Microsoft LAPS چیست؟

Microsoft LAPS چیست؟
شبکه مایکروسافت مقالات

Local Administration Password Solution یا Microsoft LAPS چیست؟

پس از اینکه یک شبکه Workgroup به یک شبکه Domain ارتقاء پیدا می‌کند احراز هویت کاربران توسط DC صورت می‌پذیرد و دیگر نیازی به ایجاد کاربر محلی بر روی هر کامپیوتر نیست. اما شما به عنوان مدیر شبکه هنوز هم نیاز به یک حساب کاربری (User Account) محلی (Local) با دسترسی Admin (یعنی عضو گروه Administrators باشد) دارید. چون ممکن است به هر دلیلی؛ مثل عدم دسترسی به شبکه به دلیل قطع شدن کابل شبکه یا سوختن کارت شبکه که مشکلات لایه یک هستند یا دلایلی دیگری چون عدم ارتباط ویندوز با DC نتوانید یا … نتوانید به وسیله DC احراز هویت شوید. در این زمان وجود یک حساب کاربری Admin محلی بسیار می‌تواند در عیب‌یابی و رفع آن مهم و حیاتی باشد.

حال فرض کنید شبکه Domain شما 100 کامپیوتر دارد و شما بر روی هر 100 کامپیوتر یک حساب کاربری با نام Admin و گذرواژه P@ssw0rd ایجاد کرده‌اید. کاری که در بسیاری از مجموعه‌ها شاهد آن هستیم اما آیا می‌توانید حدس بزنید چه مشکلی در پیش رویتان خواهد بود؟ این سوال پاسخ‌های متعددی دارد:

  • یکی از سیاست‌های امنیتی تغییر دوره‌ای گذرواژه‌ها در یک سازمان است. برای تغییر دور‌ه‌ای گذرواژه‌های این نوع حساب کاربری نیاز است 100 بار این کار بر روی 100 سیستم انجام شود که خود زمان زیادی از سازمان و واحد ما هدر خواهد داد. حال اگر ما 500 سیستم داشتیم چه؟
  • اگر به هر دلیلی اطلاعات کاربری این حساب فاش شد هرکسی می‌تواند دسترسی Admin داشته باشد و هر کاری اعم از نصب برنامه، تغییر تنظیمات و … انجام دهد. برای تغییر گذرواژه نیز با همان چالش قبلی نیز رو به رو هستیم و برای هر سیستم باید جداگانه این کار را انجام دهیم.
  • هنگام اضافه کردن سیستم جدیدی به سازمان این امکان وجود دارد که ایجاد حساب کاربری Admin بصورت محلی فراموش شود و در موقع ضرور و نیاز به این حساب متوجه آن شویم که موجب می‌شود درگیر فرآیندهای سخت‌تر و زمانبر دیگری شویم.

آموزش Microsoft LAPS در دوره mcsa

با این تفاصیل چه باید کرد؟ از طرفی نه می‌توان از وجود یک حساب کاربری Admin محلی چشم پوشی کرد و از طرف دیگر هزینه نگهداری این حساب سنگین است. اینجاست که Microsoft راهکاری تحت عنوان Local Administration Password Solution یا Microsoft LAPS ارائه کرده است. راه‌کارهایی که این نرم‌افزار ارائه می‌کند بسیار کارآمد و مناسب سازمان‌هایی است که در آن‌ها تعداد زیادی کامپیوتر وجود دارد.

برای نصب Microsoft LAPS بر روی ویندوز سرورهای 2016 به قبل و ویندوز 11 نسخه 23H2 به قبل باید آن را از سایت Microsoft دانلود کنید (مایکروسافت به این نسخه Legacy Microsoft LAPS Product) و سپس مراحل زیر را دنبال کنید:

  • بر روی ویندوز سروری که AD است فایل msi را اجرا کنید.
  • بر روی Next کلیک کنید.

نصب و راه اندازی Microsoft LAPS

  • تیک گزینه مشخص شده را بزنید و بر روی Next کلیک کنید.

نحوه نصب Microsoft LAPS

  • در این مرحله همه Management Toolsها را انتخاب کنید تا نصب شوند و بر روی Next کلیک کنید.

آموزش نصب Microsoft LAPSمراحل نصب Microsoft LAPS

دانلود و نصب Microsoft LAPS

  • بر روی دکمه Install کلیک کنید.

Microsoft LAPS را چگونه نصب کنیم؟

  • منتظر شوید تا فرآیند نصب کامل شود.

Microsoft LAPS را از کجا دانلود کنیم؟

  • بر روی Finish کلیک کنید.

نهایی کردن نصب Microsoft LAPS

حالا فرآیند نصب Microsoft LAPS به اتمام رسیده است و نیاز است تا چند تنظیم دیگر انجام دهیم:

  • در پنجره Run(Win+R) عبارت powershell را تایپ کنید تا پنجره powershell باز شود.
  • دستور import-module admpwd.ps را وارد کنید و Enter کنید. این دستور باعث می‌شود دستورات مربوط به LAPS فراخوانی شود.
  • دستور update-AdmPwsAdSchema را وارد کنید و Enter نمایید.
  • دستور set-AdmPwdComputerSelfPermission -orgunit “OU DN Name” را وارد کنید. بجای عبارتی که در کوتیشن مشخص شده باید Distinguish Name همان OU را وارد کنید که قصد دارید ماشین‌های درون آن از LAPS پیروی کند.

پیکربندی Microsoft LAPS در power Shell

  • از مسیر C:WindowsPolicyDefinitions فایل admx و از مسیر C:WindowsPolicyDefinitionsen-US فایل AdmPwd.adml را کپی کنید. در پوشه Sysvol پوشه‌ای بنام Domain شما وجود دارد وارد آن شوید و پوشه‌ای بنام PolicyDefinitions بسازید و فایل AdmPwd.admx را در آن بیاندازید. و پوشه دیگری بنام en-US بسازید و AdmPwd.adml را در آن بیاندازید.

حال باید Microsoft LAPS را بر روی سیستم‌های Client نصب کنیم. برای این کار نیز می‌توانیم از GPO کمک بگیریم. برای انجام این کار مراحل زیر را دنبال کنید:

  • ابتدا یک پوشه بسازید و فایل msi را در آن کپی کنید و پوشه را Share کنید.
  • وارد Group Policy Management شوید و یک Policy جدید بسازید.
  • در Policy ایجاد شده مسیر Computer Configuration PoliciesSoftware Settings را دنبال کنیدو بر روی Software installation کلیک راست کرده و گزینه Properties را انتخاب کنید و مسیر پوشه‌ای که ساخته‌اید را در قسمت Default package location وارد کنید.

تنظیمات Microsoft LAPS در Group Policy

  • حالا بر روی فضای خالی سمت راست کیک راست کرده و از منوی New گزینه Package را بزنید. برنامه msi را انتخاب نمایید.

تنظیمات Microsoft LAPS

Microsoft LAPS

  • در پنجره Deploy Software گزینه Assigned را انتخاب کنید و OK کنید. و منتظر بمانید تا اضافه شود.

مراحل پیکربندی Microsoft LAPS

  • در همین GPO مسیر Computer ConfigurationAdministrative TemplatesLAPS را دنبال کنید. در این مسیر Password Settings را پیدا کنید و آن را به Enabled تغییر دهید. بوسیله این تنطیم پیچیدگی، تعداد کاراکتر و طول عمر گذرواژه را می‌توانیم مشخص کنیم.

مراحل تنظیمات Microsoft LAPS

  • در این مسیر همچنین تنظیم Enable local admin password management را Enable کنید.
  • این Policy برای اینکه به درستی عمل کند باید به OU که ماشین‌های هدف در آن هستند باید Link شود.

توجه!!!

در هنگام Link کردن این GPO دقت نمایید که OU درستی را انتخاب کنید. در غیر اینصورت ممکن است به سرورهای موجود هم این تنظیمات اعمال شود و دچار مشکل شوید.

  • در سیستم‌ کاربران باید این GPO اعمال شود، تا LAPS نصب شود.
  • بر روی DC نرم‌افزار LAPS UI را اجرا کنید و نام کامپیوتر مورد نظر را جستجو کنید، گذرواژه‌ای که LAPS به کامپیوتر جستجو شده اختصاص داده در کادر Password نمایش داده می‌شود.

تنظیمات LAPS UI

از ویندوز سرور 2019 و ویندوز 10 بروز رسانی 11 آپریل 2023  Microsoft LAPS را به عنوان یک Feature تحت عنوان Windows LAPS به ویندوز اضافه کرده و دیگر نیازی به نصب بسته نرم‌افزاری که در قبل عنوان شد نیست و حتی از ویندوز 11 نسخه 23H2 به بعد نصب این بسته را بر روی ویندوز مسدود (Block) کرده است. Window LAPS معماری کامل‌تری نسبت به Legacy LAPS دارد و امکان استفاده از آن با Windows Server Active Directory، Microsoft Entra ID و Microsoft Intune می‌باشد که ما در این مقاله به استفاده از آن در Active Directory می‌پردازیم.

انواع Microsoft LAPS

برای استفاده از Windows LAPS مراحل ساده‌تری را باید طی کنیم:

  • ابتدا در ویندوز سرور و در محیط powershell دستور Update-LapsADSchema را تایپ کنید و Enter کنید. اگر -verbose را به انتهای دستور اضافه کنید نتیجه با جزئیات بیشتری چاپ می‌شود.

نصب Windows LAPS

  • در پنجره Run (Win+R) عبارت msc را تایپ کنید و Enter کنید.
  • یک Policy جدید ایجاد کنید.
  • وارد تنظیمات این Policy جدید شوید و مسیر Computer ConfigurationPoliciesAdministrative TemplatesSystemLAPS شوید
  • در این مسیر Password Settings را پیدا کنید و آن را به Enabled تغییر دهید. بوسیله این تنطیم پیچیدگی، تعداد کاراکتر و طول عمر گذرواژه را می‌توانیم مشخص کنیم.
  • Windows LAPS نسبت به Legacy LAPS دارای تنظیمات بیشتری است که در صورت نیاز می‌توانید آن‌ها را نیز بررسی و اعمال کنید.
  • این Policy برای اینکه به درستی عمل کند باید به OU که ماشین‌های هدف در آن هستند باید Link شود.

توجه!!!

در هنگام Link کردن این GPO دقت نمایید که OU درستی را انتخاب کنید. در غیر اینصورت ممکن است به سرورهای موجود هم این تنظیمات اعمال شود و دچار مشکل شوید.

Microsoft LAPS

  • پس اعمال GPO بر کامپیوترهای هدف، برای مشاهده گذرواژه ماشین هدف بر روی Computer Account آن کلیک راست کرده و Properties بگیرید.
  • در سر برگ LAPS می‌توانید زمان انقضاء و گذرواژه را مشاهده کنید.

Microsoft LAPSامیدوارم این آموزش برای شما مفید بوده باشد. منتظر نظرات شما هستم.

دیدگاه خود را اینجا قرار دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

×
واتساپ
تلگرام
اینستاگرام
پیامک
پشتیبانی آنلاین