ИТ-архитектура от А до Я: Комплексное решение. Первое издание - страница 38

•Set-AdmPwdResetPasswordPermission -Identity MyCompany-Workstations -AllowedPrincipals HELP-DESK-ADM

•Создаем GPO политику (LAPS-CONFIG) для управления LAPS (через оснастку Group Policy Management)

•Через Group Policy Management Editor (GPME) открываем ветку:

Computer Configuration -> Administrative Templates -> LAPS Enterprise

•Настраиваем:

Enable local admin password management: Enabled

Password Settings: Enabled – в политике задается сложности пароля, его длину и частота изменения.

Complexity: Large letters, small letters, numbers, specials

Length: 12 characters

Age: 30 days

Name of administrator account to manage: Not Configured (по умолчанию меняется пароль с SID -500)

Do not allow password expiration time longer than required by policy: Enabled

•Деактивируем User Configuration секцию данной групповой политики.

•Применяем политику на соответствующую организационную единицу (MyCompany-Workstations).

•Политика применяется на все компьютеры в соответствующей Организационной Единице (OU).

Просмотр пароля и установить дату истечения пароля возможно через утилиту (AdmPwd UI) или через команду:

Get-AdmPwdPassword -ComputerName

Установка Fine-Grained Password Policy

Для повышения безопасности ИТ инфраструктуры можно установить различные требования парольной политики для различных групп сотрудников (пользователи и администраторы). Настройку можно произвести через оснастку Активного Каталога или консоль PowerShell. Требования: функциональный уровень домена Windows 2008 и выше, права Enterprise Admins. Настройка производится контролере домена.

Вариант 1:

Настройка через оболочку Active Directory Administrative Center. Открываем оснастку Active Directory Administrative Center и переходим на ветвь: System -> Password Settings Container

Правая кнопка: New -> Password Settings

Вариант 2:

Настройка чрез консоль PowerShell:

New-ADFineGrainedPasswordPolicy -Name «Tech Admin Password Policy» -Precedence 1 `

– MinPasswordLength 12 -MaxPasswordAge «30» -MinPasswordAge «7» `

– PasswordHistoryCount 50 -ComplexityEnabled:$true `

– LockoutDuration «8:00» `

– LockoutObservationWindow «8:00» -LockoutThreshold 5 `

– ReversibleEncryptionEnabled:$false

•Добавление группу:

Add-ADFineGrainedPasswordPolicySubject -Identity «Tech Admin Password Policy» -Subjects «IT Admins»

•Добавление администратора (ADMIN1) к политике (как пример на пользователя):

Add-ADFineGrainedPasswordPolicySubject -Identity «Tech Admin Password Policy» -Subjects «ADMIN1»

Restricted Groups добавление в группу локальных администраторов через GPO

Можно использовать данный механизм для добавления доменной группы в группу локальных администраторов, а также контролировать членство в данной группе.

•Открываем оснастку Group Policy Management на контроллере домена.

•Создаем новую групповую политику: RESTRICTED-ADM-LOCAL

•Через Group Policy Management Editor (GPME) открываем ветку:

Computer Configuration> Policies> Windows Settings> Windows Security> Restricted Groups

•Добавляем группу: [ADD GROUP] и выбираем Administrators

•Входим в группу и добавляем членов группы [ADD MEMBERS of this GROUP]

•Добавляем нашу доменную группу (ADDS-ADM-LOCAL)

•Деактивируем User Configuration секцию данной групповой политики

•Применяем политику на соответствующую организационную единицу.

Отключение автозапуска Service Manager через GPO

Добавление данной записи через групповую политику позволит снизить нагрузку на сервера т.к. данная оболочка потребляет определённое количество ресурсов. Желательно включить для всех серверов организации. Настраивается через: Computer/Policies/Administrative Templates/System/Service Manager, enable отключение опции Disable Service Manager startup.