ИТ-архитектура от А до Я: Комплексное решение. Первое издание - стр. 40
•Расширяем схему Активного Каталога (Active Directory): Import-module AdmPwd.ps и update-AdmPwdADSchema
•В классе «Computer» будут добавлены два новых атрибута: ms-MCS-AdmPwd и ms-MCS-AdmPwdExpirationTime
•Настраиваем права администраторов (ADDS-ADM), локальных администраторов компьютеров (ADDS-ADM-LOCAL) и группы подразделения Поддержки Пользователей (HELP-DESK-ADM) на доступ к атрибуту ms-MCS-AdmPwd в котором хранятся пароли администраторов в открытом виде. Доступ к этому атрибуту имеют все, кто имеет права «All Extended Rights».
•Find-AdmPwdExtendedRights -Identity MyCompany-Workstations | Format-Table ExtendedRightHolders находим всех кто имеет право доступа в OU «MyCompany-Workstations».
•Открываем оснастку ADSIEdit и подключаемся к Default naming context
•Разворачиваем дерево и находим нужный OU (MyCompany-Workstations)> [правая кнопка мышки]> PROPERTIES
•Переходим к закладке> SECURITY> [ADVANCED]
•Нажимаем [ADD]
•В разделе [SELECT PRINCIPAL] указываем имя группы (MYCOMPANY-USERS) и снимаем доступ «All Extended Rights»
•Сохраняем изменения.
Операцию необходимо повторить для всех групп, которые необходимо ограничить. Ограничения придется сделать для всех OU где имеются компьютеры.
•Назначаем разрешение для компьютеров на модификацию собственных атрибутов (SELF) ms-MCS-AdmPwd и ms-MCS-AdmPwdExpirationTime так как изменения производятся от имени компьютера:
•Set-AdmPwdComputerSelfPermission -OrgUnit MyCompany-Workstations
•Предоставляем группе (HELP-DESK-ADM) права на чтение атрибутов (паролей):
•Set-AdmPwdReadPasswordPermission -OrgUnit MyCompany-Workstations -AllowedPrincipals HELP-DESK-ADM
Предоставляем группе (HELP-DESK-ADM) права на сброс значения атрибутов (паролей):
•Set-AdmPwdResetPasswordPermission -Identity MyCompany-Workstations -AllowedPrincipals HELP-DESK-ADM
•Создаем GPO политику (LAPS-CONFIG) для управления LAPS (через оснастку Group Policy Management)
•Через Group Policy Management Editor (GPME) открываем ветку:
Computer Configuration -> Administrative Templates -> LAPS Enterprise
•Настраиваем:
Enable local admin password management: Enabled
Password Settings: Enabled – в политике задается сложности пароля, его длину и частота изменения.
Complexity: Large letters, small letters, numbers, specials
Length: 12 characters
Age: 30 days
Name of administrator account to manage: Not Configured (по умолчанию меняется пароль с SID -500)
Do not allow password expiration time longer than required by policy: Enabled
•Деактивируем User Configuration секцию данной групповой политики.
•Применяем политику на соответствующую организационную единицу (MyCompany-Workstations).
•Политика применяется на все компьютеры в соответствующей Организационной Единице (OU).
Просмотр пароля и установить дату истечения пароля возможно через утилиту (AdmPwd UI) или через команду:
Get-AdmPwdPassword -ComputerName
Установка Fine-Grained Password Policy
Для повышения безопасности ИТ инфраструктуры можно установить различные требования парольной политики для различных групп сотрудников (пользователи и администраторы). Настройку можно произвести через оснастку Активного Каталога или консоль PowerShell. Требования: функциональный уровень домена Windows 2008 и выше, права Enterprise Admins. Настройка производится контролере домена.