direktori Aktif Windows Server dan cara mengambilnya.
Tingkat fungsional domain dan persyaratan versi OS pengendali domain
Jika domain Anda dikonfigurasi di bawah Tingkat Fungsional Domain (DFL) 2016, Anda tidak dapat mengaktifkan periode enkripsi kata sandi Windows LAPS. Tanpa enkripsi kata sandi, klien hanya dapat dikonfigurasi untuk menyimpan kata sandi dalam teks yang jelas (diamankan oleh ACL Direktori Aktif) dan DC tidak dapat dikonfigurasi untuk mengelola akun DSRM lokal mereka.
Setelah domain Anda mencapai DFL 2016, Anda dapat mengaktifkan enkripsi kata sandi Windows LAPS. Namun jika Anda masih menjalankan WS2016 DC, DC WS2016 tersebut tidak mendukung Windows LAPS dan karenanya tidak dapat menggunakan fitur manajemen akun DSRM.
Tidak masalah untuk menggunakan sistem operasi yang didukung yang lebih lama dari WS2016 pada pengendali domain Anda selama Anda mengetahui batasan ini.
Tabel berikut ini meringkas berbagai skenario yang didukung atau tidak:
| Detail domain | Penyimpanan kata sandi teks-bersih didukung | Penyimpanan kata sandi terenkripsi didukung (untuk klien yang bergabung dengan domain) | Manajemen akun DSRM didukung (untuk DC) |
|---|---|---|---|
| Di bawah 2016 DFL | Ya | No | Tidak |
| DFL 2016 dengan satu atau beberapa DC WS2016 | Ya | Ya | Ya tetapi hanya untuk WS2019 dan DC yang lebih baru |
| DFL 2016 hanya dengan WS2019 dan DC yang lebih baru | Ya | Ya | Ya |
Microsoft sangat merekomendasikan peningkatan pelanggan ke sistem operasi terbaru yang tersedia pada klien, server, dan pengendali domain untuk memanfaatkan fitur terbaru dan peningkatan keamanan.
Memperbarui skema Windows Server Active Directory
Skema Windows Server Active Directory harus diperbarui sebelum menggunakan Windows LAPS. Tindakan ini dilakukan dengan menggunakan Update-LapsADSchema cmdlet. Ini adalah operasi satu kali untuk seluruh hutan. Operasi ini dapat dilakukan pada pengontrol domain Windows Server 2022 atau Windows Server 2019 yang diperbarui dengan Windows LAPS, tetapi juga dapat dilakukan pada pengontrol non-domain selama mendukung modul Windows LAPS PowerShell.
PS C:\> Update-LapsADSchema
Tip
Teruskan -Verbose parameter untuk melihat info terperinci tentang apa yang Update-LapsADSchema dilakukan cmdlet (atau cmdlet lain dalam modul LAPS PowerShell).
Memberikan izin perangkat terkelola untuk memperbarui kata sandinya
Perangkat terkelola perlu diberikan izin untuk memperbarui kata sandinya. Tindakan ini dilakukan dengan mengatur izin yang dapat diwariskan pada Unit Organisasi (OU) tempat perangkat berada. Set-LapsADComputerSelfPermission digunakan untuk tujuan ini, misalnya:
PS C:\> Set-LapsADComputerSelfPermission -Identity NewLaps
Name DistinguishedName
---- -----------------
NewLAPS OU=NewLAPS,DC=laps,DC=com
Tip
Jika Anda lebih suka mengatur izin yang dapat diwariskan pada akar domain, ini dimungkinkan dengan menentukan seluruh akar domain menggunakan sintaks DN. Misalnya, tentukan 'DC=laps,DC=com' untuk parameter -Identity.
Izin Hak Yang Diperluas Kueri
Beberapa pengguna atau grup mungkin sudah diberikan izin Extended Rights pada unit organisasi perangkat terkelola. Izin ini bermasalah karena memberikan kemampuan untuk membaca atribut rahasia (semua atribut kata sandi Windows LAPS ditandai sebagai rahasia). Salah satu cara untuk memeriksa untuk melihat siapa yang diberikan izin ini adalah dengan menggunakan Find-LapsADExtendedRights cmdlet. Contohnya:
PS C:\> Find-LapsADExtendedRights -Identity newlaps
ObjectDN ExtendedRightHolders
-------- --------------------
OU=NewLAPS,DC=laps,DC=com {NT AUTHORITY\SYSTEM, LAPS\Domain Admins}
Dalam output dalam contoh ini, hanya entitas tepercaya (ADMIN SISTEM dan Domain) yang memiliki hak istimewa. Tidak ada tindakan lain yang diperlukan.
Mengonfigurasi kebijakan perangkat
Selesaikan beberapa langkah untuk mengonfigurasi kebijakan perangkat.
Memilih mekanisme penyebaran kebijakan
Langkah pertama adalah memilih cara menerapkan kebijakan ke perangkat Anda.
Sebagian besar lingkungan menggunakan Kebijakan Grup Windows LAPS untuk menyebarkan pengaturan yang diperlukan ke perangkat windows Server Active Directory-domain-joined.
Jika perangkat Anda juga bergabung dengan Microsoft Entra ID, Anda dapat menyebarkan kebijakan dengan menggunakan Microsoft Intune dengan penyedia layanan konfigurasi (CSP) Windows LAPS.
Mengonfigurasi kebijakan tertentu
Minimal, Anda harus mengonfigurasi pengaturan BackupDirectory ke nilai 2 (kata sandi cadangan ke Windows Server Active Directory).
Jika Anda tidak mengonfigurasi pengaturan AdministratorAccountName, Windows LAPS default untuk mengelola akun administrator lokal bawaan default. Akun bawaan ini secara otomatis diidentifikasi menggunakan pengidentifikasi relatif (RID) yang terkenal dan tidak boleh diidentifikasi menggunakan namanya. Nama akun administrator lokal bawaan bervariasi tergantung pada lokal default perangkat.
Jika Anda ingin mengonfigurasi akun administrator lokal kustom, Anda harus mengonfigurasi pengaturan AdministratorAccountName dengan nama akun tersebut.
Penting
Jika Anda mengonfigurasi Windows LAPS untuk mengelola akun administrator lokal kustom, Anda harus memastikan bahwa akun dibuat. Windows LAPS tidak membuat akun. Kami menyarankan agar Anda menggunakan RestrictedGroups CSP untuk membuat akun.
Anda dapat mengonfigurasi pengaturan lain, seperti PasswordLength, sesuai kebutuhan untuk organisasi Anda.
Saat Anda tidak mengonfigurasi pengaturan tertentu, nilai default diterapkan - pastikan untuk memahami default tersebut. Misalnya jika Anda mengaktifkan enkripsi kata sandi tetapi tidak mengonfigurasi pengaturan ADPasswordEncryptionPrincipal, kata sandi dienkripsi sehingga hanya Admin Domain yang dapat mendekripsinya. Anda dapat mengonfigurasi ADPasswordEncryptionPrincipal dengan pengaturan yang berbeda jika Anda ingin Admin non-Domain dapat mendekripsi.
Memperbarui kata sandi di Windows Server Active Directory
Windows LAPS memproses kebijakan aktif saat ini secara berkala (setiap jam) dan merespons pemberitahuan perubahan Kebijakan Grup. Ini merespons berdasarkan kebijakan dan mengubah pemberitahuan.
Untuk memverifikasi bahwa kata sandi berhasil diperbarui di Direktori Aktif Windows Server, lihat di log peristiwa untuk peristiwa 10018:
Untuk menghindari menunggu setelah menerapkan kebijakan, Anda dapat menjalankan Invoke-LapsPolicyProcessing cmdlet PowerShell.
Mengambil kata sandi dari Windows Server Active Directory
Get-LapsADPassword Gunakan cmdlet untuk mengambil kata sandi dari Windows Server Active Directory. Contohnya:
PS C:\> Get-LapsADPassword -Identity lapsAD2 -AsPlainText
ComputerName : LAPSAD2
DistinguishedName : CN=LAPSAD2,OU=NewLAPS,DC=laps,DC=com
Account : Administrator
Password : Zlh+lzC[0e0/VU
PasswordUpdateTime : 7/1/2022 1:23:19 PM
ExpirationTimestamp : 7/31/2022 1:23:19 PM
Source : EncryptedPassword
DecryptionStatus : Success
AuthorizedDecryptor : LAPS\Domain Admins
Hasil output ini menunjukkan bahwa enkripsi kata sandi diaktifkan (lihat Source). Enkripsi kata sandi mengharuskan domain Anda dikonfigurasi untuk Tingkat Fungsional Domain Windows Server 2016 atau yang lebih baru.
Putar kata sandi
Windows LAPS membaca waktu kedaluwarsa kata sandi dari Windows Server Active Directory selama setiap siklus pemrosesan kebijakan. Jika kata sandi kedaluwarsa, kata sandi baru dibuat dan segera disimpan.
Dalam beberapa situasi (misalnya, setelah pelanggaran keamanan atau untuk pengujian ad-hoc), Anda mungkin ingin memutar kata sandi lebih awal. Untuk memaksa rotasi kata sandi secara manual, Anda dapat menggunakan Reset-LapsPassword cmdlet.
Anda dapat menggunakan Set-LapsADPasswordExpirationTime cmdlet untuk mengatur waktu kedaluwarsa kata sandi terjadwal seperti yang disimpan di Direktori Aktif Windows Server. Contohnya:
PS C:\> Set-LapsADPasswordExpirationTime -Identity lapsAD2
DistinguishedName Status
----------------- ------
CN=LAPSAD2,OU=NewLAPS,DC=laps,DC=com PasswordReset
Lain kali Windows LAPS bangun untuk memproses kebijakan saat ini, ia melihat waktu kedaluwarsa kata sandi yang dimodifikasi dan memutar kata sandi. Jika Anda tidak ingin menunggu, Anda dapat menjalankan Invoke-LapsPolicyProcessing cmdlet.
Anda dapat menggunakan Reset-LapsPassword cmdlet untuk memaksa rotasi langsung kata sandi secara lokal.
Lihat juga
- Memperkenalkan Solusi Kata Sandi Administrator Lokal Windows dengan ID Microsoft Entra
- Solusi Kata Sandi Administrator Lokal Windows di ID Microsoft Entra
- RestrictedGroups CSP
- Microsoft Intune
- Dukungan Microsoft Intune untuk Windows LAPS
- Windows LAPS CSP
- Panduan Pemecahan Masalah Windows LAPS
Langkah berikutnya
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk