Home Windows LAPS'ı adım adım yapılandırın

Windows LAPS'ı adım adım yapılandırın

Güle güle Microsoft LAPS ve Windows LAPS'a büyük bir hoş geldiniz. Windows LAPS nihayet hem bulut hem de şirket içi ortamlar için kullanılabilir. Etki alanına katılmış cihazın yerel parolalarının daha kolay yönetilmesi için her yöneticinin Active Directory'de Windows LAPS'i kurması gerekir. Bu yazıda adım adım Windows LAPS kurulumunun nasıl yapılacağını öğreneceksiniz.

Windows LAPS nedir?

Windows Yerel Yönetici Parolası Çözümü (Windows LAPS), Microsoft Entra'ya katılmış veya Windows Server Active Directory'ye katılmış cihazlarınızdaki yerel yönetici hesabının parolasını otomatik olarak yöneten ve yedekleyen bir Windows özelliğidir. Ayrıca, Windows Server Active Directory etki alanı denetleyicilerinizdeki Dizin Hizmetleri Geri Yükleme Modu (DSRM) hesap parolasını otomatik olarak yönetmek ve yedeklemek için Windows LAPS'ı da kullanabilirsiniz. Yetkili bir yönetici DSRM parolasını alabilir ve kullanabilir.

Yerel Yönetici Parola Çözümü (LAPS) olarak bilinen mevcut Microsoft güvenlik ürününü zaten biliyor olabilirsiniz. LAPS şu adreste mevcuttur:Microsoft İndirme Merkeziuzun yıllardır. Belirli bir yerel yönetici hesabının parolasını düzenli olarak değiştirerek ve Active Directory'ye (AD) yedekleyerek yönetmek için kullanılır. LAPS'ın şirket içi AD kurumsal güvenliği için temel ve sağlam bir yapı taşı olduğu kanıtlanmıştır. Bu eski LAPS ürününe sevgiyle "Eski LAPS" adını vereceğiz.

Windows LAPS, eski LAPS'i yüklemenizi gerektirmez. Eski LAPS'i yüklemeden veya bunlara başvurmadan tüm Windows LAPS özelliklerini tam olarak dağıtabilir ve kullanabilirsiniz.

Not:Özellik kutudan çıkmaya hazır. Artık harici bir MSI paketi kurmanıza gerek yok! Microsoft, normal Windows yamalama işlemleri yoluyla gelecekteki düzeltmeleri veya özellik güncellemelerini sunacaktır.

Ayrıca bakınız:Windows LAPS hesap şifresi şifre çözme izni hatası nasıl düzeltilir

Windows LAPS'ın avantajları

Yerel yönetici hesabı parolalarını düzenli olarak değiştirmek ve yönetmek için Windows LAPS'ı kullanın ve şu avantajlardan yararlanın:

  • Karma geçişi ve yanal geçiş saldırılarına karşı koruma
  • Uzaktan yardım masası senaryoları için geliştirilmiş güvenlik
  • Aksi takdirde erişilemeyen cihazlarda oturum açma ve cihazları kurtarma yeteneği
  • Windows Server Active Directory'de depolanan parolaların güvenliğini sağlamak için ayrıntılı bir güvenlik modeli (erişim kontrol listeleri ve isteğe bağlı parola şifreleme)
  • Microsoft Entra ID'de depolanan parolaların güvenliğini sağlamak için Entra rol tabanlı erişim denetimi modeli desteği

Windows LAPS Yönetimi

Windows LAPS'i yönetmek ve izlemek için aşağıdaki seçenekler mevcuttur:

  • Windows Server Active Directory Kullanıcıları ve Bilgisayarları özellikleri iletişim kutusu
  • Özel bir olay günlüğü kanalı
  • Windows LAPS'a özel bir Windows PowerShell modülü

Eski Microsoft LAPS'de olduğu gibi artık özel LAPS Yönetim istemcisi (LAPS UI) mevcut değil.

Windows LAPS gereksinimleri

Windows LAPS, belirtilen güncelleme veya daha yenisi yüklenmiş olarak aşağıdaki işletim sistemi platformlarında mevcuttur:

Not:Windows LAPS'ı kullanmak için herhangi bir lisans gereksinimi yoktur ve Windows işletim sistemine entegredir.

Kuruluşunuzda hangi Windows İşletim Sistemi Derlemelerinin çalıştığını bulmak ister misiniz? Windows işletim sistemi yapı numaralarını dışa aktarma makalesini okuyun.

Windows LAPS'ı Active Directory'de yapılandırmak için aşağıdaki adımları izleyin:

1. Windows Sunucusunu Güncelleyin

Windows Update'i tüm Etki Alanı Denetleyicilerinde çalıştırdığınızdan emin olun. Yalnızca 1x Domain Controller'ı güncelleyip Active Directory şemasını genişletirseniz (sonraki adım) hata verecektir.

2. Active Directory Şemasını Genişletin

Microsoft LAPS'te alışık olduğumuz gibi Etki Alanı Denetleyicisi'ne indirip kurabileceğiniz bir Windows LAPS istemcisi yoktur çünkü zaten Windows Server 2019 ve sonraki sürümlerine entegre edilmiştir.

1.PowerShell'i Etki Alanı Denetleyicisinde yönetici olarak çalıştırın.

2.Koşmakipmo LAPSLAPS modülünü içe aktarmak için.

ipmo LAPS

3.Çalıştırgcm -Modül LAPSLAPS modülünün yüklendiğini doğrulamak için komut.

Not:Yukarıdaki komutu çalıştırdıktan sonra herhangi bir çıktı yoksa, Windows Sunucunuzu desteklenen sürüme güncellemeniz gerekir (yukarıya bakın).

gcm -Module LAPS

Aşağıdaki çıktı görünür.

CommandType     Name                                               Version    Source
-----------     ----                                               -------    ------
Function        Get-LapsAADPassword                                1.0.0.0    LAPS
Function        Get-LapsDiagnostics                                1.0.0.0    LAPS
Cmdlet          Find-LapsADExtendedRights                          1.0.0.0    LAPS
Cmdlet          Get-LapsADPassword                                 1.0.0.0    LAPS
Cmdlet          Invoke-LapsPolicyProcessing                        1.0.0.0    LAPS
Cmdlet          Reset-LapsPassword                                 1.0.0.0    LAPS
Cmdlet          Set-LapsADAuditing                                 1.0.0.0    LAPS
Cmdlet          Set-LapsADComputerSelfPermission                   1.0.0.0    LAPS
Cmdlet          Set-LapsADPasswordExpirationTime                   1.0.0.0    LAPS
Cmdlet          Set-LapsADReadPasswordPermission                   1.0.0.0    LAPS
Cmdlet          Set-LapsADResetPasswordPermission                  1.0.0.0    LAPS
Cmdlet          Update-LapsADSchema                                1.0.0.0    LAPS

4.ÇalıştırGüncelleme-LapsADSchemacmdlet'i kullanın.

Update-LapsAdSchema

5.BasmakAve şunu takip edin:Girmek.

The 'ms-LAPS-Password' schema attribute needs to be added to the AD schema.
Do you want to proceed?
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"): A

3. LAPS özelliklerini kontrol edin

LapsAdSchema'nın başarıyla çalıştığını doğrulamak için aşağıdaki komutu çalıştırın:Güncelleme-LapsAdSchemayine onunla-Ayrıntılıparametre.

Update-LapsAdSchema -Verbose

Çıktının sonu önemlidir; bu, LAPS şemasının halihazırda şu özniteliklerle başarılı bir şekilde genişletildiğini gösterir:

  • msLAPS-PasswordExpirationTime
  • msLAPS-Şifre
  • msLAPS-ŞifreliŞifre
  • msLAPS-EncryptedPasswordHistory
  • msLAPS-ŞifreliDSRMŞifresi
  • msLAPS-ŞifreliDSRMPasswordHistory
VERBOSE: The 'computer' classSchema already has a required mayContain: msLAPS-PasswordExpirationTime
VERBOSE: The 'computer' classSchema already has a required mayContain: msLAPS-Password
VERBOSE: The 'computer' classSchema already has a required mayContain: msLAPS-EncryptedPassword
VERBOSE: The 'computer' classSchema already has a required mayContain: msLAPS-EncryptedPasswordHistory
VERBOSE: The 'computer' classSchema already has a required mayContain: msLAPS-EncryptedDSRMPassword
VERBOSE: The 'computer' classSchema already has a required mayContain: msLAPS-EncryptedDSRMPasswordHistory
VERBOSE: The 'computer' classSchema already has all expected LAPS-related mayContains
VERBOSE:
VERBOSE: ProcessRecord completed
VERBOSE:
VERBOSE: EndProcessing started
VERBOSE: EndProcessing completed

Windows 10/Windows 11 AD nesne özelliklerine gidin veBağlanmaksekmesi.

Not:göremiyorsanızÖzellik Düzenleyicisekmesinde, menü çubuğundaki Active Directory Kullanıcıları ve Bilgisayarları'na tıklayın.Görüşve etkinleştirGelişmiş Özellikler.

Ayrıca şunu göreceksiniz:TURLARsekmesini tıklayın ve üzerine tıklayabilirsiniz. Ancak şimdilik boş ve tüm adımları tamamladığınızda bilgiler doldurulacak.

Yönetilen cihaza şifresini güncelleme izni verilmesi gerekir. Bu eylem, cihazın bulunduğu Kuruluş Birimi'nde (OU) devralınabilir izinler ayarlanarak gerçekleştirilir. Ayar, iç içe geçmiş tüm kuruluş birimleri için de geçerli olacaktır.

Örneğimizde, izinleri ayarlamak istiyoruz.ŞirketVEYA.

İzinleri ayarlayınŞirketOU ileSet-LapsADComputerSelfPermissioncmdlet'i kullanın.

Not:Diğer kuruluş birimlerinde bilgisayarlarınız var mı? Aşağıdakileri tekrarlamanız ve bilgisayarların eklendiği kuruluş birimlerini eklemeniz gerekir.

Set-LapsADComputerSelfPermission -Identity "Company"

OU adının Active Directory'de birden çok kez kullanılması nedeniyle başarısız olduğunu varsayalım, ardındanKuruluş Birimi Seçkin Adıve bunu komuta yerleştirin.

Set-LapsADComputerSelfPermission -Identity "OU=Company,DC=exoip,DC=local"

5. LAPS GPO'yu kurun

LAPS için bir GPO yapılandırın ve ayarlarını etkinleştirin.

1.Etki Alanı Denetleyicisinde Grup İlkesi Yönetimini başlatın.

2.Sağ tıklayınMasaüstü bilgisayarlarVEYA.

3.TıklamakBu etki alanında bir GPO oluşturun ve buraya bağlayın.

Yeni Grup İlkesi Nesnesi (GPO) bir kullanıcı mı yoksa bilgisayar ilkesi mi? Yoksa kullanıcı ve bilgisayar ilkesi ayarlarını GPO'ya mı yerleştireceksiniz? Eğer bu birBilgisayar Politikasıyerleştirmenizi öneririz.C_Grup ilkesi adından önce. Bu bir Kullanıcı Politikası ise, bunu birİÇİNDE_. Yeni bir grup ilkesi nesnesine bilgisayar ve kullanıcı ilkesi ayarlarını eklemek istiyor musunuz? Adını verİLE_.

  • CBilgisayar Politikası anlamına gelir
  • İÇİNDEKullanıcı Politikası anlamına gelir
  • İLEBilgisayar ve Kullanıcı Politikası anlamına gelir

Örneğimizde GPO bir bilgisayar ilkesidir, dolayısıyla adı şu şekilde başlayacaktır:C_.

4.Politikaya şu adı verin:C_LAPS.

5.Sağ tıklayınC_LAPSGPO'yu tıklayın ve tıklayınDüzenlemek.

6.Şuraya git:Bilgisayar Yapılandırması>Politikalar>Yönetim Şablonları>Sistem>TURLAR.

Not:Merkezi Mağazanız varsa Yönetim Şablonları altında LAPS klasörünü göremezsiniz. KopyalaCHILD.admxC:WindowsPolicyDefinitions'tan dosya veCHILD.admlDosyayı C:WindowsPolicyDefinitionsen-US'den Merkezi Mağazanıza kopyalayın. Örneğin, \exoip.localSYSVOLexoip.localPolicies. Bundan sonra LAPS klasörünü göreceksiniz.

7.Üzerine çift tıklayınParola yedekleme dizinini yapılandırınayar.

8.SeçmeEtkinleştirilmişve yedekleme dizinini seçinAktif Dizin.

Önemli:YapmalısınOLANAK VERMEKayarı seçin veAktif DizinveyaAzure Aktif Dizini. Aksi halde yerel yönetici şifresi yönetilemez ve çalışmaz.

9.Üzerine çift tıklayınŞifre Ayarlarıayar.

10.SeçmeEtkinleştirilmişve yapılandırınşifre karmaşıklığı.

11.Üzerine çift tıklayınYönetilecek yönetici hesabının adıayar.

12.SeçmeEtkinleştirilmişve yönetici hesabı adını girinlapsadmin.

13.LAPS GPO durumu böyle görünüyor.

LAPS şifresini yalnızca Etki Alanı Yöneticileri okuyup sıfırlamakla kalmayacaksa aynı zamanda politikayı da yapılandırmanız gerekir.Yetkili şifre çözücüleri yapılandırma. Aksi halde hata alacaklardır ve LAPS değerleri boş olacaktır.

Windows LAPS hesap şifresi şifre çözme izni hatası nasıl düzeltilir makalesinde daha fazlasını okuyun.

6. Yerel yönetici hesabı oluşturun

Önceki adımda, şunları etkinleştirdik:Yönetilecek yönetici hesabının adıayarlama ve ayarlamayönetici hesabı adı:lapsadmin.

LAPS GPO, yerel yönetici hesabınızı tüm makinelerde oluşturmaz. Bu, başka bir GPO, PowerShell betiği veya başka bir seçenekle halletmeniz gereken bir şeydir.

Önemli:Diğer tüm yerel yönetici hesaplarını devre dışı bırakın ve yalnızcalapsadminHesap güvenlik amacıyla etkinleştirilmiştir.

Bilgisayarda böyle görünecek.

Not:Yukarıdaki adımların tümünü tamamladıktan sonra, değişikliklerin etkili olması için etki alanına katılmış Windows bilgisayarı yeniden başlatın.

Windows LAPS yapılandırması başarıyla tamamlandı.

LAPS şifresini al

Şimdi GUI ve PowerShell’de LAPS Şifresinin nasıl alınacağını görelim.

GUI ile LAPS şifresini alın

LAPS şifresini doğrudan Active Directory Kullanıcıları ve Bilgisayar konsolundan alın.

1.BaşlangıçActive Directory Kullanıcıları ve Bilgisayarları.

2.AD bilgisayar nesnesine gidinözellikler.

3.Sekmeyi seçinTURLAR.

Alanların artık dolduğunu ve artık boş olmadığını göreceksiniz. Bu, Active Directory'nin Windows bilgisayarına bağlanıp bilgileri senkronize ettiği anlamına gelir.

4.TıklayınŞifreyi Göster.

PowerShell ile LAPS şifresini alın

LAPS şifresini ve bilgilerini almanın mükemmel bir yolu PowerShell'dir.

1.PowerShell'i yönetici olarak çalıştırın

2.ÇalıştırGet-LapsADPasswordcmdlet'i doldurun vehedef bilgisayardahil olmak üzere-Açıklama metniparametre.

Get-LapsADPassword "WIN10" -AsPlainText

Aşağıdaki çıktı görünür.

ComputerName        : WIN10
DistinguishedName   : CN=WIN10,OU=Desktops,OU=Company,DC=exoip,DC=local
Account             : lapsadmin
Password            : .[lBkDWXy1&kg3
PasswordUpdateTime  : 4/17/2023 10:23:46 AM
ExpirationTimestamp : 5/17/2023 10:23:46 AM
Source              : EncryptedPassword
DecryptionStatus    : Success
AuthorizedDecryptor : EXOIPDomain Admins

LAPS şifresiyle oturum açın

Her zaman her şeyin beklediğiniz gibi çalışıp çalışmadığını test edin ve LAPS yerel yönetici hesabı şifresini test edin.

Yerel yönetici hesabıyla oturum açınlapsadminveşifrebilgisayarın LAPS'ında görünür.

Active Directory'den (LAPS) oluşturulan Yerel Yönetici Şifresi ile Windows 10 bilgisayarında başarıyla oturum açtık.

Windows LAPS şifresini sıfırlayın

Windows LAPS şifresini sıfırlamak istediğiniz zamanlar vardır.

1.TıklayınŞimdi sona eriyor.

2.Windows bilgisayarda bir GPO güncellemesi çalıştırın ve LAPS yerel yönetici hesabı parolasının sıfırlandığını doğrulayın.

3.Ayrıca şunu da çalıştırabilirsiniz:Reset-LapsPasswordWindows bilgisayarda cmdlet'i.

Reset-LapsPassword

4.Mevcut/yeni şifrenin geçerlilik süresini ve LAPS yerel yönetici hesabı şifresini sıfırlayacaktır.

Windows LAPS'ı Active Directory'de başarıyla kurdunuz ve her şeyin çalıştığını test ettiniz.

Çözüm

Active Directory'de Windows LAPS'ı nasıl yapılandıracağınızı öğrendiniz. Windows Yerel Yönetici Parolası Çözümü, etki alanına katılan bilgisayarlar için yerel yönetici parolalarını yönetmek için mükemmel bir Windows özelliğidir. Bir kez yapılandırdığınızda Microsoft, Windows Güncellemeleri aracılığıyla bunun için güncellemeleri otomatik olarak iletecektir.

Bu makaleyi beğendiniz mi? Ayrıca Microsoft Office'i Grup İlkesi ile Yönetmek de hoşunuza gidebilir. Bizi takip etmeyi ve bu yazımızı paylaşmayı unutmayın.

Related Posts

Klavye çalışmadığında dizüstü bilgisayarınızın kilidini açmanın 4 yöntemi

Klavye çalışmadığında dizüstü bilgisayarınızın kilidini açmanın 4 yöntemi

2025-04-30
Zabbix ile SSL/TLS Sertifikası Sona Erme web sitesini izleme

Zabbix ile SSL/TLS Sertifikası Sona Erme web sitesini izleme

2024-03-21
Apple Kimliği şifrenizi unuttuysanız: şifrenizi nasıl onaylar, sıfırlama ve silinir

Apple Kimliği şifrenizi unuttuysanız: şifrenizi nasıl onaylar, sıfırlama ve silinir

2025-05-14
Windows 11 evinde yönetici ayrıcalıklarıyla yeni bir kullanıcı oluşturmak için CMD kullanın

Windows 11 evinde yönetici ayrıcalıklarıyla yeni bir kullanıcı oluşturmak için CMD kullanın

2025-04-30
Windows 10'da kullanıcıların ekran tasarrufunu değiştirmesini nasıl önleyebilirim

Windows 10'da kullanıcıların ekran tasarrufunu değiştirmesini nasıl önleyebilirim

2025-04-30
Windows 10/11'de Erişilemeyen USB Sürücüsü Nasıl Onarılır

Windows 10/11'de Erişilemeyen USB Sürücüsü Nasıl Onarılır

2023-11-27
ABD dışında NBC Live Sports ekstra nasıl izlenir

ABD dışında NBC Live Sports ekstra nasıl izlenir

2025-08-06
Nasıl Yapılır Makaleleri

Nasıl Yapılır Makaleleri

2025-04-24
Groq, AI Chip Reach'i genişletmek için 1,5 milyar dolarlık Suudi yatırımını sağlıyor

Groq, AI Chip Reach'i genişletmek için 1,5 milyar dolarlık Suudi yatırımını sağlıyor

2025-02-10
Deepseek AI entegrasyonu ile Çin'de yeni araçları geliştirmek için BMW

Deepseek AI entegrasyonu ile Çin'de yeni araçları geliştirmek için BMW

2025-04-23
Etiket:akıllı telefon

Etiket:akıllı telefon

2025-04-01
Her Boyuttaki İşletmeye Yönelik BT Yönetim Hizmetleri

Her Boyuttaki İşletmeye Yönelik BT Yönetim Hizmetleri

2024-12-31
Ağ kartı türleri nelerdir?

Ağ kartı türleri nelerdir?

2025-04-21
Güçlü nasıl kullanılır?

Güçlü nasıl kullanılır?

2025-05-09
Yazılım Geliştirme Yaşam Döngüsü modelleri için derinlemesine bir kılavuz

Yazılım Geliştirme Yaşam Döngüsü modelleri için derinlemesine bir kılavuz

2025-08-06