Active Directory LAPS Kurulumu – Windows LAPS Rehberi

LAPS Nedir ve Neden Gereklidir? (Active Directory LAPS Kurulumu İçin Giriş)

Active Directory LAPS kurulumu, istemci bilgisayarlardaki yerel Administrator hesabının şifresinin otomatik oluşturulmasını, düzenli aralıklarla yenilenmesini ve güvenli şekilde Active Directory içinde saklanmasını sağlar. Bu sayede aynı şifrenin tüm bilgisayarlarda bulunması engellenir.

Active Directory LAPS Türleri

1) Windows LAPS (Yeni Sürüm – Önerilir)

• Windows 10/11 ve Windows Server 2019/2022 ile yerleşik gelir

• AD ve Azure Entra ID destekler

• Modern şifre şifreleme (encryption)

• Olay günlükleri, self-recovery, Intune desteği

2) Legacy LAPS (Eski Sürüm)

• MSI kurulum gerektirir

• ADMX ile yönetilir

• Artık yeni projelerde tercih edilmez

Active Directory LAPS Kurulumu İçin AD Şema Güncellemesi

Windows LAPS kullanıyorsanız öncelikle şemayı güncellemeniz gerekir:

Update-LapsADSchema

Bu işlem sonrası AD üzerine yeni LAPS attribute’ları eklenir.

AD Üzerinde Yetkilerin Ayarlanması (Active Directory LAPS Kurulumu Adımı)

Bilgisayarların kendi LAPS şifrelerini yazabilmesi için:

Set-LapsADComputerSelfPermission -Identity "OU=Workstations,DC=domain,DC=local"

Yöneticilerin şifreleri okuyabilmesi için:

Set-LapsADReadPasswordPermission -Identity "OU=Workstations,DC=domain,DC=local" -AllowedPrincipals "Domain Admins"

Windows LAPS İçin GPO Yapılandırması

Group Policy Management → Yeni GPO Oluşturun

GPO yolu:

Computer Configuration > Administrative Templates > System > LAPS

Aşağıdaki ayarları etkinleştirin:

• Enable password backup to Active Directory → Enabled

• Configure password complexity → Enabled

• Password age (days) → 30

• Enable password encryption → Enabled

• Administrator account name → (Varsa özel isim)

İstemci Tarafı Doğrulama – Active Directory LAPS Kurulum Kontrolü

GPO yenileme:

gpupdate /force

LAPS durumunu kontrol edin:

Get-LapsDiagnostics

Manuel şifre oluşturma:

Reset-LapsPassword -Verbose

LAPS Şifresini Görüntüleme

Active Directory Üzerinden

msLAPS-Password (Yeni LAPS)
ms-Mcs-AdmPwd (Legacy LAPS)

PowerShell ile

Get-LapsADPassword -Identity PC01 | Format-List

Legacy LAPS (Eski Sürüm) Kurulumu (İsteğe Bağlı)

Kısa özet:

• MSI kurun

• Update-AdmPwdADSchema çalıştırın

• GPO ayarlarını yapın

• Client MSI dağıtın

• LAPS UI ile şifre görüntüleyin

Güvenlik Önerileri

• Şifre uzunluğu en az 32 karakter

• AD LAPS kurulumu sonrası attribute izinlerini mutlaka sınırlandırın

• Şifre yenileme periyodu 30 gün olmalı

• Intune kullanıyorsanız Windows LAPS tercih edin

Aşağıdaki içerikler de ilginizi çekebilir:

• Group Policy Nedir?

• Windows Server 2025 Yenilikleri

• Microsoft LAPS Resmi Dokümanı:
  https://learn.microsoft.com/en-us/windows-server/identity/laps/laps-overview