Групповые политики/LAPS

Материал из ALT Linux Wiki
< Групповые политики
Версия от 18:09, 14 марта 2025; Olga kmv (обсуждение | вклад) (Новая страница: «В gpupdate, начиная с версии 0.13.0, предоставляется поддержка LAPS - механизма централизованного управления паролями локальных администраторов на компьютерах домена. Текущий пароль локального администратора хранятся в защищённых атрибутах объектов Computer в Ac...»)
(разн.) ← Предыдущая версия | Текущая версия (разн.) | Следующая версия → (разн.)

В gpupdate, начиная с версии 0.13.0, предоставляется поддержка LAPS - механизма централизованного управления паролями локальных администраторов на компьютерах домена. Текущий пароль локального администратора хранятся в защищённых атрибутах объектов Computer в Active Directory, регулярно меняется автоматически, и может быть получен авторизованными пользователями.

Настраивать политики можно как ключами реестра из Windows, так и ключами реестра из ALT Linux. При этом, если заданы оба типа ключей, приоритет отдается ключам ALt Linux.

В этой статье будет описано, как настроить групповые политики для управления паролями локальных администраторов на клиентской машине ALT Linux.

Предполагается, что инфраструктура уже развернута: настроен AD домен на базе Windows Server 2016 или более новой версии, клиентская машина на ALT Linux введена в домен AD (см. Ввод машины в домен).

Описание политик

  1. Имя учетной записи администратора
    Политика позволяет указать имя локальной учетной записи, пароль которой будет управляться. Если политика включена, LAPS будет управлять паролем для локальной учетной записи с этим именем. Если политика отключена или не настроена, LAPS будет управлять паролем локального администратора — root.
  2. Шифрование паролей
    Политика позволяет включить шифрование управляемым паролем перед отправкой в Active Directory. Пароль не будет зашифрован, если:
    • пароль не настроен для резервного копирования в Active Directory;
    • функциональный уровень домена Active Directory ниже Windows Server 2016.
    Если политика отключена, пароль управляемой учётной записи не шифруется.
    Если политика не настроена, пароль управляемой учётной записи шифруется.
  3. Действие после проверки подлинности
    Политика позволяет настроить автоматические действия, выполняемые после входа в систему под учетной записью, управляемой LAPS.
    • Льготный период — время (в часах), в течение которого после входа в систему никакие действия не выполняются;
    • Если значение больше 0, LAPS выполнит указанные действия по истечении этого времени;
    • Если значение равно 0, действия не выполняются;
    • Если политика не настроена, применяется значение по умолчанию – 24 часа.
    Действия после входа в систему:
    • Сбросить пароль — по окончании льготного периода LAPS меняет пароль учетной записи;
    • Сбросить пароль и выйти из системы (поведение по умолчанию, если политика не настроена) — LAPS меняет пароль и завершает все активные интерактивные сеансы пользователя (локальные и RDP);
    • Сбросить пароль и перезагрузить устройство — LAPS меняет пароль и выполняет немедленную перезагрузку компьютера.
    Примечания: По умолчанию, если политика не настроена, выполняется «Сбросить пароль и выйти из системы» через 24 часа.
  4. Истечение срока действия пароля
    Политика позволяет настроить изменение пароля, если его срок действия превысил значение, заданное политикой «Параметры паролей».
    Если политика включена или не настроена, не допускается превышение срока действия пароля, настроенного политикой «Параметры паролей». При обнаружении истечения срока действия пароль немедленно изменяется, а срок действия пароля устанавливается в соответствии с политикой.
    Если политика отключена, срок действия пароля может быть больше, чем заданный политикой «Параметры паролей».
  5. Каталог резервного копирования паролей
    Политика позволяет настроить изменение пароля, если его срок действия превысил значение, заданное политикой «Параметры паролей».
    Если политика включена или не настроена, не допускается превышение срока действия пароля, настроенного политикой «Параметры паролей». При обнаружении истечения срока действия пароль немедленно изменяется, а срок действия пароля устанавливается в соответствии с политикой.
    Если политика отключена, срок действия пароля может быть больше, чем заданный политикой «Параметры паролей».
  6. Параметры паролей
    Политика позволяет настроить сложность, длину и срок действия паролей.
    • Параметр «Сложность пароля» — допустимые к использованию символы при создании нового пароля. По умолчанию: «Заглавные буквы, строчные буквы, цифры, специальные символы».
    • Длина пароля — количество символов в пароле. Минимум: 8 символов; Максимум: 64 символа; По умолчанию: 14 символов.
    • Срок действия пароля в днях. Минимум: 1 день; Максимум: 365 дней; По умолчанию: 30 дней.
  7. Размер журнала зашифрованных паролей
    Политика позволяет настроить размер указать количество зашифрованных паролей, хранящихся в Active Directory. Настройка этого параметра не действует, если:
    • пароль не настроен для резервного копирования в Active Directory;
    • не включено шифрование пароля.
    Допустимый диапазон значений колиества хранимых паролей — 0 - 12;
    Если политика включена, указанное количество старых паролей будет храниться в Active Directory.
    Если политика отключена или не настроена, в Active Directory не будет храниться ни одного старого пароля.
  8. Шифрование паролей
    Политика позволяет включить шифрование управляемым паролем перед отправкой в Active Directory.
    Пароль не будет зашифрован, если:
    • пароль не настроен для резервного копирования в Active Directory;
    • функциональный уровень домена Active Directory ниже Windows Server 2016.
    Если политика отключена, пароль управляемой учётной записи не шифруется.
    Если политика не настроена, пароль управляемой учётной записи шифруется.