LAPS-Installation und -Konfiguration

Microsofts Local Administrator Password Solution (LAPS) Lösung in der Domäne Windows Es ermöglicht die zentrale Verwaltung der lokalen Administratorkennwörter der Kunden. LAPS generiert für jeden Kunden einzigartige und zufällige Passwörter und erneuert diese Passwörter in regelmäßigen Abständen automatisch.

Was sind LAPS?

LAPS, jeweils in der Domäne enthalten Windows auf dem Client installiert und SID-500 Es handelt sich um ein Softwaremodul, das Kontokennwörter in regelmäßigen Abständen aktualisiert. Diese Passwörter, Active DirectoryAttribute von Benutzern in (Attribut) wird von dort aus geschrieben und verwaltet.

LAPS Das Wichtigste, was Sie bei der Bereitstellung wissen müssen, ist, dass sowohl ein Administratormodul als auch ein Clientmodul vorhanden sein müssen. LAPS um Ihr Passwort zu finden Powershell, LAPS-GUI veya Active Directory-Benutzer und -Computer (ADUC) zur Verfügung.

Wichtige Informationen zur LAPS-Installation

Hier sind die wichtigen Punkte, die Sie bei der Installation von LAPS beachten sollten:

• Administrator- und Client-Module: LAPSFür eine effektive Nutzung sowohl des Admin-Moduls (LAPS-Benutzeroberfläche) und das Client-Modul (LAPS-Client-Erweiterung) muss festgestellt werden.
• Passwortzugriff: Passwörter erstellt, Powershell, LAPS Benutzeroberfläche bzw Active Directory-Benutzer und -Computer (ADUC) kann über aufgerufen werden.

LAPS-Systemanforderungen

Damit LAPS ordnungsgemäß funktioniert, müssen die folgenden Systemvoraussetzungen erfüllt sein:

1. Domänenmitgliedschaft: Alle zu installierenden Geräte müssen Domänenmitglieder sein.
2. Einzelnes lokales Konto: LAPS verwaltet nur Passwörter für ein lokales Konto. Aus Sicherheitsgründen wird empfohlen, andere lokale Konten zu deaktivieren.
3. Erweitern des Active Directory-Schemas: Um LAPS nutzen zu können, muss das AD-Schema erweitert werden. Dies ist zwingend erforderlich, damit LAPS die notwendigen Attribute innerhalb von AD erstellen kann.
4. Großflächige Verbreitung: LAPS muss in allen geeigneten Umgebungen installiert werden, um eine konsistente Anwendung von Sicherheitsrichtlinien sicherzustellen.

LAPS auf dem Domänencontroller installieren

LAPS offizielle Software Microsoft Download Center Download über . Dafür LAPS.msi Sie werden die Datei verwenden. Sobald der Download abgeschlossen ist, speichern Sie die Datei an einem geeigneten Ort auf Ihrem Domänencontroller.

In diesem Schritt Domain Controller Wir werden alle notwendigen Schritte einleiten. LAPS.x64 Installation, AD-Schema-Erweiterung, Berechtigungskonfigurationen und GPO Wir werden die Erstellungsschritte durchführen.

• Laden Sie Local Administrator Password Solution (LAPS) vom offiziellen Microsoft Download Center herunter

Domain Controller üzerinde LAPS Bei der Installation müssen Sie darauf achten, dass Sie die folgenden Komponenten auswählen.

• PowerShell-Modul: LAPS PowerShell Installieren Sie das Modul. Dieses Modul LAPS Es ermöglicht Ihnen, Befehle im Zusammenhang mit auszuführen.
• GPO-Editor-Vorlagen: Gruppenrichtlinien Laden Sie Vorlagen für Objekte. Das, LAPS Sie können damit die erforderlichen Gruppenrichtlinienobjekte erstellen, um Einstellungen zu verwalten.
• Fat Client-Benutzeroberfläche: LAPS Installieren Sie die Benutzeroberfläche. Diese Schnittstelle LAPS Ermöglicht das Anzeigen der von verwalteten Passwörter.

Wenn die LAPS-Installation auf dem Domänencontroller falsch durchgeführt wird, funktioniert LAPS nicht.

Schritte zur Schemaerweiterung für LAPS

LAPSerforderlich von Active Directory (AD) Um Schemaänderungen vorzunehmen Schema-Administrator Sie müssen in der Rolle angemeldet sein. Führen Sie zur Schemaerweiterung die folgenden Befehle mit PowerShell aus:

Import-Module AdmPwd.ps
Update-AdmPwdADSchema

Dieser Prozess Computer zur Klasse ms-MCS-AdmPwd ve ms-MCS-AdmPwdExpirationTime Fügt zwei neue Attribute namens hinzu.

Autorisierung für LAPS

Passwörter Active Directory Die Speicherung erfolgt im Klartext, aus Sicherheitsgründen ist hier eine Autorisierung erforderlich.

ms-MCS-AdmPwd Wert Alle erweiterten Rechte Es kann von allen Benutzern mit Berechtigungen gelesen werden.

Mit dem Befehl „Find-AdmPwdExtendedRight“ können wir alle unsere Benutzer mit diesen Berechtigungen auflisten. Der dafür zu verwendende Befehlssatz lautet wie folgt:

Find-AdmPwdExtendedRights -Identity Desktops | Format-Table ExtendedRightHolders

LAPSUm effektiv zu nutzen, müssen die relevanten OUs (Organisationseinheiten) müssen Sie die erforderlichen Berechtigungen konfigurieren. LAPSDamit es ordnungsgemäß funktioniert, sind folgende Mindestberechtigungen erforderlich:

• auf Computerobjekten Write ms-MCS-AdmPwd, Write ms-MCS-AdmPwdExpirationTime ve Read all properties Berechtigungen.
• Diese Berechtigungen LAPSAuf alle Benutzer oder Gruppen anwenden, die es verwenden werden

• ADSIEdit.mscÖffnen und verbinden Sie sich mit dem Domänennamenskontext.

• Navigieren Sie zu der Organisationseinheit, die Sie bearbeiten möchten, klicken Sie mit der rechten Maustaste und Properties Wählen Sie die Option aus.

• Security Klicken Sie dann auf die Registerkarte Advanced Drück den Knopf.
• Während der Benutzer oder die Gruppe, die Sie einschränken möchten, ausgewählt ist, All Extended Rights deautorisieren.

• Bestätigen Sie die Änderungen und schließen Sie das Fenster.

• ms-MCS-AdmPwd ve ms-MCS-AdmPwdExpirationTime Da ihre Werte geändert wurden, müssen wir den Computerkonten eine Änderungsberechtigung erteilen. Dafür Set-AdmPwdComputerSelfPermissioWir werden den n-Parameter verwenden.

Import-Module AdmPwd.ps
Set-AdmPwdComputerSelfPermission -OrgUnit "Servers"

Dieser Befehl gilt für Computerkonten in der Organisationseinheit „Server“. ms-MCS-AdmPwd ve ms-MCS-AdmPwdExpirationTime Ermöglicht das Ändern von Attributen. Wenn es mehr als eine OU mit demselben Namen gibt oder Sie eine bestimmte OU angeben möchten, müssen Sie den vollständigen Distinguished Name (DN) der OU verwenden.

In manchen Fällen mehr als ein Namensvetter OU es könnte sein. In dieser Situation, DN Es ist wichtig, dass Sie die richtige Organisationseinheit ansprechen Zum Beispiel:

Set-AdmPwdComputerSelfPermission -OrgUnit "OU=Servers,DC=example,DC=com"

LAPS-Informationen sind auf dem RODC nicht verfügbar.

Die Berechtigung „Passwort lesen“ ermöglicht es bestimmten Benutzern oder Gruppen, von LAPS verwaltete Passwörter zu lesen. Sie können Berechtigungen mit PowerShell festlegen:

Import-Module AdmPwd.ps

Set-AdmPwdReadPasswordPermission -OrgUnit "OU=Servers,DC=example,DC=com" -AllowedPrincipals "Cengiz"

Dieser Befehl autorisiert den Benutzer oder die Gruppe mit dem Namen „Cengiz“, die Passwörter der Computer in der von LAPS verwalteten Organisationseinheit „Server“ zu lesen.

Die Berechtigung zum Zurücksetzen von Passwörtern ermöglicht es bestimmten Benutzern oder Gruppen, von LAPS verwaltete Passwörter zurückzusetzen. Diese Berechtigung muss entsprechend den Sicherheitsanforderungen sorgfältig erteilt werden:

Set-AdmPwdResetPasswordPermission -OrgUnit "OU=Servers,DC=example,DC=com" -AllowedPrincipals "Cengiz"

Dieser Befehl autorisiert den Benutzer oder die Gruppe mit dem Namen „Cengiz“, die Passwörter von Computern in der Organisationseinheit „Server“ zurückzusetzen.

RODC (Read-Only Domain Controller): LAPS-Werte sind aus Sicherheitsgründen auf RODC nicht verfügbar. RODC trägt zum Schutz sensibler Daten bei und bietet eingeschränkten Schreibzugriff.

Verwendung von Sicherheitsgruppen: Wenn Sie Berechtigungen zum Lesen und Zurücksetzen von Kennwörtern gewähren, wird empfohlen, eine Sicherheitsgruppe zu erstellen, die diese Berechtigungen enthält. Diese Gruppe vereinfacht die Verwaltung von Berechtigungen und ermöglicht eine erweiterte Sicherheitskontrolle.

Konfigurieren von LAPS mit Gruppenrichtlinien

LAPS (Lokale Administrator-Passwortlösung) Einige Konfigurationen sind erforderlich, um die Verwaltung von Administratorkennwörtern über ein Gruppenrichtlinienobjekt (GPO) zu aktivieren.

Es gibt 4 anpassbare Einstellungen im LAPS-Modul.

• Gruppenrichtlinien-VerwaltungskonsoleOffen .
• LAPS anzuwenden OU (Organisationseinheit) Rechtsklick rein Neues Gruppenrichtlinienobjekt Klicken und klicken Sie auf das Gruppenrichtlinienobjekt „LAPS-RichtlinieGeben Sie ihm einen aussagekräftigen Namen wie „“.
• Über das Navigationsfeld Computer Configuration -> Policies -> Administrative Templates -> LAPS Folgen Sie einfach den Schritten.

Die Richtlinienoptionen, die Sie für LAPS konfigurieren müssen, sind wie folgt:

Passworteinstellungen

• Passwortlänge: Legen Sie die Mindestlänge des Passworts fest (Empfehlung: mindestens 14 Zeichen).
• Passwortalter (Tage): Geben Sie die Anzahl der Tage an, nach denen das Passwort zurückgesetzt werden soll (Empfehlung: 30 Tage).

Name des zu verwaltenden Administratorkontos

• Geben Sie den Namen des zu verwaltenden lokalen Administratorkontos ein. standardmäßig Administrator Konto, Sie können jedoch einen anderen Kontonamen verwenden.

Lassen Sie die Ablaufzeit des Passworts nicht länger als erforderlich zu

• Stellen Sie sicher, dass die Passwortdauer nicht länger als der angegebene Zeitraum ist.

Aktivieren Sie die Kennwortverwaltung für lokale Administratoren

• Diese Einstellung Aktiviert Legen Sie fest, dass LAPS die lokalen Administratorkennwörter automatisch verwaltet.

Nachdem die Konfiguration abgeschlossen ist, muss das Gruppenrichtlinienobjekt auf den Zielcomputern installiert werden, damit es wirksam wird. gpupdate /force Sie können dafür sorgen, dass die Richtlinie sofort wirksam wird, indem Sie den Befehl ausführen.

Um den ordnungsgemäßen Betrieb von LAPS sicherzustellen Active Directory Stellen Sie sicher, dass Ihr Schema entsprechend aktualisiert wird.

Client-Installation für LAPS

LAPS (Lokale Administrator-Passwortlösung) Durch die Bereitstellung auf Ihren Clients können Sie lokale Administratorkennwörter sicher verwalten.

LAPS.msi Wir haben die Datei vom offiziellen Microsoft Download Center heruntergeladen. Wir können die .MSI-Datei, die wir heruntergeladen haben, auch auf den Windows-Clients unserer Domänenmitglieder verwenden.

Platzieren Sie die heruntergeladene Datei in einem freigegebenen Ordner, auf den alle Clients im Netzwerk zugreifen können, zum Beispiel: yourdomainSYSVOLSoftwareLAPS.

• Gruppenrichtlinien-Verwaltungskonsole Öffnen (GPMC).
• Erstellen Sie ein neues Gruppenrichtlinienobjekt oder bearbeiten Sie ein vorhandenes Gruppenrichtlinienobjekt, indem Sie mit der rechten Maustaste auf die Organisationseinheit klicken, in der Sie LAPS bereitstellen möchten.
• Computer Configuration -> Policies -> Software Settings -> Software installation folge deinem Weg.
• Klicken Sie mit der rechten Maustaste New -> Package Wählen Sie es aus und klicken Sie auf den Netzwerkfreigabepfad LAPS.msi Wählen Sie die Datei aus.

• Wählen Sie als Installationstyp „Zugewiesen“ aus. Dadurch wird es beim Neustart des Computers automatisch geladen.

Nachdem Sie die MSI-Datei mit GPO hochgeladen haben, können Sie die Ereignis-ID 12 in der Ereignisanzeige verfolgen.

Wenn für den Kunden GPO veya SCCM Wenn Sie manuell installieren möchten, anstatt es zu verwenden Kunden sollte eingeschaltet sein LAPS Es reicht aus, über die folgenden Module zu verfügen:

• AdmPwd GPO-Erweiterung

Kunden einfach nebenbei CSE Es reicht aus, einen Ordner zu haben.

Passwort auf LAPS anzeigen

LAPS-Benutzeroberfläche (Local Administrator Password Solution User Interface) Die Verwendung des Exchange-Servers oder eines beliebigen Domänenmitgliedsservers zur Verwaltung des Passworts des lokalen Administratorkontos ist über eine visuelle Schnittstelle einfach und sicher.

Wenn Sie LAPS UI noch nicht installiert haben, laden Sie zunächst das LAPS-Paket aus dem offiziellen Downloadcenter von Microsoft herunter und installieren Sie das darin enthaltene LAPS UI-Modul.

• Aus dem Startmenü LAPS-Benutzeroberfläche Suchen Sie nach dem Programm und führen Sie es aus.

• Geben Sie in der sich öffnenden LAPS-Benutzeroberfläche den Namen des Servers ein, dessen Passwort Sie verwalten möchten, oder geben Sie ihn ein, um ihn zu finden. Suche Benutzen Sie die Schaltfläche.
• Nachdem der Server gefunden wurde, werden die Informationen in der Benutzeroberfläche aktualisiert und das Passwort des aktuellen lokalen Administratorkontos wird auf dem Bildschirm angezeigt.

Nach diesen Konfigurationen und Installation in unserer Umgebung Domain Sie können das Passwort des lokalen Kontos aller Kunden verwalten, die Mitglied sind. Sie können diesen Vorgang über Powershell oder GUI ausführen.

• Öffnen Sie das Tool Active Directory-Benutzer und -Computer (ADUC).
• Klicken Sie mit der rechten Maustaste auf das entsprechende Computerkonto und FerienhäuserGehe zu .
• Attributeditor Öffnen Sie die Registerkarte.
• ms-Mcs-AdmPwd (von LAPS verwaltetes Passwort) und ms-Mcs-AdmPwdExpirationTime Überprüfen Sie die Attribute (Gültigkeitsdauer des Passworts).

Wir haben die lokale Passwortverwaltung mit einer detaillierten LAPS-Installation zentralisiert. Über die folgenden Links finden Sie unsere anderen Artikel über Active Directory.

• Microsoft KB5020276 Netjoin Domain Join-Härtungsänderungen – Cengiz YILMAZ
• Was ist GMSA (Group Managed Service Accounts) und wie wird es konfiguriert? – Cengiz YILMAZ

Ähnliche Artikel – LAPS-Installation und -Konfiguration

• Microsoft Azure Arc: Hybrid- und Multi-Cloud-Management
• Gruppenbasierte Microsoft 365-Lizenzierung
• Windows Server RDS Temp Wir können uns nicht bei Ihrem Konto anmelden
• Die Bereitstellung der Linux-Geräteunterstützung in Microsoft Intune hat begonnen