Windows Server

Microsoft „Local Administrator Password Solution“ (LAPS)

In einer Windows AD Struktur melden sich die Anwender mit Ihren AD Benutzerkennung an. Soweit so gut. Allerdings werden für Wartungs- und Supportzecke gerne lokale Administratorkonten verwendet um ohne AD ins System zu kommen.

Damit nun nicht jedes System mit demselben Passwort installiert und betrieben wird kommt

die „Local Administrator Password Solution“ kurz LAPS genannt ins Spiel.

Die „Local Administrator Password Solution“ bietet die Verwaltung der Kennwörter für lokale Konten an. Kennwörter werden in der Active Directory (AD) gespeichert und per ACL geschützt. Also nur berechtigte Benutzer können dieses auslesen.

LAPS wird als GPO client-side extension (CSE) installiert. Zum Betrieb wird ein management computer und mindestens ein Client benoetigt. Download und AAnleitung: https://www.microsoft.com/en-us/download/details.aspx?id=46899

  1. Management Computer:

Die Installation erfolgt über LAPS.x64.msi (oder bei 32bit LAPS.x86.msi). Wählt dabei folgende Optionen:
LAPS1

  1. Client Installation:

Ein Client welcher über LAPS verwaltet werden soll benötigt den passenden Client. Die Installation der MSI erfolgt recht einfach mit:

msiexec /i <file location>\LAPS.x64.msi /quiet
Bzw.
msiexec /i <file location>\LAPS.x86.msi /quiet

  1. AD Schema Erweiterung:

Oeffnet auf dem Management Computer eine Administrative PowerShell und gebt folgende Befele ein:

Import-module AdmPwd.PS
Update-AdmPwdADSchema
LAPS2

  1. Erweiterte Rechte entfernen:

Um sicher zu stellen das nicht jeder Benutzer das Passwort auslesen kann müssen gegebenen falls die Berechtigungen angepasst werden:
Startet ADSIEdit
– Rechte Maustaste auf die OU welche die zu verwaltendem Computer- Accounts beinhalten und auf Eigenschaften klicken.
– Wechselt auf die Registerkarte Sicherheit und klick auf Erweitert
– Wählt den Eintrag aus welche keine Leserechte haben darf und klickt auf Bearbeiten
– Wählt alle erweiterten Rechte ab.

  1. Computerkonten berechtigen:

Die ClientComputer benötigen schreirechte auf die Attribute ms-Mcs-AdmPwdExpirationTime und ms-Mcs-AdmPwd .

Die erfolgt über Powershell:
Import-module AdmPwd.PS
Set-AdmPwdComputerSelfPermission -OrgUnit <Name der Client OU>

  1. Benutzer leserechte geben:

Import-module AdmPwd.PS
Set-AdmPwdReadPasswordPermission -OrgUnit <Name der Client OU> -AllowedPrincipals <Benutzer/Gruppen>

  1. Benutzer erlauben ein neu setzten des Passworts zu erzwingen:

Import-module AdmPwd.PS
Set-AdmPwdResetPasswordPermission -OrgUnit<Name der Client OU> -AllowedPrincipals <Benutzer/Gruppen>

  1. GPO für Client erstellen:

Legt eine neue GPO für LAPS an:
Computerkonfiguration -> Administrative Vorlagen -> LAPS
LAPS3

Die Einstellungen sind weitestgehend Selbsterklärend.

FERTIG

Wenn alles Erfolgreich war, steht in den Attributen das Passwort und das Ablaufdatum:
LAPS4
Alternativ kann auf dem Management Computer der Client „LAPS UI“ zum Auslesen verwendet werden.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s