Разворачиваем Local Administrator Password Solution(LAPS) в домене Active Directory

31

Windows LAPS (Local Administrator Password Solution) — это решение для централизованного управления паролями локальных администраторов на компьютерах домена. Текущие пароли хранятся в защищённых атрибутах объектов Computer в Active Directory, автоматически меняются с заданной периодичностью и доступны только авторизованным пользователям.

С апреля 2023 года Microsoft добавила встроенную поддержку LAPS в Windows, избавив от необходимости устанавливать отдельный MSI-пакет.

Особенности новой версии Windows LAPS

Поддержка появилась в кумулятивных обновлениях апреля 2023 года:

• Windows 11 22H2: KB5025239
• Windows 11 21H2: KB5025224
• Windows 10 22H2: KB5025221
• Windows Server 2022: KB5025230
• Windows Server 2019: KB5025229

Ключевые нововведения:

• Все компоненты интегрированы в Windows.
• Хранение паролей в локальной AD и Azure AD.
• Управление паролем DSRM (Directory Services Restore Mode) на контроллерах домена.
• Шифрование паролей.
• Сохранение истории паролей.
• Автоматическая смена пароля локального администратора после входа на устройство.

Для работы требуется функциональный уровень домена не ниже Windows Server 2016. После установки обновлений на контроллерах домена и клиентах LAPS готов к использованию.

Инструменты управления

• Новый ADMX-файл для групповых политик.
• Вкладка LAPS в свойствах объектов Computer в консоли Active Directory Users and Computers (ADUC).
• PowerShell-модуль LAPS с командлетами:

Get-Command -Module LAPS

• Журнал событий: Applications and Services Logs > Microsoft > Windows > LAPS > Operational.

Развёртывание LAPS в домене Active Directory

1. Обновление схемы AD

Новая версия Windows LAPS требует версии Windows Server 2016 для функционального уровня домена.
Поддержка встроенного LAPS была добавлена в следующие операционные системы:
Windows Server 2019.
Windows 11 Pro, EDU, and Enterprise.
Windows 10 Pro, EDU, and Enterprise.
Windows Server 2022 and Windows Server Core 2022.

Установите обновления на все контроллеры домена, затем выполните:

Update-LapsADSchema

Если не все DC обновлены, возникнет ошибка “A local error occurred”.

Это добавит атрибуты:

• msLAPS-PasswordExpirationTime
• msLAPS-Password
• msLAPS-EncryptedPassword
• msLAPS-EncryptedPasswordHistory
• msLAPS-EncryptedDSRMPassword
• msLAPS-EncryptedDSRMPasswordHistory

2. Разрешение для компьютеров на обновление атрибутов

Создадим новую группу и добавим в нее участников

Например, я хочу разрешить компьютерам из OU MSK обновлять пароль, который хранится в атрибутах AD. Выполните команду:

Set-LapsADComputerSelfPermission -Identity "OU=Computers,OU=MSK,DC=winitpro,DC=ru"

Назначим этой группе права на просмотр и сброс паролей:

$ComputerOU = "OU=Computers,OU=IT,DC=corp,DC=local"
Set-LapsADReadPasswordPermission -Identity $ComputerOU -AllowedPrincipals "CORP\Moscow-LAPS-Admins"
Set-LapsADResetPasswordPermission -Identity $ComputerOU -AllowedPrincipals "CORP\Moscow-LAPS-Admins"

Domain Admins по умолчанию имеют право просматривать пароли локальных администраторов на всех компьютерах домена.

Для проверки прав доступа к атрибутам LAPS в OU используйте команду Find-LapsADExtendedRights:

Find-LapsADExtendedRights -Identity "OU=Computers,OU=IT,DC=corp,DC=local"

3. Настройка групповой политики смены локальных паролей через LAPS

После установки последних обновлений Windows в директории %systemroot%\PolicyDefinitions\ появятся новые административные шаблоны laps.admx для настройки LAPS через групповые политики.

При использовании централизованного хранилища ADMX скопируйте файл laps.admx в \\имя_домена\SysVol\Policies\PolicyDefinitions\.

Computer Configuration – Policies – Administrative Template – System – Laps

Основные политики:

• Enable password backup for DSRM accounts — резервное копирование паролей DSRM
• Configure size of encrypted password history — размер истории зашифрованных паролей
• Enable password encryption — включить шифрование паролей
• Configure authorized password decryptors — разрешённые пользователи для расшифровки
• Name of administrator account to manage — имя учётной записи администратора
• Configure password backup directory — директория хранения паролей (AD/AAD)
• Do not allow password expiration time longer than required by policy — ограничение срока действия
• Password Settings — требования к сложности и длине пароля
• Post-authentication actions — действия после аутентификации

4. Настроим базовую групповую политику LAPS для домена Active Directory

1. Запустите консоль Group Policy Management (gpmc.msc), создайте новую GPO и привяжите её к OU с целевыми компьютерами.
2. Откройте созданную GPO и перейдите в раздел настроек LAPS (Computer Configuration > Policies > Administrative Templates > LAPS).
3. Включите политику Configure password backup directory и укажите Active Directory — это позволит устройствам сохранять сгенерированный пароль локального администратора в атрибутах компьютерного объекта в AD

4. Затем включите политику Password Settings. Здесь нужно указать параметры сложности пароля, длину, частоту смены ;

5. В параметре Name of administrator account to manage нужно указать имя учетной записи администратора, пароль которого нужно менять. Если вы используете встроенного администратора Windows, укажите Administrator здесь.

LAPS не создает локальные учетные записи администратора. Если вы хотите использовать другую учетную запись администратора, нужно предварительно создать ее на компьютерах с помощью GPO или PowerShell.

6. Перезагрузите компьютер чтобы применить новые настройки GPO.

7. Сконфигурируйте Configure size of encryption password history

Получение истории:

PS C:\Users\Administrator> Get-LapsADPassword -Identity "cl1" -AsPlainText -IncludeHistory


ComputerName        : CL1
DistinguishedName   : CN=CL1,OU=Computers,OU=IT,DC=corp,DC=local
Account             : LocalAdmin1
Password            : 9-4rdNmej0Z0n4
PasswordUpdateTime  : 4/8/2026 7:10:01 PM
ExpirationTimestamp : 5/8/2026 7:10:01 PM
Source              : EncryptedPassword
DecryptionStatus    : Success
AuthorizedDecryptor : CORP\Domain Admins

ComputerName        : CL1
DistinguishedName   : CN=CL1,OU=Computers,OU=IT,DC=corp,DC=local
Account             : bvadmin
Password            : HCA35FR8Rl&Hp9
PasswordUpdateTime  : 4/8/2026 4:56:54 PM
ExpirationTimestamp :
Source              : EncryptedPasswordHistory
DecryptionStatus    : Success
AuthorizedDecryptor : CORP\Domain Admins

Ответы по LAPS

1. Когда компьютер со старым LAPS удаляется из домена, последний пароль, выданный LAPS, все еще работает. Этот пароль будет продолжать работать, даже если компьютер больше не в домене. Естественно, пароль не будет меняться, если он снова не присоединится к домену.
2. Start-Process powershell -Verb RunAs
3. Посмотреть политики которые приехали до компьютера gpresult /Scope Computer /v