Introduzione a Windows LAPS per Windows Server Active Directory
Informazioni su come iniziare a usare la Soluzione password dell'amministratore locale di Windows (Windows LAPS) e Windows Server Active Directory. L'articolo descrive le procedure di base per l'uso di Windows LAPS per eseguire il backup delle password in Windows Server Active Directory e come recuperarle.
Requisiti di versione del sistema operativo del controller di dominio e livello funzionale del dominio
Se il dominio è configurato al di sotto del livello di funzionalità del dominio (DFL) 2016, non è possibile abilitare il periodo di crittografia della password LAPS di Windows. Senza la crittografia delle password, i client possono essere configurati solo per archiviare le password in testo non crittografato (protetto dagli ACL di Active Directory) e i controller di dominio non possono essere configurati per gestire l'account DSRM locale.
Una volta raggiunto il dominio 2016 DFL, è possibile abilitare la crittografia password LAPS di Windows. Tuttavia, se si eseguono ancora controller di dominio WS2016, tali controller non supportano Windows LAPS e pertanto non possono usare la funzionalità di gestione degli account DSRM.
È consigliabile usare sistemi operativi supportati precedenti a WS2016 nei controller di dominio, purché siano a conoscenza di queste limitazioni.
La tabella seguente riepiloga i vari scenari supportati o meno:
| Dettagli dominio | Archiviazione password non crittografata supportata | Archiviazione password crittografata supportata (per i client aggiunti a un dominio) | Gestione degli account DSRM supportata (per i controller di dominio) |
|---|---|---|---|
| Below 2016 DFL | Sì | No | No |
| DFL 2016 con uno o più controller di dominio WS2016 | Sì | Sì | Sì, ma solo per WS2019 e versioni successive dei controller di dominio |
| DFL 2016 con solo controller di dominio WS2019 e versioni successive | Sì | Sì | Sì |
Microsoft consiglia vivamente ai clienti di eseguire l'aggiornamento al sistema operativo più recente disponibile su client, server e controller di dominio per sfruttare le funzionalità e i miglioramenti della sicurezza più recenti.
Aggiornamenti dello schema di Active Directory di Windows Server
Lo schema di Active Directory di Windows Server deve essere aggiornato prima di usare Windows LAPS. Questa azione viene eseguita usando il cmdlet Update-LapsADSchema. Si tratta di un'operazione una tantum per l'intera foresta. Il cmdlet Update-LapsADSchema cmdlet può essere eseguito su un controller di dominio Windows Server 2022 o Windows Server 2019 aggiornato con Windows LAPS, ma può anche essere eseguita su un controller non di dominio, purché supporti il modulo PowerShell Windows LAPS.
PS C:\> Update-LapsADSchema
Suggerimento
Passare il parametro -Verbose per visualizzare informazioni dettagliate sull'esecuzione del cmdlet Update-LapsADSchema (o di qualsiasi altro cmdlet nel modulo PowerShell LAPS).
Concedere all'utente l'autorizzazione all'aggiornamento della password del dispositivo gestito
Al dispositivo gestito deve essere concessa l'autorizzazione per aggiornare la password. Questa azione viene eseguita impostando le autorizzazioni ereditabili per l'unità organizzativa (OU) in cui si trova il dispositivo. L'oggetto Set-LapsADComputerSelfPermission viene usato a questo scopo, ad esempio:
PS C:\> Set-LapsADComputerSelfPermission -Identity NewLaps
Name DistinguishedName
---- -----------------
NewLAPS OU=NewLAPS,DC=laps,DC=com
Suggerimento
Se si preferisce impostare le autorizzazioni ereditabili nella radice del dominio, è possibile specificare l'intera radice del dominio usando la sintassi DN. Ad esempio, specificare 'DC=laps,DC=com' per il parametro -Identity.
Eseguire query sulle autorizzazioni per i diritti estesi
È possibile che ad alcuni utenti o gruppi sia già stata concessa l'autorizzazione Diritti estesi per l'unità organizzativa del dispositivo gestito. Questa autorizzazione è problematica perché concede la possibilità di leggere gli attributi riservati (tutti gli attributi della password LAPS di Windows sono contrassegnati come riservati). Un modo per verificare a chi vengono concesse queste autorizzazioni consiste nell'utilizzare il cmdlet Find-LapsADExtendedRights. Ad esempio:
PS C:\> Find-LapsADExtendedRights -Identity newlaps
ObjectDN ExtendedRightHolders
-------- --------------------
OU=NewLAPS,DC=laps,DC=com {NT AUTHORITY\SYSTEM, LAPS\Domain Admins}
Nell'output di questo esempio, solo le entità attendibili (SYSTEM e Domain Admins) dispongono del privilegio. Non è richiesta alcuna azione ulteriore.
Configurare i criteri dei dispositivi
Completare alcuni passaggi per configurare i criteri del dispositivo.
Scegliere un meccanismo di distribuzione dei criteri
Il primo passaggio consiste nel scegliere come applicare i criteri sui dispositivi.
La maggior parte degli ambienti utilizza Criteri di gruppo di Windows LAPS per distribuire le impostazioni necessarie nei dispositivi aggiunti a un dominio Active Directory di Windows Server.
Se i dispositivi sono anche aggiunti in modo ibrido a Microsoft Entra ID, è possibile distribuire i criteri usando Microsoft Intune con il provider di servizi di configurazione (CSP) di Windows LAPS.
Configurare criteri specifici
Come minimo, è necessario configurare l'impostazione BackupDirectory sul valore 2 (password di backup in Windows Server Active Directory).
Se non si configura l'impostazione AdministratorAccountName, per impostazione predefinita Windows LAPS gestisce l'account amministratore locale integrato predefinito. Questo account integrato viene identificato automaticamente usando l’identificatore relativo noto (RID) e non deve mai essere identificato usando il nome. Il nome dell'account amministratore locale integrato varia a seconda delle impostazioni locali predefinite del dispositivo.
Se si vuole configurare un account Administrator locale personalizzato, è necessario configurare l'impostazione AdministratorAccountName con il nome dell'account.
Importante
Se si configura Windows LAPS per gestire un account Administrator locale personalizzato, è necessario assicurarsi che l'account sia stato creato. Windows LAPS non crea l'account. È consigliabile usare il CSP RestrictedGroups per creare l'account.
È possibile configurare altre impostazioni, ad esempio PasswordLength, in base alle esigenze dell'organizzazione.
Quando non si configura una determinata impostazione, viene applicato il valore predefinito, assicurarsi di comprendere tali impostazioni predefinite. Ad esempio, se si abilita la crittografia delle password, ma non si configura l'impostazione ADPasswordEncryptionPrincipal, la password viene crittografata in modo che solo gli Amministrazione di dominio possano decrittografarlo. È possibile configurare ADPasswordEncryptionPrincipal con un'impostazione diversa se si desidera che gli Amministratori non di dominio siano in grado di decrittografare.
Aggiornare una password in Windows Server Active Directory
Windows LAPS elabora i criteri attualmente attivi su base periodica (ogni ora) e risponde alle notifiche di modifica di Criteri di gruppo. Risponde in base ai criteri e alle notifiche di modifica.
Per verificare che la password sia stata aggiornata correttamente in Windows Server Active Directory, cercare nel registro eventi l'evento 10018:
Per evitare di attendere dopo l'applicazione del criterio, è possibile eseguire il cmdlet Invoke-LapsPolicyProcessing di PowerShell.
Recuperare una password da Windows Server Active Directory
Usare il cmdlet Get-LapsADPassword per recuperare le password da Windows Server Active Directory. Ad esempio:
PS C:\> Get-LapsADPassword -Identity lapsAD2 -AsPlainText
ComputerName : LAPSAD2
DistinguishedName : CN=LAPSAD2,OU=NewLAPS,DC=laps,DC=com
Account : Administrator
Password : Zlh+lzC[0e0/VU
PasswordUpdateTime : 7/1/2022 1:23:19 PM
ExpirationTimestamp : 7/31/2022 1:23:19 PM
Source : EncryptedPassword
DecryptionStatus : Success
AuthorizedDecryptor : LAPS\Domain Admins
Questo risultato di output indica che la crittografia delle password è abilitata (vedere Source). La crittografia delle password richiede che il dominio sia configurato per il livello di funzionalità del dominio di Windows Server 2016 o versione successiva.
Ruotare la password
Windows LAPS legge l'ora di scadenza della password da Windows Server Active Directory durante ogni ciclo di elaborazione dei criteri. Se la password è scaduta, viene generata una nuova password che viene memorizzata immediatamente.
In alcune situazioni(ad esempio, dopo una violazione della sicurezza o per i test ad hoc), potrebbe essere necessario ruotare la password in anticipo. Per forzare manualmente una rotazione delle password, è possibile usare il cmdlet Reset-LapsPassword.
È possibile usare il cmdlet Set-LapsADPasswordExpirationTime per impostare l'ora di scadenza pianificata della password come archiviata in Windows Server Active Directory. Ad esempio:
PS C:\> Set-LapsADPasswordExpirationTime -Identity lapsAD2
DistinguishedName Status
----------------- ------
CN=LAPSAD2,OU=NewLAPS,DC=laps,DC=com PasswordReset
Alla successiva riattivazione di Windows LAPS per elaborare i criteri correnti, visualizza l'ora di scadenza della password modificata e ruota la password. Se non si vuole attendere, è possibile eseguire il cmdlet Invoke-LapsPolicyProcessing.
È possibile usare il cmdlet Reset-LapsPassword per forzare localmente una rotazione immediata della password.
Recupero delle password negli scenari di ripristino di emergenza di Active Directory
Il recupero delle password di Windows LAPS (incluse le password DSRM) richiede in genere la disponibilità di almeno un controller di dominio di Active Directory. Si pensi tuttavia uno scenario catastrofico in cui tutti i controller di dominio in un dominio sono inattivi. Come si recuperano le password in questo caso?
Le best practice per la gestione di Active Directory consigliano di salvare regolarmente backup regolari di tutti i controller di dominio. Le password DI Windows LAPS archiviate in un database di Ad di backup montato possono essere sottoposte a query usando il Get-LapsADPassword cmdlet di PowerShell specificando il -Port parametro . Il Get-LapsADPassword cmdlet è stato migliorato di recente in modo che, quando -Port i parametri e -RecoveryMode sono entrambi specificati, il ripristino della password ha esito positivo senza dover contattare un controller di dominio. Inoltre, Get-LapsADPassword ora supporta l'esecuzione in questa modalità su un computer di gruppo di lavoro (non aggiunto a un dominio).
Suggerimento
L'utilità dsamain.exe viene usata per montare un supporto di backup di Active Directory ed eseguirne query su LDAP. Dsamain.exe non è installato per impostazione predefinita, quindi deve essere aggiunto. Un modo per eseguire questa operazione consiste nell'usare il Enable-WindowsOptionalFeature cmdlet . Nei computer client Windows è possibile eseguire Enable-WindowsOptionalFeature -Online -FeatureName DirectoryServices-ADAM-Client. In un computer Windows Server è possibile eseguire Enable-WindowsOptionalFeature -Online -FeatureName DirectoryServices-ADAM
Nell'esempio seguente si presuppone che un database di backup di Active Directory sia montato localmente sulla porta 50000:
PS C:\> Get-LapsADPassword -Identity lapsDC -AsPlainText -Port 50000 -RecoveryMode
ComputerName : LAPSDC
DistinguishedName : CN=LAPSDC,OU=Domain Controllers,DC=laps,DC=com
Account : Administrator
Password : ArrowheadArdentlyJustifyingKryptonVixen
PasswordUpdateTime : 8/15/2024 10:31:51 AM
ExpirationTimestamp : 9/14/2024 10:31:51 AM
Source : EncryptedDSRMPassword
DecryptionStatus : Success
AuthorizedDecryptor : S-1-5-21-2127521184-1604012920-1887927527-35197
Importante
Quando le password di Windows LAPS crittografate vengono recuperate da un database di backup di Active Directory montato in un computer di gruppo di lavoro, il campo AuthorizedDecryptor verrà sempre visualizzato in formato SID non elaborato, perché il computer di gruppo di lavoro non è in grado di tradure il formato SID in un nome descrittivo.
Importante
La funzionalità di recupero delle password Get-LapsADPassword migliorata è supportata in Windows Insider build 27695 e versioni successive per le versioni del sistema operativo client e server.
Vedi anche
- Presentazione della soluzione per la password dell'amministratore locale di Windows con Microsoft Entra ID
- Soluzione per la password dell'amministratore locale di Windows in Microsoft Entra ID.
- RestrictedGroups CSP
- Microsoft Intune
- Supporto di Microsoft Intune per Windows LAPS
- Windows LAPS CSP
- Linee guida per la risoluzione dei problemi di Windows LAPS