Настройка политики LAPS
-----------------------------------------------------------

Для настройки политики LAPS нужно создать объект групповой политики в домене и настроить его. Групповая политика находится в каталоге **Параметры компьютеров → Безопасность → Пароли локальных администраторов**.

Параметр позволяет централизованно управлять паролями локальных администраторов путем внесения изменений в файл ``/etc/shadow``. На сервере в LDAP-каталоге изменения сохраняются из-под учетной записи компьютера.

Поле **Имя локального администратора** определяет логин или числовой UID того пользователя, паролем которого нужно управлять. Для корректной работы параметра групповой политики значение является обязательным.

Поле **Блокировать остальных** позволяет указать, нужно ли блокировать вход по паролю для остальных локальных пользователей системы. Допустимые значения:

- **Lock** - параметр блокирует вход по паролю для остальных локальных пользователей системы, в файле ``/etc/shadow`` к паролям пользователей будет добавляться восклицательный знак. В качестве синонима **Lock** может использоваться значение **True**;

- **Unlock** - параметр снимает блокировку входа по паролю со всех локальных пользователей системы, которым назначен пароль. Если у пользователя нет пароля (в качестве пароля записан восклицательный знак), то блокировка сниматься не будет, так как вход без пароля является небезопасным;

- **Ignore** - параметр не затрагивает остальных пользователей системы. Это поведение определено по умолчанию, поэтому в качестве синонима можно использовать **False**, пустую строку или любое другое значение.

Поле **Срок действия пароля** позволяет задать период, по истечению которого пароль локального администратора на компьютере будет обновлен автоматически. Значение представляет собой целое число в диапазоне от 1 до 365, указывающее количество дней. Если значение не определено, по умолчанию устанавливается срок действия пароля в 30 дней.

Поле **Ограничить максимальный срок действия пароля** позволяет запретить установку значений, превышающих текущие настройки параметра групповой политики. 

Допустимые значения:

- **True** - пароль локального администратора будет автоматически обновлен, если в момент применения параметра групповой политики срок действия пароля в LDAP-каталоге окажется больше того значения, которое должно быть установлено в соответствии с текущими настройками параметра групповой политики. Значение **True** используется по умолчанию;

**False** - администраторы вправе устанавливать вручную любой срок действия пароля LAPS, превышающий текущую дату и время, и это не приведет к внеочередному обновлению пароля.

Например, групповая политика устанавливает максимальный срок действия пароля в 30 дней. Если сегодня 1 августа и ограничение включено (значение поля **True**), то попытка вручную установить дату окончания срока на 3 сентября или позже ни к чему не приведет: пароль обновится автоматически через 30 дней в соответствии с групповой политикой. Если же ограничение выключено (значение поля **False**), то обновление пароля произойдет не через 30 дней, а в указанную дату - 3 сентября.

Поле **Сложность пароля** позволяет задать желаемый уровень сложности нового пароля для локального администратора. Допустимые значения:

**1** - прописные символы;

**2** - прописные символы + строчные символы;

**3** - прописные символы + строчные символы + цифры (этот уровень используется по умолчанию);

**4** - прописные символы + строчные символы + цифры + специальные символы;

**5** - предыдущий набор символов за вычетом непечатных знаков, например, I, O, Q, l, o, 0, 1, и др.

Поле **Длина пароля** позволяет задать желаемую длину нового пароля для локального администратора. Значение должно представлять собой целое число в диапазоне от 8 до 64. Если значение не определено, по умолчанию пароли генерируются длиной в 14 символов.

Для принудительного применения параметров групповых политик на целевых хостах используется следующая команда:

.. code-block::

    sudo aldpro-gpupdate --gp