Configurazione LAPS
Aggiunta di autorizzazioni in Active Directory
La configurazione LAPS viene eseguita tramite OR a livello di Active Directory. In questo tutorial applicheremo la policy relativa alla password sui computer dell’unità organizzativa 1 che si trova nell’UO LAB.
Prima di configurare i criteri di gruppo, è necessario concedere agli oggetti Computer i diritti per modificare i propri attributi. Apri un prompt dei comandi di PowerShell.
Carica il modulo:
Import-Module AdmPwd.PS
Caso 1: esiste un’unica unità organizzativa denominata Computer:
Set-AdmPwdComputerSelfPermission -OrgUnit "Computers"
Caso 2: diverse unità organizzative sono chiamate Computer:
Set-AdmPwdComputerSelfPermission -OrgUnit "OU=Computers,OU=LAB,DC=lab,DC=intra"
Risultato del comando:
Name DistinguishedName Status ---- ----------------- ------ Computers OU=Computers,OU=LAB,DC=lab,DC=intra Delegated
Se più unità organizzative hanno lo stesso nome e si applica il comando nel caso 1, la delega verrà applicata a tutte le unità organizzative. Il comando restituirà anche un errore.
Oggetto Criteri di gruppo per applicare le impostazioni ai computer
Ora che i computer possono modificare i propri attributi, è necessario creare una policy di gruppo. Aprire la console Gestione criteri di gruppo, fare clic con il pulsante destro del mouse su OPPURE 1 dove verrà applicato e fare clic su Crea un oggetto Criteri di gruppo in questo dominio e collegarlo qui 2.
Assegnare un nome alla strategia 1 e fare clic su OK 2.
Ora che la policy è stata creata, la configureremo, fare clic con il tasto destro su di essa 1 e fare clic su Modifica 2.
Andare su Configurazione computer/Criteri/Modelli amministrativi/LAPS 1. Questa posizione contiene i vari parametri di configurazione. Aprire Impostazioni password 2 per configurare la password.
Abilita le impostazioni 1 quindi configura la complessità della password 2 utilizzando le diverse impostazioni. Fare clic su Applica 3 e su OK 4.
Aprire il parametro Abilita gestione password amministratore locale, attivare 1 quindi fare clic su Applica 2 e OK 3. È necessario abilitare questa impostazione per abilitare la gestione della password.
Se è stato modificato l’account amministratore locale e ne è stato creato uno nuovo, è possibile indicarlo con il parametro Nome dell’account amministratore da gestire.
Riepilogo delle impostazioni dei Criteri di gruppo:
Ora che i Criteri di gruppo sono pronti, forzane l’aggiornamento in modo che i computer recuperino le impostazioni e generino una password per l’account amministratore locale.