Microsoft LAPS – Protegendo contas de administrador local

   -     -   (0)  -    6 minutes

Veja a senha gerada pelo LAPS

Agora que nossos computadores possuem uma senha diferente, veremos como recuperar a senha.

Do Active Directory

A exibição de recursos avançados deve estar habilitada.

Com o console Usuários e Computadores do Active Directory, abra as propriedades do computador, vá para a guia Editor de Atributos 1 e procure o atributo ms-Mcs-AdmPwd 2.

Get password

Com o cliente LAPS

Ao instalar o LAPS no servidor, todos os componentes foram instalados. Um cliente está disponível no menu Iniciar. Uma vez iniciado, digite o nome do computador 1 e clique em Pesquisar 2 para exibir a senha 3, bem como a data de validade 4 .

LAPS Client UI

É possível modificar a data de validade da senha, uma vez configurada clique em Definir. A alteração da senha terá efeito ao aplicar políticas de grupo no computador.

Permitir visualização de senha para um grupo AD

Por padrão, o grupo Admins. do Domínio pode ver o atributo que contém a senha da conta do Administrador Local da estação de trabalho. Pode ser necessário conceder acesso por senha a outras pessoas, por exemplo, pessoas da equipe de suporte, caso não sejam membros do grupo Administradores de Domínio.

A parte cliente do LAPS precisará ser instalada em seu computador para ver a senha.

No controlador de domínio, abra o console de modificação ADSI, clique com o botão direito em Modificação ADSI 1 e clique em Conexão 2.

ADSI editor

Escolha Contexto de Atribuição Padrão 1 e clique em OK 2.

Connection

Uma vez conectado, abra as propriedades da UO onde o LAPS foi configurado.

OU properties

Vá para a guia Segurança 1 e clique no botão Avançado 2.

Security tab

Clique em Adicionar 1.

Add

Selecione o grupo 1, digite: Permitir 2. Verifique a autorização Todos os direitos estendidos 3 e valide clicando em OK 4.

permissions configuration

As autorizações foram adicionadas à unidade organizacional, clique em Aplicar 1 e depois em OK 2 para validar. Em seguida, feche as janelas.

É possível fazer a mesma coisa no PowerShell usando o seguinte comando:

Set-AdmPwdReadPasswordPermission -OrgUnit Computers -AllowedPrincipals SupportSI

É possível verificar o acesso no PowerShell usando o seguinte comando:

Import-Module AdmPwd.PS
Find-AdmPwdExtendedRights -Identity Computers | Format-Table ExtendedRightHolders

ExtendedRightHolders
--------------------
{AUTORITE NT\Système, LAB\Admins du domaine, LAB\SupportSI}

Os usuários do grupo SupportSI agora podem ver a senha da conta do Administrador Local.

Para dar permissão ao grupo SupportSI para alterar a data de expiração da senha, insira o seguinte comando do PowerShell:

Set-AdmPwdResetPasswordPermission -OrgUnit Computers -AllowedPrincipals SupportSI
Páginas: 1 2 3 4 5 6

Deixe um comentário