LAPS: автоматическое управление паролями локальных администраторов в AD

Один пароль локального администратора на всех компьютерах — бомба замедленного действия. LAPS решает эту проблему, автоматически генерируя уникальные пароли для каждого ПК. Наши инженеры считают LAPS обязательным для любой доменной среды.

Что такое LAPS?

1. Агент на каждом ПК генерирует случайный пароль
2. Пароль сохраняется в атрибуте объекта в AD
3. Доступ контролируется через ACL
4. Автоматическая ротация (по умолчанию 30 дней)

Windows LAPS vs Legacy LAPS?

• Legacy: отдельная MSI, пароли открытым текстом, нет истории
• Windows LAPS: встроен в Windows 10/11 и Server 2019+, шифрование, история, Azure AD

Как подготовить Active Directory?

# Обновить схему AD (от Schema Admin)
Update-LapsADSchema

# Дать компьютерам право записи
Set-LapsADComputerSelfPermission -Identity "OU=Workstations,DC=company,DC=ru"

# Дать IT-отделу право чтения паролей
Set-LapsADReadPasswordPermission -Identity "OU=Workstations,DC=company,DC=ru"   -AllowedPrincipals "COMPANY\IT-Admins"

# Право сброса пароля
Set-LapsADResetPasswordPermission -Identity "OU=Workstations,DC=company,DC=ru"   -AllowedPrincipals "COMPANY\IT-Admins"

Как настроить через GPO?

# Computer Configuration -> System -> LAPS
# 1. Configure password backup directory -> Active Directory
# 2. Password Settings: Complexity ALL, Length 20, Age 30 days
# 3. Enable password encryption -> Enabled
# 4. Encrypted password history -> 12

Как получить пароль?

Get-LapsADPassword -Identity "WKS-001" -AsPlainText
# Выведет: Account, Password, ExpirationTimestamp

# Для нескольких ПК
Get-ADComputer -Filter * -SearchBase "OU=Workstations,DC=company,DC=ru" |   ForEach-Object { Get-LapsADPassword -Identity $_.Name -AsPlainText }

LAPS для DSRM-пароля контроллера домена?

# GPO для DC:
# Enable password backup for DSRM accounts -> Enabled

Get-LapsADPassword -Identity "DC-01" -AsPlainText -IncludeDSRM

Как мигрировать с Legacy LAPS?

1. Обновите все ПК до Windows 10 21H2+
2. Обновите схему AD
3. Настройте Windows LAPS через GPO параллельно
4. Убедитесь, что все ПК получили новый пароль
5. Удалите Legacy LAPS CSE

Как аудировать использование LAPS?

Get-WinEvent -LogName "Microsoft-Windows-LAPS/Operational" -MaxEvents 20
# Event ID 10018 — пароль обновлён
# Event ID 10019 — записан в AD
# Event ID 10020 — ошибка

Какие типичные ошибки?

• Не настроены ACL — компьютеры не могут записать пароль
• Слабый пароль: 8 символов мало. Ставьте 20+
• Нет мониторинга: LAPS молча падает
• Широкие права чтения: ограничьте до IT-группы
• Забыли про серверы

Интеграция LAPS с Azure AD (Entra ID)

Windows LAPS поддерживает гибридный сценарий: пароли можно хранить и в on-premises AD, и в Azure AD одновременно. Для облачных устройств (Azure AD Joined) LAPS работает через Intune — пароли хранятся в Entra ID и доступны через портал. Это критично для компаний с удалёнными сотрудниками, чьи ноутбуки не подключены к корпоративной сети.

Автоматизация развёртывания LAPS через PowerShell

Для крупных сред с десятками OU ручная настройка ACL утомительна. Наши инженеры используют скрипт, который рекурсивно обходит все OU с компьютерами и настраивает права. Добавьте проверку через Find-LapsADExtendedRights для аудита — она покажет, кто может читать пароли в каждой OU. Если обнаружите неавторизованные группы — немедленно ограничьте доступ.

Когда обратиться к профессионалам?

• Когда в AD более 100 компьютеров
• Когда нужна миграция с Legacy LAPS
• Когда требуется интеграция с Azure AD
• Когда нужен аудит безопасности локальных администраторов
• Когда произошёл инцидент с компрометацией