Централизованная система управления паролями встроенных учётных записей администраторов


Долгое время у администраторов корпоративных сетей на базе Active Directory существовала головная боль по поводу встроенных административных локальных учётных записей (Built-In Administrator) и их паролей.

Первая проблема в том, что обычно есть один пароль администратора для всех пользовательских компьютеров, и его утечка или увольнение сотрудника требует смены пароля на всех компьютерах. Можно даже не говорить о том, что один пароль на несколько тысяч или даже сотен компьютеров это плохо, а разделение их на группы и установка на каждую группу иного пароля это сильное увеличение трудоёмкости в работе администраторов и создание массы неудобств. Знакома вам Excel-лька с паролями на шаре? А листочки со списками логинов и паролей? Б-р-р…

Вторая проблема заключается в том, что нужно безопасно установить пароль локального администратора во время установки ОС или сменить его после установки ОС. Всегда есть вопросы: кто, когда и как это сделает?

Помимо этого, есть множество технических проблем:

  • Надо сгенерировать «криптостойкий» пароль
  • Надо его где-то безопасно хранить
  • Надо предоставить к нему безопасный доступ администраторам
  • Надо как-то его менять периодически, по требованию на одном компьютере, группе компьютеров или на всех
  • Надо сделать пароль уникальным для разных компьютеров

Решение этих задач требовало от администраторов создания каких-то самостоятельных разработок, и надо сказать не тривиальных, чтобы управлять паролями учётных записей локальных администраторов.

Теперь есть официально опубликованное решение от Microsoft – Local Administrator Password Solution (LAPS).

Фактически это решение создано пару лет назад инженерами Microsoft и опубликовано как открытый проект – Local admin password management solution.

Существует его прекрасное описание в виде серии статей – Part 6: Managing Local Administrator Passwords.

Этой же проблеме и этому же решению посвящена статья – How To Automate Changing The Local Administrator Password.

Но если ранее это было частной инициативой инженеров PFE, и использование решения было «на свой страх и риск», то теперь это официальный продукт Microsoft, на который распространяется техническая поддержка. Это делает решение доступным для внедрения даже в самых консервативных организациях и компаниях. Забавно, что поддержка действует даже на Windows Server 2003!

Решение опубликовано как Microsoft security advisory: Local Administrator Password Solution (LAPS) now available: May 1, 2015

Прямая ссылка на загрузку (включая документацию) Local Administrator Password Solution (LAPS)

Реклама

комментариев 5

  1. А есть дистрибутив 5й версии? для ХР.

  2. на msdn все старые прибили :(

  3. […] пароля учётной записи локального администратора – LAPS. С его помощью можно решить множество проблем, но не […]

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: