Microsoft LAPS: protezione degli account di amministratore locale

   -     -   (0)  -    6 minutes

Visualizza la password generata da LAPS

Ora che i nostri computer hanno una password diversa, vedremo come recuperare la password.

Dall’Active Directory

La visualizzazione delle funzionalità avanzate deve essere abilitata.

Con la console Utenti e computer di Active Directory, aprire le proprietà del computer, passare alla scheda Editor attributi 1 e cercare l’attributo ms-Mcs-AdmPwd 2.

Get password

Con il cliente LAPS

Durante l’installazione di LAPS sul server, tutti i componenti sono stati installati. Un client è disponibile tramite il menu Start. Una volta avviato, inserire il nome del computer 1 quindi fare clic su Cerca 2 per visualizzare la password 3 e la data di scadenza 4.

LAPS Client UI

E’ possibile modificare la data di scadenza della password, una volta configurata cliccare su Imposta. La modifica della password sarà effettiva quando si applicano i criteri di gruppo al computer.

Consenti la visualizzazione della password a un gruppo AD

Per impostazione predefinita, il gruppo Domain Admins può visualizzare l’attributo che contiene la password per l’account amministratore locale della workstation. Potrebbe essere necessario fornire l’accesso tramite password ad altre persone, ad esempio persone del team di supporto se non sono membri del gruppo Domain Admins.

La parte client di LAPS dovrà essere installata sul proprio computer per visualizzare la password.

Sul controller di dominio, aprire la console Modifica ADSI, fare clic con il pulsante destro del mouse su Modifica ADSI 1 e fare clic su Connessione 2.

ADSI editor

Scegliere Contesto di assegnazione predefinito 1 e fare clic su OK 2.

Connection

Una volta connesso, aprire le proprietà dell’unità organizzativa in cui è stato configurato LAPS.

OU properties

Vai alla scheda Sicurezza 1 e fai clic sul pulsante Avanzate 2.

Security tab

Fare clic su Aggiungi 1.

Add

Selezionare il gruppo 1, digitare: Consenti 2. Controllare l’autorizzazione Tutti i diritti estesi 3 e convalidare facendo clic su OK 4.

permissions configuration

Le autorizzazioni sono state aggiunte all’unità organizzativa, fare clic su Applica 1 quindi su OK 2 per convalidare. Quindi chiudi le finestre.

È possibile fare la stessa cosa in PowerShell usando il seguente comando:

Set-AdmPwdReadPasswordPermission -OrgUnit Computers -AllowedPrincipals SupportSI

È possibile verificare l’accesso in PowerShell utilizzando il seguente comando:

Import-Module AdmPwd.PS
Find-AdmPwdExtendedRights -Identity Computers | Format-Table ExtendedRightHolders

ExtendedRightHolders
--------------------
{AUTORITE NT\Système, LAB\Admins du domaine, LAB\SupportSI}

Gli utenti del gruppo SupportSI ora hanno la possibilità di visualizzare la password dell’account dell’amministratore locale.

Per concedere l’autorizzazione al gruppo SupportSI per modificare la data di scadenza della password, immettere il seguente comando di PowerShell:

Set-AdmPwdResetPasswordPermission -OrgUnit Computers -AllowedPrincipals SupportSI
Pagine: 1 2 3 4 5 6

Lascia un commento

 
© 2024