آموزش Microsoft LAPS قسمت اول : مقدمه

(More security)
(Microsoft Local Administrator Password Solution)
(نگاهی متفاوت به Local User Administrator)


امروزه در سازمان های بزرگ که شامل بیش از 500 کلاینت هستند Set کرد پسورد User Local Administrator از مشکلات هر سازمان می باشد.
در هر سازمان برای کلاینت های تحت دامین پالیسی های زیادی ادمین های شبکه Set می کنند که یک کاربر با بدست آوردن پسورد User Local Administrator می تواند تمامی آنها را دور بزند و بر روی سیستم تمامی exe های مورد نیاز و Script های خودش را Run کند.
پس User Administrator که بر روی سیستم دسترسی Full و Admin دارد قطعا از ارزش بالایی برخوردار خواهد بود که در سازمان ها آن را نادیده می گیرند. پس باید برای این کاربر یک پسورد قدرتمند Set کنیم.

برای Set کردن پسورد دو راه حل وجود دارد:
  1. به صورت سنتی برای هر سیستم پسورد را Set کنیم که یک کار سنتی و قدیمی می باشد و برای سیستم های تعداد زیاد یک کار سخت می باشد.
  2. از طریق GPO اینکار را انجام دهیم، که به دلیل ذخیره پسورد در Sysvol دامین از امنیت کمی برخوردار می باشد و در Windows Server 2012 R2 توسط مایکروسافت غیر فعال شده است.

راه سوم که شرکت مایکروسافت معرفی کرد و جایگزین دو راه حل قبل شد نرم افزار LAPS می باشد.
از طریق نرم افزار LAPS شرکت Microsoft می توان برای تمامی کلاینت ها تحت شبکه به صورت Automatic پسورد User Administrator را که شامل رشته های تصادفی می باشد Set کرد و در یک محیط کاملا ساده و امن تمامی پسورد ها را مدیریت و در یک بازه زمانی پسوردها را Reset کرد.
در واقع از یک کنسول User Administrator تمامی کلاینت ها را مدیریت و برای آنها پسورد Set می کنیم و پسورد آنها را مشاهده می کنیم و دیگر نیاز به مراجعه حظوری نمی باشد.
از همه مهم تر چون این پسوردها به صورت تصادفی و Complex بر روی User Local Administrator سیستم ها Set می شود هیچ دو کامپیوتری را پیدا نخواهید کرد که دارای پسورد یکسان باشند که این پسورد در بازه معین Reset می شود و می توان آن را مشاهده کرد.

قطعا این نرم افزار از واجبات هر سازمان می باشد.


مدرس: وحید ایران نژاد
#پسورد_administrator #ریست_پسورد_user_administrator #ریست_پسورد_administrator
عنوان
1 آموزش Microsoft LAPS قسمت اول : مقدمه 12′:26″ رایگان
2 آموزش Microsoft LAPS قسمت دوم : نصب نرم افزار بر روی Server و Client 7′:45″ 11,000
3 آموزش Microsoft LAPS قسمت سوم : ایجاد تنظیمات مربوط به Schema,Security,Domain Controller 9′:25″ 11,000
4 آموزش Microsoft LAPS قسمت چهارم و پایانی : تنظیمات Group Policy و راه های مشاهده پسوردها 7′:51″ 11,000
زمان و قیمت کل 37′:27″ 33,000
16 نظر
rasouli
با سلام بنده تمامی مراحل انجام دادم ولی پسورد رو نمایش نمیده خواهشمندم راهنمای کنید
وحید ایران نژاد
سلام نرم افزار رو روی کلاینت مورد نظر نصب کردید؟ باید در لیست نرم افزارهای داخلی Control Panel قرار گرفته باشه.
rasouli
با سلام بنده همه مراحل به درستی انجام دادم مشکل هم بر طرف شد باید روی کنسول Active Directory Users and Computers از قسمت View تیک گزینه Advanced featuresبزنن این هم اضافه بشه به آموزش تشکر از آموزش خوبتون
فقط یه مشکل داشتم
من User کلاینتمو استاندارد کردم درون کلاینت با نرم افزار laps بازم پسوورد administrator نمایش میده میشه یه راهنمایی کنید تشکر
وحید ایران نژاد
ببینید شما اگر روی OU برای کاربری که نباد پسوردو مشاهده کنه تیک All Extend رو بردارید قطعا نمیبینه. اگر بازم مشاهده می کنه حتما روی یه گروه این کاربر عضوه که اون تیک داره. از دستور پاورشلی که معرفی کردم روی OU استفاده کنید ببینید دسترسی داره. اگر مشکلی داشتید با https://t.me/v_wolfShadow در تماس باشید
f.saadat
سلام وقتتون بخیر
من نرم افزار رو نصب کردم و با دستور پاور شل ماژول Import کردم ولی دستور Update-AdmPwdADSchema اجرا نمیشه و ارور میده
ارورش هم بدین صورت:

Update-AdmPwdADSchema : An operation error occurred.
At line:1 char:1
+ Update-AdmPwdADSchema
+ ~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : NotSpecified: (:) [Update-AdmPwdADSchema], DirectoryOperationException
+ FullyQualifiedErrorId : System.DirectoryServices.Protocols.DirectoryOperationException,AdmPwd.PS.UpdateADSchema
لطفا راهنماییم کنید.ممنونم...
rasouli
چندین مرتبه تست کردم چند تا محیط تست درست کردم بازم پالیسی هاش اعمال نمیشه
وحید ایران نژاد
سلام. اون کاربری که باهاش دستورو اجرا می کنید دسترسی تغییر Schema داره؟ دسترسی کاربر چک کنید.
f.saadat
بله روی DC با User Acount Administrator انجامش میدم حتی چک کردم عضو گروه های enterprise admins و schema admins هم باشه هرکاری میکنم این دستور اجرا نمیشه
وحید ایران نژاد
عکسشو برا ارسال کنید
f.saadat
سلااام
ممنونم جناب ایران نژاد از وقتی که گذاشتید مشکلم برطرف شد...
اسم administrator رواز طریق پالیسی rename کرده بودم و انگار دسترسی نداشته با اصلاح اون اسم مشکلم برطرف شد
وحید ایران نژاد
خواهش می کنم

salehii
با سلام خدمت استاد عزیز یه سوال در خصوص نصب agent برنامه laps آیا میشود برروی agent برروی کلاینت ها پسورد گذاشت تا نتوانند دلیتش کنن با توجه به اینکه سیستم عامل های اکثر کاربرا با دسترسی local admin کلاینت خودشون هستند اگه راحی هست ممنون میشم راهنمایی کنید تشکر
وحید ایران نژاد
سلام. خیر پسورد نمیشه گذاشت. شما فقط باید دسترسی Local Admin از کاربر بگیرید

سعید کریمی طاری
با سلام
آیا از این روش فقط بصورت random میتونیم پسورد روی Admin Local بگذاریم یا اینکه میشه بصورت استاتیک روی تمام سیستم ها پسورد بگذاریم
چون برای یکسری از کارها نیاز هست که هلپ دسک دسترسی به admin local داشته باشه
وحید ایران نژاد
نه به صورت Random پسور می ده ولی میتونید دسترسی بدید برای مشاهده
نظر شما
برای ارسال نظر باید وارد شوید.
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره بهاره می تونی امروز ارزونتر از فردا خرید کنی ....