Справочный центр ALD Pro 3.2.1
Настройка политики LAPS¶
Для настройки политики LAPS нужно создать объект групповой политики в домене и настроить его. Групповая политика находится в каталоге Параметры компьютеров → Безопасность → Пароли локальных администраторов.
Параметр позволяет централизованно управлять паролями локальных администраторов путем внесения изменений в файл /etc/shadow. На сервере в LDAP-каталоге изменения сохраняются из-под учетной записи компьютера.
Поле Имя локального администратора определяет логин или числовой UID того пользователя, паролем которого нужно управлять. Для корректной работы параметра групповой политики значение является обязательным.
Поле Блокировать остальных позволяет указать, нужно ли блокировать вход по паролю для остальных локальных пользователей системы. Допустимые значения:
Lock - параметр блокирует вход по паролю для остальных локальных пользователей системы, в файле
/etc/shadowк паролям пользователей будет добавляться восклицательный знак. В качестве синонима Lock может использоваться значение True;Unlock - параметр снимает блокировку входа по паролю со всех локальных пользователей системы, которым назначен пароль. Если у пользователя нет пароля (в качестве пароля записан восклицательный знак), то блокировка сниматься не будет, так как вход без пароля является небезопасным;
Ignore - параметр не затрагивает остальных пользователей системы. Это поведение определено по умолчанию, поэтому в качестве синонима можно использовать False, пустую строку или любое другое значение.
Поле Срок действия пароля позволяет задать период, по истечению которого пароль локального администратора на компьютере будет обновлен автоматически. Значение представляет собой целое число в диапазоне от 1 до 365, указывающее количество дней. Если значение не определено, по умолчанию устанавливается срок действия пароля в 30 дней.
Поле Ограничить максимальный срок действия пароля позволяет запретить установку значений, превышающих текущие настройки параметра групповой политики.
Допустимые значения:
True - пароль локального администратора будет автоматически обновлен, если в момент применения параметра групповой политики срок действия пароля в LDAP-каталоге окажется больше того значения, которое должно быть установлено в соответствии с текущими настройками параметра групповой политики. Значение True используется по умолчанию;
False - администраторы вправе устанавливать вручную любой срок действия пароля LAPS, превышающий текущую дату и время, и это не приведет к внеочередному обновлению пароля.
Например, групповая политика устанавливает максимальный срок действия пароля в 30 дней. Если сегодня 1 августа и ограничение включено (значение поля True), то попытка вручную установить дату окончания срока на 3 сентября или позже ни к чему не приведет: пароль обновится автоматически через 30 дней в соответствии с групповой политикой. Если же ограничение выключено (значение поля False), то обновление пароля произойдет не через 30 дней, а в указанную дату - 3 сентября.
Поле Сложность пароля позволяет задать желаемый уровень сложности нового пароля для локального администратора. Допустимые значения:
1 - прописные символы;
2 - прописные символы + строчные символы;
3 - прописные символы + строчные символы + цифры (этот уровень используется по умолчанию);
4 - прописные символы + строчные символы + цифры + специальные символы;
5 - предыдущий набор символов за вычетом непечатных знаков, например, I, O, Q, l, o, 0, 1, и др.
Поле Длина пароля позволяет задать желаемую длину нового пароля для локального администратора. Значение должно представлять собой целое число в диапазоне от 8 до 64. Если значение не определено, по умолчанию пароли генерируются длиной в 14 символов.
Для принудительного применения параметров групповых политик на целевых хостах используется следующая команда:
sudo aldpro-gpupdate --gp