Windows LAPS w Active Directory: unikalne hasła lokalnego administratora krok po kroku

W wielu firmach lokalne konto administratora powstaje podczas instalacji komputera, a jego hasło później nie zmienia się przez lata. Gorzej, gdy ten sam sekret działa na wszystkich stacjach. Przejęcie jednego komputera otwiera wtedy drogę do kolejnych urządzeń.

Windows LAPS rozwiązuje ten problem bez dodatkowego agenta: tworzy unikalne hasło dla każdego komputera, cyklicznie je zmienia i zapisuje w Active Directory lub Microsoft Entra ID. Poniżej pokazuję praktyczny wariant dla lokalnej domeny AD i GPO.

Co przygotować

  • obsługiwany i zaktualizowany Windows 10/11 albo Windows Server 2019/2022/2025,
  • osobne OU dla pilotażowych komputerów,
  • grupę, np. FIRMA\LAPS-Readers,
  • poziom funkcjonalności domeny 2016 lub nowszy, jeśli hasła mają być szyfrowane.

Nowy Windows LAPS jest składnikiem systemu. Nie instaluj starego pakietu Microsoft LAPS MSI na nowszych urządzeniach.

1. Rozszerz schemat i nadaj prawa

Update-LapsADSchema -Verbose
Set-LapsADComputerSelfPermission -Identity "OU=Stacje,DC=firma,DC=local"
Set-LapsADReadPasswordPermission -Identity "OU=Stacje,DC=firma,DC=local" -AllowedPrincipals @("FIRMA\LAPS-Readers")
Find-LapsADExtendedRights -Identity "OU=Stacje,DC=firma,DC=local"

Pierwsze polecenie wykonujesz raz dla lasu. Kolejne pozwalają komputerom zapisywać własne hasła i delegują odczyt wskazanej grupie. Wynik Find-LapsADExtendedRights pokaże, kto jeszcze ma szerokie prawa do poufnych atrybutów w OU.

2. Skonfiguruj GPO

Ustawienia znajdziesz w Konfiguracja komputera → Zasady → Szablony administracyjne → System → LAPS. Ustaw zapis do Windows Server Active Directory, rotację np. co 30 dni, długość co najmniej 20 znaków i złożoność zgodną z lokalną polityką. Dla domeny na poziomie 2016 lub nowszym włącz szyfrowanie oraz wskaż grupę w ADPasswordEncryptionPrincipal.

Włączenie prawa odczytu nie oznacza automatycznie prawa do odszyfrowania. Bez wskazania grupy hasło domyślnie odszyfrują tylko Domain Admins.

3. Wymuś politykę i sprawdź log

gpupdate /force
Invoke-LapsPolicyProcessing

Dziennik znajduje się w Applications and Services Logs → Microsoft → Windows → LAPS → Operational. Zdarzenie 10018 potwierdza zapis hasła w AD, a 10020 aktualizację konta lokalnego. Błąd cyklu zapisuje zdarzenie 10005.

Odczyt i rotacja po użyciu

Get-LapsADPassword -Identity PC-001 -AsPlainText
Reset-LapsPassword

Hasło jawne pobieraj tylko na czas interwencji. Nie wklejaj go do zgłoszenia ani komunikatora. Po użyciu wymuś rotację. Zdalnie możesz oznaczyć hasło jako wygasłe poleceniem Set-LapsADPasswordExpirationTime -Identity PC-001.

Na co uważać

  • W ręcznym trybie LAPS nie tworzy niestandardowego konta — musi ono już istnieć.
  • Nie kieruj starego i nowego LAPS na to samo konto podczas migracji.
  • Automatyczne zarządzanie kontem i passphrase wymagają Windows 11 24H2, Windows Server 2025 lub nowszych wersji.
  • Dla starszych i nowszych systemów przygotuj oddzielne polityki.

Podsumowanie

Bezpieczne wdrożenie Windows LAPS to nie tylko włączenie GPO. Trzeba ograniczyć prawa do OU, wskazać grupę odczytującą i odszyfrowującą, potwierdzić zdarzenie 10018 oraz przetestować rotację po użyciu hasła. Zacznij od kilku komputerów, a dopiero po poprawnym pilotażu rozszerz politykę.

Źródła

☕ Postaw mi kawę