Willkommen bei SCHROETER|EDV
headerimage

Beschreibung

diese Kurzbeschreibung soll die Schritte darstellen, wie Sie in einer AD Umgebung das Microsoft Tool LAPS installieren und verwenden können.

Die Beschreibung wurde in einer Testumgebung getestet.

 

Schritte - LAPS Verteilen:

  1. Erstellen Sie eine neue GPO mit einem eindeutigen Namen: SW-Deploy-LAPS4Clients
  2. Erstellen Sie eine neue Softwarezuweisung.

    Anwendungsbeispiel LAPS - SW Zuweisung via GPO
    Bild zur Vergrößerung anklicken...


  3. Speichern Sie getätigten Zuweisungen und verrechten die GPO auf die OU der Clients.

 

Schritte:

  1. Installieren Sie (Komplett) die LAPS MSI (64bit) auf einem ActiveDirectory Controller.
  2. Öffnen Sie eine PS-Console mit administrativen Rechten und führen folgende Kommando's aus:

    Import-Module AdmPwd.PS
    Update-AdmPwdADSchema -Verbose

    Anwendungsbeispiel LAPS - PowerShell Enviroment Vorbereitung
    Bild zur Vergrößerung anklicken...

    Somit haben Sie das AD Schema für die Verwendung vorbereitet.

    HINWEIS: Wenn Sie das Update Kommando ohne Verbose erneut ausführen, können Sie kontrollieren ob das Schema angepasst worden ist.


  3. Erstellen Sie eine AD Sicherheitsgruppe mit einem eindeutigen Namen für den gewünschten Zweck:

    sec-lab-local-laps

    Beschreibung: Mitglieder dieser Gruppe sind für die Verwendung von LAPS verrechtet!


  4. Führen Sie folgende PowerShell Kommando's aus:

    In Welcher OU LAPS angewendet werden soll:
    Set-AdmPwdComputerSelfPermission -OrgUnit "OU=Clients,OU=lab,DC=lab,DC=int"

    Wer darf LAPS auslesen:
    Set-AdmPwdAuditing -OrgUnit "OU=Clients,OU=lab,DC=lab,DC=int" -AuditedPrincipals sec-lab-local-laps -AuditType Success,failure

    Wer darf LAPS verwenden:
    Set-AdmPwdReadPasswordPermission -Orgunit "OU=Clients,OU=lab,DC=lab,DC=int" -AllowedPrincipals Administratoren,sec-lab-local-laps

    Wer dard in LAPS ein Reset durchführen:
    Set-AdmPwdResetPasswordPermission -Orgunit "OU=Clients,OU=lab,DC=lab,DC=int" -AllowedPrincipals Administratoren,sec-lab-local-laps

    Anwendungsbeispiel LAPS - PowerShell Delegierungen
    Bild zur Vergrößerung anklicken...


  5. Überprüfen Sie anhand ihres PolicyDefinitions Verzeichnisses, ob die folgendes GPO Templates vorhanden sind:

    AdmPwd.admx (Template)
    AdmPwd.adml (Language Paket in en-us Verzeichnis)

    HINWEIS: sollten diese Dateien nicht vorhanden sein und Sie besitzen kein Central Policy Directory, finden Sie die Datein unter: %WINDIR%\PolicyDefinitions


  6. Erstellen Sie eine neue GPO Richtlinie mit einem eindeutigen Namen: Bsp.: Client-Sec-LAPS4Clients
  7. Öffnen Sie diese neue Richtlinie und navigieren in das folgende Verzeichnis:

    Computerkonfiguration\Richtlinien\Administrative Vorlagen\LAPS


  8. Aktivieren Sie folgende Richtlinie(n):
    • Passwort Settings
       
      Anwendungsbeispiel LAPS - GPO PW Settings
      Bild zur Vergrößerung anklicken...

    • Name of administrator account to manage [Optional]
    • Enable local admin password management - Um LAPS zu aktivieren

      Anwendungsbeispiel LAPS - GPO LAPS Zusammenfassung
      Bild zur Vergrößerung anklicken...


  9. Schließen Sie die Bearbeitung der GPO ab und verknüpfen diese mit der gewünschten OU der Clients.

 

Wenn Sie die oben genannten Schritte durchgeführt haben, wurde LAPS erfolgreich im AD Integriert.

 

Sie können mit folgendem Kommando die auf den Maschinen, lokal generierten Kennwörter abfragen und verwenden:

Get-ADComputer -LdapFilter "(ms-Mcs-AdmPwd=*)" -Properties Name,ms-Mcs-AdmPwd | ft Name,ms-Mcs-AdmPwd -AutoSize

Anwendungsbeispiel LAPS per PowerShell
Bild zur Vergrößerung anklicken...

Oder mit dem vom Tool mitgelieferten Utility

Anwendungsbeispiel LAPS per GUI
Bild zur Vergrößerung anklicken...

 


Quelle: https://www.infrastrukturhelden.de/microsoft-infrastruktur/microsoft-windows/server/local-administrator-password-solution-laps.html

Info 1: https://www.msxfaq.de/windows/endpointsecurity/laps.htm

Info 2: https://sid-500.com/2017/08/25/active-directory-installing-and-configuring-local-administrator-password-solution-laps

Info 3: https://sysadms.de/2018/11/windows-admin-kennwort-mit-laps-zentral-verwalten

Local Administrator Password Solution (LAPS)
https://www.microsoft.com/en-us/download/details.aspx?id=46899

Inhaltsverzeichnis

nach oben