LAPS (Local Administrator Password Solution)

Очень нужный инструмент. Сколько тысяч граблей было сломано в попытках решить то, что уже решено вендором.
Материал тупо скопировав с telegra.ph, чтобы не потерять.


Как оказалось, многие не знают, что давно есть бесплатное решение от Microsoft по управлению локальными паролями администраторов под названием LAPS (Local Administrator Password Solution). Я решил, что надо собрать подборку материалов, связанных с ЛАПСом, чтобы все было в одном месте. Часть материалов есть на русском, часть на сами знаете каком, но перед этим давайте разберемся для чего нужен LAPS:

• Безопасно хранить пароль локального администратора в Active Directory для каждой рабочей станции;
• Устанавливать правила сложности и длины пароля;
• Менять пароль локального администратора на устройстве через Active Directory;
• Устанавливать срок истечения времени действия пароля локального администратора и автоматически менять его.

Посты на русском:
Раз - https://www.atraining.ru/laps-local-administrator-password-solution/
Два - http://winitpro.ru/index.php/2015/05/07/ms-local-administrator-password-solution-upravlenie-parolyami-lokalnyx-administratorov-v-domene/
Скачать Local Administrator Password Solution (LAPS) версия 6.2 - https://www.microsoft.com/en-us/download/details.aspx?id=46899
Просто классика. Управление локальными паролями администраторов в восьми частях:

1. Overview - https://blogs.technet.microsoft.com/platformspfe/2013/10/22/managing-local-administrator-passwords/
2. Random Password Generation - https://blogs.technet.microsoft.com/b/platformspfe/archive/2014/01/20/part-2-managing-local-administrator-passwords.aspx
3. Secure Active Directory Attribute Update - https://blogs.technet.microsoft.com/b/platformspfe/archive/2014/02/17/part-3-managing-local-administrator-passwords.aspx
4. Update Local Account's Password - https://blogs.technet.microsoft.com/b/platformspfe/archive/2014/02/17/part-4-managing-local-administrator-passwords.aspx
5. Logging Function Output - https://blogs.technet.microsoft.com/b/platformspfe/archive/2014/02/17/part-5-managing-local-administrator-passwords.aspx
6. Extending The Active Directory Schema - https://blogs.technet.microsoft.com/b/platformspfe/archive/2014/04/02/part-6-managing-local-administrator-passwords.aspx
7. Completed Script - https://blogs.technet.microsoft.com/b/platformspfe/archive/2014/05/13/part-7-managing-local-administrator-passwords.aspx
8. Completed Secure Password Viewer - https://blogs.technet.microsoft.com/b/platformspfe/archive/2014/08/12/part-8-final-managing-local-administrator-passwords.aspx

LAPS Audit Reporting via WEF PoSH and PowerBI - https://blogs.technet.microsoft.com/kfalde/2015/11/18/laps-audit-reporting-via-wef-posh-and-powerbi/ Весь архив лежит на гитхабе, включая отчет для PowerBI - https://github.com/kurtfalde/LAPS-Reporting

Microsoft LAPS и Configuration Manager
Расширение для консоли (работает с SCCM 2012 R2 CU1 и SCCM Current Branch: 1511, 1602, 1606), которое позволяет просматривать пароли для устройств - https://gallery.technet.microsoft.com/LAPS-Extension-for-SCCM-e8bd35b1

Описание по созданию Configuration Items для LAPS - https://4sysops.com/archives/monitoring-laps-with-configuration-manager/
FAQ в 2-х частях (англ.):

• https://4sysops.com/archives/faqs-for-microsoft-local-administrator-password-solution-laps/
• https://4sysops.com/archives/part-2-faqs-for-microsoft-local-administrator-password-solution-laps/

Видео:
Taste of Premier: How to tackle Local Admin Password Problems in the Enterprise with LAPS - https://channel9.msdn.com/Blogs/Taste-of-Premier/Taste-of-Premier-How-to-tackle-Local-Admin-Password-Problems-in-the-Enterprise-with-LAPS
Этих ребят я обожаю, у них клевые видео по безопасности - Microsoft Local Admin Password Solution (LAPS) – Deployment Steps