Active DirectoryPowerShellSistem GüvenliğiSistem YönetimiWindows Server 2025

Active Directory LAPS Kurulumu – Windows LAPS Rehberi

Tolga CEYHAN
Tolga CEYHAN
Active Directory LAPS Kurulumu

LAPS Nedir ve Neden Gereklidir? (Active Directory LAPS Kurulumu İçin Giriş)

Active Directory LAPS kurulumu, istemci bilgisayarlardaki yerel Administrator hesabının şifresinin otomatik oluşturulmasını, düzenli aralıklarla yenilenmesini ve güvenli şekilde Active Directory içinde saklanmasını sağlar. Bu sayede aynı şifrenin tüm bilgisayarlarda bulunması engellenir.

Contents
LAPS Nedir ve Neden Gereklidir? (Active Directory LAPS Kurulumu İçin Giriş)Active Directory LAPS Türleri1) Windows LAPS (Yeni Sürüm – Önerilir)2) Legacy LAPS (Eski Sürüm)Active Directory LAPS Kurulumu İçin AD Şema GüncellemesiAD Üzerinde Yetkilerin Ayarlanması (Active Directory LAPS Kurulumu Adımı)Windows LAPS İçin GPO Yapılandırmasıİstemci Tarafı Doğrulama – Active Directory LAPS Kurulum KontrolüLAPS Şifresini Görüntüleme Active Directory Üzerinden PowerShell ileLegacy LAPS (Eski Sürüm) Kurulumu (İsteğe Bağlı)Güvenlik Önerileri 

Active Directory LAPS Türleri

1) Windows LAPS (Yeni Sürüm – Önerilir)

  • Windows 10/11 ve Windows Server 2019/2022 ile yerleşik gelir

  • AD ve Azure Entra ID destekler

  • Modern şifre şifreleme (encryption)

  • Olay günlükleri, self-recovery, Intune desteği

2) Legacy LAPS (Eski Sürüm)

  • MSI kurulum gerektirir

  • ADMX ile yönetilir

  • Artık yeni projelerde tercih edilmez

Active Directory LAPS Kurulumu İçin AD Şema Güncellemesi

Windows LAPS kullanıyorsanız öncelikle şemayı güncellemeniz gerekir:

Update-LapsADSchema

Bu işlem sonrası AD üzerine yeni LAPS attribute’ları eklenir.

AD Üzerinde Yetkilerin Ayarlanması (Active Directory LAPS Kurulumu Adımı)

Bilgisayarların kendi LAPS şifrelerini yazabilmesi için:

Set-LapsADComputerSelfPermission -Identity "OU=Workstations,DC=domain,DC=local"

Yöneticilerin şifreleri okuyabilmesi için:

Set-LapsADReadPasswordPermission -Identity "OU=Workstations,DC=domain,DC=local" -AllowedPrincipals "Domain Admins"

Windows LAPS İçin GPO Yapılandırması

Group Policy Management → Yeni GPO Oluşturun

GPO yolu:

Computer Configuration > Administrative Templates > System > LAPS

Aşağıdaki ayarları etkinleştirin:

  • Enable password backup to Active Directory → Enabled

  • Configure password complexity → Enabled

  • Password age (days) → 30

  • Enable password encryption → Enabled

  • Administrator account name → (Varsa özel isim)

İstemci Tarafı Doğrulama – Active Directory LAPS Kurulum Kontrolü

GPO yenileme:

gpupdate /force

LAPS durumunu kontrol edin:

Get-LapsDiagnostics

Manuel şifre oluşturma:

Reset-LapsPassword -Verbose

LAPS Şifresini Görüntüleme

 Active Directory Üzerinden

msLAPS-Password (Yeni LAPS)
ms-Mcs-AdmPwd (Legacy LAPS)

 PowerShell ile

Get-LapsADPassword -Identity PC01 | Format-List

Legacy LAPS (Eski Sürüm) Kurulumu (İsteğe Bağlı)

Kısa özet:

  • MSI kurun

  • Update-AdmPwdADSchema çalıştırın

  • GPO ayarlarını yapın

  • Client MSI dağıtın

  • LAPS UI ile şifre görüntüleyin

Güvenlik Önerileri 

  • Şifre uzunluğu en az 32 karakter

  • AD LAPS kurulumu sonrası attribute izinlerini mutlaka sınırlandırın

  • Şifre yenileme periyodu 30 gün olmalı

  • Intune kullanıyorsanız Windows LAPS tercih edin

 

Aşağıdaki içerikler de ilginizi çekebilir:

    ETİKETLENDİ:
    Bu makaleyi paylaş
    By Tolga CEYHAN
    Takip et:
    Tolga CEYHAN, bilgi teknolojilerini severek takip eder ve BT üzerine hali hazırda aktif olarak çalışmaktadır. 2006 yılından 2017 yılına kadar web tasarım yazılım üzerine çalışmalar yaptım. Şuan ise Windows Sistem ve Sistem Güvenliği alanında çalışmalarımı sürdürmekteyim.
    Önceki makale PowerShell AD Kullanıcı Oluşturma ve Mailbox Atama (Tam Otomasyon)
    Sonraki Makale PowerShell File Server Yönetimi ve NTFS Permission Otomasyonu
    Yorum Yap

    Bir yanıt yazın

    E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir