Управление групповыми политиками LAPS

Назначение групповых политик LAPS — управление параметрами обновления паролей локальных администраторов с использованием технологии Local Administrator Password Solution (LAPS).

Настройки, применяемые в рамках данных политик, хранятся в файле MACHINE/Registry.pol в формате записей реестра (см. подраздел «Изменение настроек групповых политик в GPO (через Registry.pol)») в подкаталоге соответствующего объекта GPO в SysVol.

Серверное расширение (SSE) для политик LAPS распространяется в виде административного шаблона в формате ADMX (см. подраздел «Установка административных шаблонов на контроллере домена»).

Клиентское расширение (CSE) определяет результирующие значения групповых политик LAPS и применяет их на управляемом устройстве.

Параметры политик LAPS

В Табл. 1 приведен список доступных для настройки параметров LAPS с группировкой по политикам в соответствии с отображением в редакторе групповых политик Group Policy Management Editor (GPME) в составе RSAT на участнике домена под управлением ОС Windows (путь к групповым политикам в GPME: Computer Configuration/Конфигурация компьютера → Policies/Политики → Administrative Templates/Административные шаблоны → System/Система → LAPS).

Табл. 1. Параметры политик LAPS
Параметр	Настройка в smb.conf	Возможные значения	Описание
Configure password backup directory (Настройка каталога резервного копирования паролей)
BackupDirectory	`laps:backup_directory`	Целое значение от `0` до `2`: `0` — функциональность LAPS отключена (по умолчанию); `1` — функциональность LAPS включена; `2` — не используется в Эллес	Доступность функциональности LAPS
Name of administrator account to manage (Имя учетной записи администратора для управления)
AdministratorAccountName	`laps:administrator_account_name`	Строка длиной от `0` до `256` символов. По умолчанию — пустое значение	Имя управляемой учетной записи локального администратора. Если не указано, управление осуществляется встроенной учетной записью локального администратора, которая определяется автоматически по известному относительному идентификатору (RID). Если в параметре указывается учетная запись, она должна быть создана. Управление паролем с помощью LAPS доступно как для включенных, так и отключенных учетных записей. Однако перед использованием учетная запись должна быть включена
Password Settings (Настройки паролей)
PasswordAgeDays	`laps:password_age_days`	Целое число от `1` до `365`. По умолчанию — `30`	Срок устаревания пароля в днях. Изменение значения не влияет на срок действия текущего пароля и не приводит к тому, что управляемое устройство инициирует смену пароля
PasswordLength	`laps:password_length`	Целое число от `8` до `64`. По умолчанию — `14`	Минимальная длина пароля. Значение должно быть согласовано с локальной политикой паролей управляемого устройства
PasswordComplexity	`laps:password_complexity`	Целое число от `1` до `4`: `1` — прописные буквы; `2` — прописные и строчные буквы; `3` — прописные буквы, строчные буквы и цифры; `4` — прописные буквы, строчные буквы, цифры и специальные символы (по умолчанию);	Уровень сложности пароля в виде требований к обязательным наборам символов, из которых он должен состоять. Значение должно быть согласовано с локальной политикой паролей управляемого устройства
Do not allow password expiration time longer than required by policy (Не допускать истечения срока действия пароля дольше, чем требуется политикой)
PasswordExpirationProtectionEnabled	`laps:password_expiration_protection_enabled`	Целое число от `0` до `1`: `0` — выключено; `1` — включено (по умолчанию)	Выключение/включение устаревания пароля
Enable password encryption (Включить шифрование пароля)
ADPasswordEncryptionEnabled	`laps:password_encryption_enabled`	Целое число от `0` до `1`: `0` — выключено; `1` — включено (по умолчанию)	Выключение/включение шифрования пароля. Включение требует, чтобы домен имел функциональный уровень 2016 или выше
Configure authorized password decryptors (Настройки авторизованных расшифровщиков паролей)
ADPasswordEncryptionPrincipal	`laps:password_encryption_principal`	Строка длиной от `0` до `256` символов в формате SID или имя пользователя/группы в формате `domain\username` или `username@domain.name`	SID пользователя или группы с правом просмотра зашифрованного пароля. Если значение не установлено, расшифровывать пароль в домене управляемого устройства могут только участники группы `Domain Admins`. Игнорируется, если не включен параметр `ADPasswordEncryptionEnabled`
Configure size of encrypted password history (Настройка размера истории зашифрованных паролей)
ADEncryptedPasswordHistorySize	`laps:encrypted_password_history_size`	Целое число от `0` до `12`. По умолчанию — `0` (история отключена)	Длина истории паролей. Игнорируется, если не включен параметр `ADPasswordEncryptionEnabled`
Enable password backup for DSRM account (Включить резервное копирование пароля для учетной записи DSRM)
ADBackupDSRMPassword	`–`	Целое число от `0` до `1`: `0` — выключено (по умолчанию); `1` — включено	Выключение/включение режима хранения пароля DSRM для контроллеров домена. Игнорируется, если не включен параметр `ADPasswordEncryptionEnabled`. Не используется
Post-authentication actions (Действия после аутентификации)
PostAuthenticationResetDelay	`–`	Целое число от `0` до `24`. Значение `0` отключает все действия. По умолчанию — `24`	Время ожидания (в часах) после прохождения аутентификации перед выполнением действий, указанных в параметре `PostAuthenticationActions`
PostAuthenticationActions	`-`	Опции: `1` — сброс пароля управляемой учетной записи; `3` — сброс пароля управляемой учетной записи, завершение интерактивных сеансов входа и удаление сеансов SMB (по умолчанию) `5` — сброс пароля управляемой учетной записи и перезапуск управляемого устройства; `11` — сброс пароля управляемой учетной записи, завершение интерактивных сеансов входа, удаление сеансов SMB и завершение процессов, выполняемых от имени управляемой учетной записи	Возможные действия после истечения времени ожидания, настроенного в параметре `PostAuthenticationResetDelay`

Установка значения параметра политики LAPS

Формат вызова:

samba-tool gpo manage laps set <GPO GUID> --name <policy_name> [--value <policy_value>] [options]

Обязательными аргументами подкоманды являются:

GUID объекта групповой политики (см. «Базовые операции по работе с объектами групповых политик»);
имя устанавливаемого параметра политики LAPS в --name (см. список доступных параметров в Табл. 1).

Для установки определенного значения укажите его в --value. Если значение не передается, устанавливается значение по умолчанию.

Подкоманда устанавливает значение указанного параметра политики LAPS в объекте групповой политики (GPO). Если политика отсутствует в GPO, она будет добавлена вместе с переданным значением.

Параметры

Параметры вызова:

-H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;
--name=POLICYNAME (обязательный) — имя параметра для установки (см. список доступных параметров в Табл. 1);
--value=POLICYVALUE — значение параметра (см. список возможных значений для доступных параметров в Табл. 1).

Примеры

Пример установки значения параметра PasswordLength в объекте групповой политики:

samba-tool gpo manage laps set {31B2F340-016D-11D2-945F-00C04FB984F9} \
    --name=PasswordLength \
    --value=12
LAPS policy updated successfully:
FullKeyPath   : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\LAPS
ValueName     : PasswordLength
Type          : DWord
Value         : 12
GpoName       : Default Domain Policy
GpoGuId       : {31B2F340-016D-11D2-945F-00C04FB984F9}
FileSysPath   : \\elles.inno.tech\sysvol\elles.inno.tech\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}
GptUserVer    : 0
GptMachineVer : 2
GptVersion    : 2
GpoVersion    : 2

Удаление значения параметра политики LAPS

Формат вызова:

samba-tool gpo manage laps unset <gpo> --name <policy_name> [options]

Обязательными аргументами подкоманды являются:

GUID объекта групповой политики (см. «Базовые операции по работе с объектами групповых политик»);
имя удаляемого параметра политики LAPS в --name (см. список доступных параметров в Табл. 1).

Подкоманда удаляет значение указанного параметра политики LAPS из объекта групповой политики (GPO).

Параметры

Параметры вызова:

-H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;
--name=POLICYNAME (обязательный) — имя параметра для удаления (см. список доступных параметров в Табл. 1).

Примеры

Пример удаления параметра политики AdministratorAccountName из объекта групповой политики:

samba-tool gpo manage laps unset {31B2F340-016D-11D2-945F-00C04FB984F9} \
    --name=AdministratorAccountName
Successfully removed LAPS policy 'AdministratorAccountName' from GPO 'Default Domain Policy'

Получение информации о параметре политики LAPS

Формат вызова:

samba-tool gpo manage laps get <gpo> --name=<policy_name> [options]

Обязательными аргументами подкоманды являются:

GUID объекта групповой политики (см. «Базовые операции по работе с объектами групповых политик»);
имя параметра политики LAPS в --name (см. список доступных параметров в Табл. 1).

Подкоманда возвращает список следующих атрибутов параметра политики LAPS, установленного в указанном объекте групповой политики (GPO):

FullKeyPath — полный путь к ключу реестра, где хранится параметр политики LAPS;
ValueName — имя параметра политики LAPS;
Type — тип данных параметра политики LAPS;
Value — текущее значение параметра политики LAPS;
GpoName — имя объекта групповой политики (GPO), в котором установлен параметр политики LAPS;
GpoGuId — GUID объекта групповой политики (GPO), в котором установлен параметр политики LAPS;
FileSysPath — путь к расположению в файловой системе, где хранятся файлы объекта групповой политики (GPO);
GptUserVer — версия пользовательских настроек в рамках групповой политики; обновляется при каждом изменении пользовательских настроек;
GptMachineVer — версия настроек компьютера в рамках групповой политики; обновляется при каждом изменении настроек компьютера;
GptVersion — общая версия групповой политики, которая учитывает изменения как пользовательских настроек, так и настроек компьютера;
GpoVersion — версия объекта групповой политики (GPO).

Параметры

Параметры вызова:

-H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;
--name=POLICYNAME (обязательный) — имя параметра для получения информации (см. список доступных параметров в Табл. 1).

Примеры

Пример получения подробной информации о параметре политики LAPS PasswordAgeDays, установленном в объекте групповой политики:

samba-tool gpo manage laps get {31B2F340-016D-11D2-945F-00C04FB984F9} \
    --name=PasswordAgeDays
FullKeyPath   : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\LAPS
ValueName     : PasswordAgeDays
Type          : DWord
Value         : 60
GpoName       : Default Domain Policy
GpoGuId       : {31B2F340-016D-11D2-945F-00C04FB984F9}
FileSysPath   : \\elles.inno.tech\sysvol\elles.inno.tech\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}
GptUserVer    : 0
GptMachineVer : 7
GptVersion    : 7
GpoVersion    : 7

Получение информации о параметрах политик LAPS

Формат вызова:

samba-tool gpo manage laps list <gpo> [options]

Обязательным аргументом подкоманды является GUID объекта групповой политики (см. «Базовые операции по работе с объектами групповых политик»).

Подкоманда возвращает список параметров политик LAPS, установленных в указанном объекте групповой политики (GPO), с текущими значениями.

Для получения подробной информации о каждом параметре может быть дополнительно передан флаг -v|--verbose. Для получения полного списка возможных параметров, включая не установленные в данном GPO, служит флаг -a|--all.

Параметры

Параметры вызова:

-H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;
-a|--all — возвращать все доступные параметры политик LAPS, включая неустановленные;
-v|--verbose — возвращать подробную информацию о каждом параметре политики LAPS;
--color=ALWAYS|NEVER|AUTO — использовать доступные возможности терминала для цветового выделения параметров (возможные значения: always| never|auto; по умолчанию — `auto).

Примеры

Пример получения списка параметров политик LAPS, установленных в объекте групповой политики:

samba-tool gpo manage laps list {31B2F340-016D-11D2-945F-00C04FB984F9}

ValueName     : PasswordLength
Type          : DWord
Value         : 12

ValueName     : PasswordAgeDays
Type          : DWord
Value         : 60

Пример получения подробной информации о параметрах политик LAPS, включая как установленные, так и неустановленные в объекте групповой политики:

samba-tool gpo manage laps list {31B2F340-016D-11D2-945F-00C04FB984F9} \
    --all \
    --verbose

FullKeyPath   : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\LAPS
ValueName     : PasswordLength
Type          : DWord
Value         : 12
GpoName       : Default Domain Policy
GpoGuId       : {31B2F340-016D-11D2-945F-00C04FB984F9}
FileSysPath   : \\elles.inno.tech\sysvol\elles.inno.tech\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}
GpoVersion    : 4

FullKeyPath   : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\LAPS
ValueName     : PasswordComplexity
AllowedValues : 1 .. 4
Type          : DWord
Value         : 4 (not set)
GpoName       : Default Domain Policy
GpoGuId       : {31B2F340-016D-11D2-945F-00C04FB984F9}
FileSysPath   : \\elles.inno.tech\sysvol\elles.inno.tech\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}
GpoVersion    : 4

FullKeyPath   : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\LAPS
ValueName     : PasswordAgeDays
Type          : DWord
Value         : 60
GpoName       : Default Domain Policy
GpoGuId       : {31B2F340-016D-11D2-945F-00C04FB984F9}
FileSysPath   : \\elles.inno.tech\sysvol\elles.inno.tech\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}
GpoVersion    : 4

FullKeyPath   : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\LAPS
ValueName     : AdministratorAccountName
AllowedValues : 0 .. 256
Type          : String
Value         : ''
GpoName       : Default Domain Policy
GpoGuId       : {31B2F340-016D-11D2-945F-00C04FB984F9}
FileSysPath   : \\elles.inno.tech\sysvol\elles.inno.tech\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}
GpoVersion    : 4

FullKeyPath   : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\LAPS
ValueName     : ADBackupDSRMPassword
AllowedValues : 0 .. 1
Type          : DWord
Value         : 1 (not set)
GpoName       : Default Domain Policy
GpoGuId       : {31B2F340-016D-11D2-945F-00C04FB984F9}
FileSysPath   : \\elles.inno.tech\sysvol\elles.inno.tech\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}
GpoVersion    : 4

FullKeyPath   : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\LAPS
ValueName     : BackupDirectory
Type          : DWord
Value         : 1
GpoName       : Default Domain Policy
GpoGuId       : {31B2F340-016D-11D2-945F-00C04FB984F9}
FileSysPath   : \\elles.inno.tech\sysvol\elles.inno.tech\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}
GpoVersion    : 4

FullKeyPath   : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\LAPS
ValueName     : ADEncryptedPasswordHistorySize
AllowedValues : 0 .. 12
Type          : DWord
Value         : 0 (not set)
GpoName       : Default Domain Policy
GpoGuId       : {31B2F340-016D-11D2-945F-00C04FB984F9}
FileSysPath   : \\elles.inno.tech\sysvol\elles.inno.tech\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}
GpoVersion    : 4

FullKeyPath   : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\LAPS
ValueName     : ADPasswordEncryptionEnabled
AllowedValues : 0 .. 1
Type          : DWord
Value         : 1 (not set)
GpoName       : Default Domain Policy
GpoGuId       : {31B2F340-016D-11D2-945F-00C04FB984F9}
FileSysPath   : \\elles.inno.tech\sysvol\elles.inno.tech\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}
GpoVersion    : 4

FullKeyPath   : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\LAPS
ValueName     : ADPasswordEncryptionPrincipal
AllowedValues : 0 .. 256
Type          : String
Value         : ''
GpoName       : Default Domain Policy
GpoGuId       : {31B2F340-016D-11D2-945F-00C04FB984F9}
FileSysPath   : \\elles.inno.tech\sysvol\elles.inno.tech\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}
GpoVersion    : 4

FullKeyPath   : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\LAPS
ValueName     : PostAuthenticationActions
AllowedValues : 11
Type          : DWord
Value         : 11 (not set)
GpoName       : Default Domain Policy
GpoGuId       : {31B2F340-016D-11D2-945F-00C04FB984F9}
FileSysPath   : \\elles.inno.tech\sysvol\elles.inno.tech\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}
GpoVersion    : 4

FullKeyPath   : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\LAPS
ValueName     : PostAuthenticationResetDelay
AllowedValues : 0 .. 24
Type          : DWord
Value         : 24 (not set)
GpoName       : Default Domain Policy
GpoGuId       : {31B2F340-016D-11D2-945F-00C04FB984F9}
FileSysPath   : \\elles.inno.tech\sysvol\elles.inno.tech\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}
GpoVersion    : 4

FullKeyPath   : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\LAPS
ValueName     : PasswordExpirationProtectionEnabled
AllowedValues : 0 .. 1
Type          : DWord
Value         : 1 (not set)
GpoName       : Default Domain Policy
GpoGuId       : {31B2F340-016D-11D2-945F-00C04FB984F9}
FileSysPath   : \\elles.inno.tech\sysvol\elles.inno.tech\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}
GpoVersion    : 4