Jde o nástroj Microsoftu na správu hesel lokálního administrátorského účtu v doménovém prostředí. Jde o samostatné řešení, která „má na svědomí“ skupina Čechů pracujících v Microsoftu. Nově aktulializací 04-2023 se potřebné binární soubory staly součástí systému Windows 10 a Windows 11, rovněž pak systémů Windows server 2016, 2019 a 2022. Aktualizací instalovaná komponenta ovšem neobsahuje GUI pro servisní techniky, proto i tak doporučuji stáhnout msi z webu Microsoftu. Na koncových stanicích (pokud se rozhodnete instalovat ručně) stačí provést msiexec /i <cesta k msi instalárotu laps>, nebo využít distribuce pomocí GPO.
Na pracovní stanici administrátora, který se má starat o koncové stanice prak provedeme instalaci pomocí GUI a zvolíme „Fat clietn UI“
Instalace na doménový řadič
Na doménovém řadiči instalaci provedeme pomocí GUI (případně si dohledáme parametry na webu MS) a zvolíme všechny management tools.
Po dokončení instalace je potřeba upravit schéma AD (tato operace se provádí na Schema master kontroleru) pomocí několika PowerShell příkazů. Heslo bude po změně schématu uloženo v objektu počítače a k tomuto atributu budeme nastavovat právo přístupu.
Import-module AdmPwd.PS
Update-AdmPwdADSchemaNyní musíme přidat patřičná oprávnění skupině správců klientských stanic.
Set-AdmPwdReadPasswordPermission -Identity "PC" -AllowedPrincipals "SpraciPC"Nyní nastal čas povolit účtům počítačů změnit sám sobě heslo:
Set-AdmPwdComputerSelfPermission -Identity "PC"Z vlastní zkušenosti mohu říct, že po dokončení instalace a restartu doménového řadiče je ještě potřeba registrovat službu.
regsvr32.exe AdmPwd.dllTvorba politiky
Pokud máte central store, bude ještě potřeba překopírovat ADMX šablonu z %windir%\PolicyDefinitions\ do \\domain\SYSVOL\domain\Policies\PolicyDefinitions\ a rozhodně nezapomenout na jazykový balíček šablony.
Celé nastavení technologie je pak v: Computer Configuration > Policies > Administrative Templates > LAPS.
Zde si nastavíme vše potřebné, jako je komplexita hesla a jeho platnost:
Účet lokálního administrátora (pokud nenastavíme, jde o vestavěný účet Administrator [SID končí na 500])
Zakážeme platnost hesla, která je delší, nežli jsme nastavili v zásadách
A nesmíme zapomenou celou konfiguraci (tedy i vlastní správu hesla lokálního admina) zapnout.
Přístup k heslům
Přístup k heslům získají doménový správci a uživatelé ve skupině, které tato práva byla přidělena. Uživatelé s oprávněními pak mohou využít LAPS UI
Nebo pomíc PoiwerShellu:
Get-AdmPwdPassword -ComputerName "AZ-0183-3116-95"