インターネット技術は重要な部分でより洗練された、端末管理、情報セキュリティになってきた企業内の被写体の情報セキュリティの重要性を見つけるために続けている、それはエンドユーザーに要求することはできませんし、サーバーの管理者が同じセキュリティリスクを持っていますユーザーの行動を規制するための意識と技術レベル、したがって、どのようによく発達した端末管理システムと既存の技術の使用は、管理者の端末層に非常に重要です。行う場合は著作権管理は最優先事項である、およびエンタープライズパスワード管理端末は、著作権管理のための基礎です。
小規模ビジネス、直接クライアントを使用してPCクライアントでは、これはあまり熟練している唯一のワーキンググループパスワードアカウントのパスワードような方法で管理する端末のニーズは、唯一の他のガジェットは、Excelや他の用途に管理します。大企業では、Active DirectoryのAD、ドメインユーザーアカウントのパスワードは、データベースとユーザー権利もADに予約されている中央集中型のADに保持され、この時間を利用して認証を統一され、ADのセキュリティが非常に高い、通常よりもPC、したがって、セキュリティが大幅に強化されます。
しかし、コンピュータのローカル管理者のパスワードにドメインを管理する方法を、Active Directoryを使用すると、時間に一つの企業ITの運用、保守、管理者の頭痛の種、巨大なベースと失敗との契約で、ローカルの管理者アカウントを必要としない、次のように私は、いくつかご紹介しますLAPS(ローカル管理者パスワードソリューション)に焦点を当てて、共通のローカル企業のコンピュータドメイン管理者アカウントの管理、。
いくつかの一般的なローカル管理者パスワードの管理
1.直接無効ローカル管理者
これは、ローカルアカウントの直接管理の必要性を排除し、シンプルかつ粗製の方法です、あなたが実装するグループポリシーを使用することができ、この方法は、問題は、コンピュータのドメインからの障害が原因である、またはドメインアカウントのログインを使用することはできません、コンピュータにログオンすることはできません、 PEなどのツールによって、マシンの管理者を有効にし、パスワードを設定する必要があります。管理は簡単ですが、セキュリティが保証されています。
2.統一ローカル管理者パスワードを使用します
このスタイルは、とヘルプデスクの運用・保守作業のための理想的である一貫性のあるローカルの管理者パスワードを維持するために、いくつかの、会社全体または個々の部門(グループポリシーによって達成することができます)、の手の中にローカル管理者管理者管理者パスワードの休符の企業の中で最も一般的です非常に便利に、しかし限りがあり、パスワードの開示は大きなリスクをもたらすとして、それは非常にお勧めできません。
3.各コンピュータは、同じパスワードを設定されていません
すべてのコンピュータは、異なる管理者パスワードを設定するITスタッフはExcelやノートブックに記録され;しかし、問題がある:、コンピュータの管理者パスワードを見つけ、ファイルまたはレコードに移動するたびに、しかし、タイミングも変更することはできません!運用・保守を大幅にこのようにITスタッフの負担を増やします。
4.各PCのローカル管理者のためのランダムなパスワードを設定します
企業の少数では、コンピュータの起動スクリプトを使用して、各コンピュータのランダムなパスワードを設定し、他の方法で禁止ユーザーが直接無効の長所と短所このように、ローカルの管理者アカウントをローカルアカウントのパスワードを変更するには、ローカルの管理者権限を持ってフィットあまりの違い。
5. LAPS統一された管理コンピュータのローカル管理者パスワード
利点:
全自動、ローカル管理者は、コンピュータアカウントの更新を設定することができます
シンプルOUが保存されたパスワードにアクセスすることにより委任しました。
Active Directoryの構成部品のLAPS(グループポリシー、コンピュータオブジェクトの属性など)、ので、追加のサーバーを使用しているため。
コンピュータアカウントは、パスワードのみを読み取ることがないプロパティから、書き込み/自分のローカル管理者アカウントのパスワード(MS-MCS-AdmPwdプロパティ)を更新することができます。
パスワードの更新トラフィックが暗号化されます。
あなたは簡単にOU内の各コンピュータのパスワードを変更することができます。
自由な
短所:
唯一の現在のパスワード保存、および使用可能な検索
あなただけのLAPS(一つだけパスワード属性)によってローカルの管理者アカウントのパスワードを管理することができます
ハザードドメインコントローラは、ドメイン内のすべてのローカル管理者アカウントのパスワードを危険にさらす可能性があります。
パスワードは、いつでもアクセスすることができ、いつでもパスワードを任命した担当者が使用することができます。あなたは、監査を有効にすることができますが、各OUには、各グループは、ドメインコントローラ上のイベントID 4662を記録するように構成されている必要がありますが。
LAPSコンポーネント
エージェント - MSIによってインストール - グループポリシークライアント側の拡張子(CSE)
イベントログ
ランダムパスワード生成 - クライアントコンピュータからの書き込みADのコンピュータオブジェクト
PowerShellのモジュール
権利プロファイル
アクティブディレクトリ - 集中制御
ドメインコントローラセキュリティログ監査証跡
コンピュータオブジェクトの特別な性質(MS-MCS-AdmPwd、MS-MCS-AdmPwdExpirationTime)
LAPSは、バージョンをサポート
Active Directoryの:
Windows 2003のSP1以降
マネージド/クライアントコンピュータ:
Windows Server 2016
Windows Serverの2012 R2データセンター(x86またはx64)
Windows Serverの2012 R2の標準(x86またはx64)
Windows Serverの2012 R2ベース(x86またはx64)
Windowsの8.1のEnterprise Edition(x86またはx64)
Windowsの8.1プロフェッショナル(x86またはx64)
WindowsのServer 2012のデータセンター(x86またはx64)
Windows Serverの2012、Standard Editionの(x86またはx64)
Windows Serverの2012 Essentialsの(x86の或x64の)
WindowsのServer 2012のベース(x86またはx64)
Windowsの8のEnterprise Edition(x86またはx64)
Windows 8のプロフェッショナル版(x86またはx64)
Windows Server 2008のR2のService Pack 1(x86の或x64の)
Windows 7のサービスパック1(x86の或x64の)
Windows Server 2008のサービスパック2(x86の或x64の)
Windows Vistaのサービスパック2(x86の或x64の)
マイクロソフトのWindows Server 2003のサービスパック2(x86の或x64の)
Itaniumはサポートされていません。
管理ツール:
NET Framework4.0
PowerShellのバージョン2.0以降
LAPSコアの動作
LAPS簡素化、パスワード管理、***ネットワークに対する防御の勧告を実施するために顧客を支援しながら。具体的には、ソリューションが顧客のリスクが発生する横減らすことができたときに、コンピュータ上の同じローカルアカウント管理とパスワードの組み合わせ。LAPSローカルの管理者アカウントのパスワードは、Active Directory内の各コンピュータのために格納され、コンピュータに対応する属性のActive Directoryオブジェクトのセキュリティを保護するために。これは、コンピュータがActive Directoryのパスワードに自分のデータを更新することができ、およびドメイン管理者は、許可されたユーザーまたは(例えば、ワークステーションデスク管理者など)のグループへの読み取りアクセス権を付与することができます。
使用LAPSは、自動的にコンピュータのローカル管理者パスワードを管理することができ、コンピュータのパスワードの各チューブは、ランダムに生成され、安全にActive Directoryインフラストラクチャに保存され、一意であるように、ドメインに参加します。解決策は、Active Directoryインフラストラクチャは、他の技術的なサポート上に構築されています。あなたはすべての管理タスクを実行するために管理されたコンピューターにインストールすることを、グループポリシークライアント側の拡張子(CSE)を使用してLAPS。簡単な設定と管理のためのソリューションの管理ツール。
コアGPO LAPSソリューションは、クライアント側拡張機能(CSE)で、それは次のタスクを実行し、更新のGPOの間に次のアクションを実行できます。
ローカルの管理者アカウントのパスワードの有効期限が切れているか確認してください。
古いパスワードが期限切れになるか、期限が切れる前に新しいパスワードを生成するために、変更する必要がある場合。
パスワードポリシーに応じて新しいパスワードを確認してください。
パスワードは、Active Directoryに報告され、機密パスワードと属性が一緒にActive Directoryに格納されています。
パスワードの有効期限が切れる次回は、Active Directoryへの報告、およびコンピュータアカウントと一緒にプロパティのActive Directoryの属性に格納されます。
アカウントの管理者パスワードを変更します。
そして、ユーザは、Active Directoryからパスワードを読んでそうすることを許可することができます。承認されたユーザは、コンピュータのパスワードを変更することを要求することができます。
LDAPSのインストールと展開
1.インストールアセンブリLAPS.exe
インストール時にDCが、一般的に、サーバ側として使用され、影響ADドメイン管理者のパスワードを発行し、誤った政策を防ぐために、最初に確認してくださいではありません。
2.拡張アーキテクチャ
DCで実行します。
インポートモジュールAdmpwd.ps
更新-AdmPwdADSchema
このとき、ADの表示コンピュータのプロパティには、2つの新しいプロパティは、MS-MCS-AdmPwd(店舗のパスワード)、およびMS-MCS-AdmPwd(ストレージの有効期限)あるだろう。
3.デフォルトの拡張アクセス権を削除します。
設定が間違っているコンピュータのOU権は、パスワードを読み取るために権限のないユーザーを作るので、ユーザおよびグループのアクセス権の財産権の「すべての拡張された権利」を削除することができた場合に保存されたパスワードは、機密である、読み取ることが許可されていませんMS-MCS-AdmPwdのプロパティの値。
必要に応じて、それぞれに以下を繰り返すコンピュータOUを置き、そしてあなたの子供OUのアクセス許可の継承が無効になっている場合、各サブOUも同様の構成を行います。
打开ADSIEdit
在你需要配置的计算机所在OU上点击右键、属性
单击安全选项卡
单击高级
选择不想要能读取密码的组或用户,然后单击编辑。
取消选中所有扩展的权限
4.使用PowerShell管理LAPS权限
Set-AdmPwdComputerSelfPermission–OrgUnit "OU=computerGroup,dc=contoso,dc=com"
所有计算机帐户本身都需要有写入ms-Mcs-AdmPwdExpirationTime 和 ms-Mcs-AdmPwd属性的权限,此命令是让计算机本机可以更新的管理本地管理员密码的密码和过期时间戳
Set-AdmPwdReadPasswordPermission-OrgUnit ComputerGroup -AllowedPrincipals willwang
设置willwang账号允许读取ComputerGroup的OU内的计算机本地管理员密码
Set-AdmPwdResetPasswordPermission-OrgUnit computerGroup-AllowedPrincipals willwang
设置willwang账号允许设置ComputerGroup的OU内的计算机本地管理员密码
Find-AdmPwdExtendedRights -OrgUnit ComputerGroup | %{$_.ExtendedRightHolders}
查找ComputerGroup的OU内的密码权限分配
5.客户端安装GPO扩展(CSE)
有两种方式,可以使用组策略软件安装选项,也可以使用脚本。
组策略软件安装选项配置
开机脚本安装
msiexec /i \\server\share\LAPS.x64.msi /quiet
安装后,在客户端上可看到此安装选项。
6.组策略下发
按配置选项进行策略配置。
Password Settings配置密码参数
密码复杂性:
生成新密码时使用哪些字符
デフォルト値:
ビッグ手紙+小文字+数字+特殊文字
パスワードの長さ:
最小:8つの文字
最大:64の文字
デフォルト:14の文字
パスワードの有効期間(日):
最小:1日
最大:365日
デフォルト:30日
ローカルの管理者名管理を管理するための管理者アカウントの名前
管理者アカウント名 - あなたがパスワードを管理するローカルアカウントの名前。
ビルトインの管理者アカウントの使用を設定しないでください。でも自動的に既知のSIDによって検出される、ビルトインAdministratorアカウントの名前を変更
カスタムローカル管理者アカウントを使用するように設定する場合
長くてもよくポリシーのパスワードの有効期限で必要とされるよりも長いパスワードの有効期限を許可しない時は、「パスワード」ポリシーを必要以上に
この設定を有効にすると、パスワードの有効期限が長いの計画よりも政策条項「パスワード」パスワードの時間を許可していません。このよう満了を検出すると、すぐにパスワードを変更してパスワードを設定したポリシーに従って期限切れになります。
この設定を無効にするか、構成しない場合、パスワードの有効期限が長い時間必要な政策のための「パスワード」以上であってもよいです。
ローカル管理者パスワードの管理は、ローカルの管理者アカウントのパスワード管理を有効に有効
この設定を有効にした場合、ローカルの管理者パスワードの管理
この設定を無効にするか、構成しない場合は、ないローカル管理者パスワードの管理
7.クライアントの更新ポリシーは、有効にします
LAPS UIは、パスワードを変更する使用している場合、クライアントは、戦略、クライアントの変更を更新する必要があり、その後、ADに書き込まれます。
参考リンク:
https://docs.microsoft.com/en-us/previous-versions/mt227395(v=msdn.10)?redirectedfrom=MSDN
著者:王Zhihui
品質の記事
PaaSのプラットフォームテンセント|どのようにホスト名が間違っを行うには?
クラウドから企業のクラウドのコストを最適化し、30%の廃棄物を保存するための4つの主要な手順を理解し始めました!
ユン不確か|あなたは、CMDBを知っていると監視はそれをどうするかですか?
[ドライ] 4種類使用したOracleのDBaaS配置モード、?