Active Directory LAPS Kurulumu – Windows LAPS Rehberi

Active Directory LAPS Kurulumu

LAPS Nedir ve Neden Gereklidir? (Active Directory LAPS Kurulumu İçin Giriş)

Active Directory LAPS kurulumu, istemci bilgisayarlardaki yerel Administrator hesabının şifresinin otomatik oluşturulmasını, düzenli aralıklarla yenilenmesini ve güvenli şekilde Active Directory içinde saklanmasını sağlar. Bu sayede aynı şifrenin tüm bilgisayarlarda bulunması engellenir.

Active Directory LAPS Türleri

1) Windows LAPS (Yeni Sürüm – Önerilir)

  • Windows 10/11 ve Windows Server 2019/2022 ile yerleşik gelir

  • AD ve Azure Entra ID destekler

  • Modern şifre şifreleme (encryption)

  • Olay günlükleri, self-recovery, Intune desteği

2) Legacy LAPS (Eski Sürüm)

  • MSI kurulum gerektirir

  • ADMX ile yönetilir

  • Artık yeni projelerde tercih edilmez

Active Directory LAPS Kurulumu İçin AD Şema Güncellemesi

Windows LAPS kullanıyorsanız öncelikle şemayı güncellemeniz gerekir:

Update-LapsADSchema

Bu işlem sonrası AD üzerine yeni LAPS attribute’ları eklenir.

AD Üzerinde Yetkilerin Ayarlanması (Active Directory LAPS Kurulumu Adımı)

Bilgisayarların kendi LAPS şifrelerini yazabilmesi için:

Set-LapsADComputerSelfPermission -Identity "OU=Workstations,DC=domain,DC=local"

Yöneticilerin şifreleri okuyabilmesi için:

Set-LapsADReadPasswordPermission -Identity "OU=Workstations,DC=domain,DC=local" -AllowedPrincipals "Domain Admins"

Windows LAPS İçin GPO Yapılandırması

Group Policy Management → Yeni GPO Oluşturun

GPO yolu:

Computer Configuration > Administrative Templates > System > LAPS

Aşağıdaki ayarları etkinleştirin:

  • Enable password backup to Active Directory → Enabled

  • Configure password complexity → Enabled

  • Password age (days) → 30

  • Enable password encryption → Enabled

  • Administrator account name → (Varsa özel isim)

İstemci Tarafı Doğrulama – Active Directory LAPS Kurulum Kontrolü

GPO yenileme:

gpupdate /force

LAPS durumunu kontrol edin:

Get-LapsDiagnostics

Manuel şifre oluşturma:

Reset-LapsPassword -Verbose

LAPS Şifresini Görüntüleme

 Active Directory Üzerinden

msLAPS-Password (Yeni LAPS)
ms-Mcs-AdmPwd (Legacy LAPS)

 PowerShell ile

Get-LapsADPassword -Identity PC01 | Format-List

Legacy LAPS (Eski Sürüm) Kurulumu (İsteğe Bağlı)

Kısa özet:

  • MSI kurun

  • Update-AdmPwdADSchema çalıştırın

  • GPO ayarlarını yapın

  • Client MSI dağıtın

  • LAPS UI ile şifre görüntüleyin

Güvenlik Önerileri 

  • Şifre uzunluğu en az 32 karakter

  • AD LAPS kurulumu sonrası attribute izinlerini mutlaka sınırlandırın

  • Şifre yenileme periyodu 30 gün olmalı

  • Intune kullanıyorsanız Windows LAPS tercih edin

 

Aşağıdaki içerikler de ilginizi çekebilir:

    Etiketler
    Tolga CEYHAN
    Tolga CEYHAN

    Tolga CEYHAN, bilgi teknolojilerini severek takip eder ve BT üzerine hali hazırda aktif olarak çalışmaktadır. 2006 yılından 2017 yılına kadar web tasarım yazılım üzerine çalışmalar yaptım. Şuan ise Windows Sistem ve Sistem Güvenliği alanında çalışmalarımı sürdürmekteyim.

    İlgili Gönderiler

    Leave a Reply

    E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

    Haftalık En Çok Okunanlar

    CMD Komutları: Windows Temel ve Gelişmiş Liste
    SCCM GPO Cache Temizleme
    PowerShell Sistem Envanteri Raporlama
    Office 2019 Kurulumu Anlatım