LAPS(Local Administrator Password Solution) – Depoly and Configuration and Managing

기업에서 Domain 환경을 구성할 때 기존에 가지고 있던 로컬 컴퓨터 계정에 대해서는 큰 관심이 없었지요.

일부 기업에서는 계정 관리를 위해 패스워드 관리 솔류션을 이용하기도 하지만 이는 자본도 들어가야 하고, 관리 솔류션 자체의 위험 요소도 있는 만큼 신중히 검토해야 할 것이고, 큰 기업이 아니고서는 여기까지 진행하기는 쉽지 않습니다.

그런데 2015 여름, Microsoft에서 로컬 패스워드를 효과적으로 관리할 수 있는 솔류션을 내놓았습니다.

바로 LAPS(Local Administrator Password Solution)가 이것인데요.

이프로그램의 장점은 다음과 같습니다.

  • Configure password parameters, including age, complexity, and length.
  • Force password reset on a per-machine basis.
  • Use a security model that is integrated with ACLs in Active Directory.
  • Use any Active Directory management tool of choice; custom tools, such as Windows PowerShell, are provided.
  • Protect against computer account deletion.
  • Easily implement the solution with a minimal footprint.

영어로 여러가지 말이 써져 있지만 요약하자면 로컬 계정에도 패스워드 정책을 넣고, 모두 컴퓨터가 다른 랜덤의 패스워드를 보유한다는 것.

특히 사용되지 않는 만료된 계정에 대해서만 랜덤으로 관리하고 사용자가 패스워드 정책에 맞게 패스워드를 설정하여 사용할 수 있도록 한것과 로컬의 모든 관리자 권한이 있는 계정에 적용된다는 점이 해킹 위험을 줄일 수 있는 큰 장점이 될 것 같습니다.

용량도 작고 설치도 간편해(GPO 이용) 앞으로 기업 도메인 관리하실때 기본으로 설정할 필요가 있는 설정으로 생각되네요.

1. Depoly

설치 파일은 https://www.microsoft.com/en-us/download/details.aspx?id=46899 에서 다운로드 하실 수 있습니다.

그리고  위 그림과 같이 필요한 파일들을 선택하여 다운로드 합니다.

다운로드가 완료되면 Domain Controller(이하DC)에 LAPS.x64.msi를 설치 합니다. 설치전 LAPS_OperationsGuide.docx를 확인하시면 도움이 되실 겁니다.

DC에 설치하실 때는 모든 구성요소를 선택하여 설치를 진행하면 됩니다.

설치를 완료하고 나면, 관리를 하고자 하는 클라이언트들에게 배포를 해야하는데 이를 위해 GPO를 생성하거나 다음과 같은 스크립트를 실행하도록 구성합니다(Software Installation GPO 이용을 추천합니다).

스크립트

클라이언트 배포를 위한 설치시 기본 설치 옵션인 AdmPwd GPO extension만 설치 되기 때문에 사용자는 관리 도구가 설치되지 않고, 관리 도구는 필요한 유저에 권한을 설정해 주어야만 패스워드를 확인 할 수 있습니다.

 

2. Configuration

이제 LAPS를 사용하기 위해서 DC에서 PowerShell을 오픈하고 모듈을 임포트 합니다.

그리고 Update-AdmPwdADSchema 명령을 이용해 AD에 스키마를 추가합니다.

 

그리고 일반 사용자/컴퓨터들의 패스워드 읽을 수 없도록 하기 때문에 ADSIEdit를 오픈하여 LAPS 클라이언트를 배포한 사용자 조직(OU)를 선택하고 보안 탭을 열어 All extended rights(한글: 모든 확장 권한)를 체크 해제 합니다. (All extended rights(한글: 모든 확장 권한)이 설정된 OU 혹은 사용자는 LAPS 관리가 가능합니다.)

Import-module AdmPwd.PS 를 입력하고(Powershell 오픈시 이 명령을 먼저 실행),  Find-AdmPwdExtendedrights -identity :<OU name> | Format-Table 명령을 이용해서 권한이 설정된 사용자 조직(OU)을 확인 할 수 있습니다.

 

 

이제 LAPS 관리하고자 하는 컴퓨터에 패스워드를 스스로 변경할 수 있는 권한을 LAPS 클라이언트를 배포한 사용자 조직(OU)에 추가해야 합니다.

그리고 이제 패스워드를 보거나 관리할 수 있는 유저를 추가하면 됩니다. 만약 여러  OU를 구분해서 관리한다면 OU별로 넣어주면 됩니다.

 

이제 거희 마무리 단계입니다.

Group Policy를 이용하여 LAPS를 이용한 로컬 관리 계정의 정책을 적용하면 끝입니다.

 

3. Managing

만약 패스워드를 확인하고자 한다면, Domain Admin의 경우 속성창을 이용해서 바로 확인이 가능합니다.

특정 관리자에게 권한을 부여한 경우 Fat client UI를 설치하여 클라이언트를 검색해서 진행할 수 있습니다.

 

아래는 특정 컴퓨터를 검색한 화면 입니다.

 

이렇게 설치 부터 관리까지 살펴보았습니다. 보다 많은 정보는 다운로드에 포함된 문서를 확인해보세요, 오류 대처 방안 및 추가 기술 내용을 확인 할 수 있습니다.

Facebook Comments

Leave A Reply

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다

This site uses Akismet to reduce spam. Learn how your comment data is processed.