3.1 Client-/Serverberechtigungen für das Schreiben von Passwörtern
Damit die aus dem Active Directory vorgegebenen Passwortrichtlinien umgesetzt werden können, benötigen die LAPS-Clients eine entsprechende Schreibberechtigung. Diese erteilen wir mit den folgenden Befehlen:
Set-AdmPwdComputerSelfPermission -OrgUnit “OU=Clients,DC=Test,DC=demo”
Set-AdmPwdComputerSelfPermission -OrgUnit “OU=Server,DC=Test,DC=demo”
3.2 Berechtigung zum Auslesen von LAPS-Client-Passwörtern
Mit den folgenden Befehlen berechtigen wir die einzelnen Gruppen dazu, LAPS-Client-Passwörter in der Active Directory Organisationseinheit “Clients” und “Server” auszulesen.
Set-AdmPwdReadPasswordPermission -OrgUnit “OU=Clients,DC=Test,DC=demo” -AllowedPrincipals “Test\LAPS_ClientAdmin_R”
Set-AdmPwdReadPasswordPermission -OrgUnit “OU=Clients,DC=Test,DC=demo” -AllowedPrincipals “Test\LAPS_ClientAdmin_W”
Set-AdmPwdReadPasswordPermission -OrgUnit “OU=Server,DC=Test,DC=demo” -AllowedPrincipals “Test\LAPS_ServerAdmin_R”
Set-AdmPwdReadPasswordPermission -OrgUnit “OU=Server,DC=Test,DC=demo” -AllowedPrincipals “Test\LAPS_ServerAdmin_W”
Wichtig:
Da es sich hier um ein sehr sensibles Passwort handelt, ist peinlichst genau darauf zu achten, die Berechtigungen korrekt zu vergeben. Sofern die Konfiguration diesem Muster hier entspricht, haben lediglich Mitglieder der o.g. Gruppen zugriff.
3.3 Berechtigungen zum zurücksetzen eines Client-Passworts
Um User-Accounts die Möglichkeit zu geben, Passwörter zurückzusetzen, benötigen diese entsprechende Schreibrechte auf dem Attribut der Passwort Ablaufzeit. Dazu verwenden wir die folgenden Befehle.
Set-AdmPwdResetPasswordPermission -OrgUnit “OU=Clients,DC=Test,DC=demo” -AllowedPrincipals “Test\LAPS_ClientAdmin_W”
Set-AdmPwdResetPasswordPermission -OrgUnit “OU=Server,DC=Test,DC=demo” -AllowedPrincipals “Test\LAPS_ServerAdmin_W”
3.4 Logging/Auditing
Damit wir nachvollziehen können, wann und von wem ein Passwort ausgelesen wurde, müssen wir noch das Logging/Auditing aktivieren. Diese geschieht ebenfalls per Powershell und dem folgenden Befehl.
Set-AdmPwdAuditing -OrgUnit “OU=Clients,DC=Test,DC=demo” -AuditedPrincipals “Test\LAPS_ClientAdmin_R”
Set-AdmPwdAuditing -OrgUnit “OU=Clients,DC=Test,DC=demo” -AuditedPrincipals “Test\LAPS_ClientAdmin_W”
Set-AdmPwdAuditing -OrgUnit “OU=Server,DC=Test,DC=demo” -AuditedPrincipals “Test\LAPS_ServerAdmin_R”
Set-AdmPwdAuditing -OrgUnit “OU=Server,DC=Test,DC=demo” -AuditedPrincipals “Test\LAPS_ServerAdmin_W”
Sobald ein Passwort ausgelesen wurde, wird im Security Log des Domain Controllers das Event mit der ID 4662 erzeugt.