Startseite > Dokumentation > Microsoft > AD Allgemeine Artikel > Active Directory - Installation und Default Einrichtung von LAPS für lokale Administrator Kennungen
 
 
 
 

Active Directory - Installation und Default Einrichtung von LAPS für lokale Administrator Kennungen


Beschreibung

diese Kurzbeschreibung soll die Schritte darstellen, wie Sie in einer AD Umgebung das Microsoft Tool LAPS installieren und verwenden können.

Die Beschreibung wurde in einer Testumgebung getestet.


Schritte:

  1. Installieren Sie (Komplett) die LAPS MSI auf einer Admin Maschine oder einem ActiveDirectory Controller.
  2. Öffnen Sie eine PS-Console mit administrativen Rechten und führen folgende Kommando's aus:

    Import-Module AdmPwd.PS
    Update-AdmPwdADSchema -Verbose

    Somit haben Sie das AD Schema für die Verwendung vorbereitet.

    HINWEIS: Wenn Sie das Update Kommando ohne Verbose erneut ausführen, können Sie kontrollieren ob das Schema angepasst worden ist.


  3. Erstellen Sie eine AD Sicherheitsgruppe mit einem eindeutigen Namen für den gewünschten Zweck: Bsp. sec-lab-local-laps
  4. Führen Sie folgende PowerShell Kommando's aus:

    In Welcher OU LAPS angewendet werden soll:
    Set-AdmPwdComputerSelfPermission -OrgUnit "OU=Clients,OU=lab,DC=lab,DC=int"

    Wer darf LAPS auslesen:
    Set-AdmPwdAuditing -OrgUnit "OU=Clients,OU=lab,DC=lab,DC=int" -AuditedPrincipals sec-lab-local-laps -AuditType Success,failure

    Wer darf LAPS verwenden:
    Set-AdmPwdReadPasswordPermission -Orgunit "OU=Clients,OU=lab,DC=lab,DC=int" -AllowedPrincipals Administratoren,sec-lab-local-laps

    Wer dard in LAPS ein Reset durchführen:
    Set-AdmPwdResetPasswordPermission -Orgunit "OU=Clients,OU=lab,DC=lab,DC=int" -AllowedPrincipals Administratoren,sec-lab-local-laps


  5. Überprüfen Sie anhand ihres PolicyDefinitions Verzeichnisses, ob die folgendes GPO Templates vorhanden sind:

    AdmPwd.admx (Template)
    AdmPwd.adml (Language Paket in en-us Verzeichnis)

    HINWEIS: sollten diese Dateien nicht vorhanden sein und Sie besitzen kein Central Policy Directory, finden Sie die Datein unter: %WINDIR%\PolicyDefinitions


  6. Erstellen Sie eine neue GPO Richtlinie mit einem eindeutigen Namen: Bsp.: AD-Sec-LAPS4Clients
  7. Öffnen Sie die neu erstellte Richtlinie und navigieren in das folgende Verzeichnis: Computerkonfiguration\Richtlinien\Administrative Vorlagen\LAPS
  8. Aktivieren Sie die für Sie gewünschten Richtlinien. In diesem Test wurden alle bis auf die "Name of administrator account to manage".
    Diese ist lediglich notwendig, wenn Sie einen eigenen, lokalen User mit spezifischen Account Namen definieren wollen.

  9. Navigieren Sie in den Registry Part der Computerkonfiguration und erstellen einen neuen Registry Eintrag:

    Aktion: Aktualisieren
    Struktur: HKEY_LOCAL_MACHINE
    Schlüsselpfad: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}
    Name: ExtensionDebugLevel
    Werttyp: REG_DWORD
    Wertdaten: 00000002

    LAPS Registry Eintrag für Debuging
    Bild zur Vergrößerung anklicken...


  10. Schließen Sie die Bearbeitung der GPO ab und verknüpfen diese mit der gewünschten OU der Clients.


Wenn Sie die oben genannten Schritte durchgeführt haben, wurde LAPS erfolgreich im AD Integriert und Sie können mit folgendem Kommando die auf den Maschinen, lokal generierten Kennwörter abfragen und verwenden:

Get-ADComputer -LdapFilter "(ms-Mcs-AdmPwd=*)" -Properties Name,ms-Mcs-AdmPwd | ft Name,ms-Mcs-AdmPwd -AutoSize

Anwendungsbeispiel LAPS per PowerShell
Bild zur Vergrößerung anklicken...

Oder mit dem vom Tool mitgelieferten Utility

Anwendungsbeispiel LAPS per GUI
Bild zur Vergrößerung anklicken...

 


Quelle: https://www.infrastrukturhelden.de/microsoft-infrastruktur/microsoft-windows/server/local-administrator-password-solution-laps.html

Info 1: https://www.msxfaq.de/windows/endpointsecurity/laps.htm

Info 2: https://sid-500.com/2017/08/25/active-directory-installing-and-configuring-local-administrator-password-solution-laps

Local Administrator Password Solution (LAPS)
https://www.microsoft.com/en-us/download/details.aspx?id=46899