Beschreibung
diese Kurzbeschreibung soll die Schritte darstellen, wie Sie in einer Active Directory Umgebung, wenn LAPS eingesetzt wird Updaten können.
Hintergrund:
LAPS ist ein administratives Werkzeug. Diese wurde nun durch ein Update mit einer vielzahl an neuen Features ausgestattet (Siehe Info Link). Es ist nicht zwingend notwendig dieses zu Updaten, aber es erleichtert den Umstieg, wenn geplant wird das Azure Active Directory (AAD) zu verwenden! Seit dem Microsoft Update 04/2023 ist LAPS ein Bestandteil des OS geworden.
Folgende Vorrausetzungen müssen für den Einsatz der neuen Version gegeben sein:
-
2023-04 Cumulative Update
KB5025297 - Win 10 22H2
KB5025298 - Win 11
KB5025285 - Win 2012 (Fals noch Produktiv im Einsatz)
KB5025228 - Win 2016
KB5025229 - Win 2019
KB5025230 - Win 2022 - Das Domain Function Level (DFL) muss die Version 2016 haben, wenn die Kennwörter verschlüsselt im AD gespeichert werden sollen
- Das Schema Update muss von einem Windows 11 Client oder einem Windows 2019 Server ausgeführt werden
HINWEIS: Vor oder während des Schema Updates muss die Kennwort Encrytion deaktivert sein! - Für die Umsetzung muss das Windows OS 2019 vorhanden sein, um die PowerShell Commands anwenden zu können
HINWEIS: Wenn Sie einen Central Store für die GPOs verwenden, muss das neue ADMX Template aus dem April Update 04/2023 kopiert werden!
Die Schritte wurden in eine OnPrem Testumgebung zuvor getestet.
Schritte - Update der ADMX Templates:
- Melden Sie sich an einem Domain Controller an.
- Öffnen Sie den Windows Explorer und navigieren in das folgende Verzeichnis: %windir%\PolicyDefinitions
- Kopieren Sie die "LAPS.admx" und aus dem US-en Verzeichnis die "LAPS.adml" in den Central Store.
Tipp: beziehen Sie sich von einem Windows 11 Client aus dem Selben Verzeichnis aus dem "LAPS.adml" Datei aus dem "de-DE" Ordner
Schritte - Module und Schema Update:
- Melden Sie sich an einem Domain Controller an.
- Öffnen Sie eine PS-Console mit administrativen Rechten.
- Importieren Sie das LAPS Modul: ipmo LAPS
- Überprüfen Sie ob das LAPS Modul und die Commands geladen wurden: gcm -Module LAPS
- Führen Sie das ADSchema Update durch: Update-LapsADSchema
Bestätigen Sie den Vorgang mit: A - Überprüfen Sie das Schema Update mittels foglendem Command:
Update-LapsAdSchema -Verbose
....
AUSFÜHRLICH: The 'computer' classSchema already has a required mayContain: msLAPS-PasswordExpirationTime
AUSFÜHRLICH: The 'computer' classSchema already has a required mayContain: msLAPS-Password
AUSFÜHRLICH: The 'computer' classSchema already has a required mayContain: msLAPS-EncryptedPassword
AUSFÜHRLICH: The 'computer' classSchema already has a required mayContain: msLAPS-EncryptedPasswordHistory
AUSFÜHRLICH: The 'computer' classSchema already has a required mayContain: msLAPS-EncryptedDSRMPassword
AUSFÜHRLICH: The 'computer' classSchema already has a required mayContain: msLAPS-EncryptedDSRMPasswordHistory
AUSFÜHRLICH: The 'computer' classSchema already has all expected LAPS-related mayContains
AUSFÜHRLICH:
AUSFÜHRLICH: ProcessRecord completed
AUSFÜHRLICH:
AUSFÜHRLICH: EndProcessing started
AUSFÜHRLICH: EndProcessing completed - Prüfen Sie anhand eines Windows 10/11 AD Objekt, ob die neuen Attribute gelistet sind:
msLAPS-EncryptedDSRMPasswordHistory
msLAPS-EncryptedDSRMPassword
msLAPS-EncryptedPasswordHistory
msLAPS-EncryptedPassword
msLAPS-Password = legacy: ms-Mcs-AdmPwd
msLAPS-PasswordExpirationTime = legacy: ms-Mcs-AdmPwdExpirationTime
Schritte - Berechtigung anpassen:
- Melden Sie sich an einem Domain Controller an.
- Öffnen Sie eine PS-Console mit administrativen Rechten.
- Geben Sie die OU an, in der sich die AD Objekte befinden, die mittels LAPS verrechtet werden sollen:
Set-LapsADComputerSelfPermission -Identity "<DistinguishedName>"
Bsp.: Set-LapsADComputerSelfPermission -Identity "OU=lab,DC=lab,DC=int" - Geben Sie die AD-Sicherheitsgruppen an, welche das LAPS PW auslesen dürfen:
Set-LapsADReadPasswordPermission -Identity "<DistinguishedName>" -AllowedPrincipals <AD-Sicherheitsgruppe> ODER <DomainName>\<AD-Sicherheitsgruppe>
Bsp.: Set-LapsADReadPasswordPermission -Identity "OU=groups,DC=lab,DC=int" -AllowedPrincipals lab.int\sec-LAPSAdmins
Bsp.: Set-LapsADReadPasswordPermission -Identity "CN=Users,DC=lab,DC=int" -AllowedPrincipals Domänen-Admins
Bsp.: Set-LapsADReadPasswordPermission -Identity "OU=groups,OU=lab,DC=lab,DC=int" -AllowedPrincipals lab.int\sec-lab-helpdesk - Geben Sie die AD-Sicherheitsgruppen an, welche das LAPS PW Zurücksetzen dürfen:
Set-LapsADResetPasswordPermission -Identity "<DistinguishedName>" -AllowedPrincipals <AD-Sicherheitsgruppe> ODER <DomainName>\<AD-Sicherheitsgruppe>
Bsp.: Set-LapsADResetPasswordPermission -Identity "CN=Users,DC=lab,DC=int" -AllowedPrincipals Domänen-Admins
Bsp.: Set-LapsADResetPasswordPermission -Identity "OU=groups,DC=lab,DC=int" -AllowedPrincipals lab.int\sec-LAPSAdmins
Schritte - Anpassen der vorhandenen GPO:
- Melden Sie sich an einem Domain Controller an.
- Öffnen Sie die Gruppenrichtlinien MMC und bearbeiten die GPO für die LAPS Einstellungen:
Bsp.: Clients-Sec-LAPS4Clients - Navigieren Sie in das folgende Verzeichnis:
Computerkonfiguration > Administrative Vorlagen > LAPS
Deaktivieren Sie die Regel: Enable local admin password management - Wechseln Sie in folgendes Verzeichnis:
Computerkonfiguration > Administrative Vorlagen > System > LAPS
Aktivieren Sie folgende Regel: Kennwortsicherungsverzeichnis konfigurieren
(Engl.: Configure password backup directory) - Geben Sie das Verzeichnis an, indem das Kennwort hinterlegt werden soll.
In diesem Bsp.: Active Directory
Die Restlichen Einstellungen wurden anhand der unten gelisteten Info's und den vorherigen LAPS Settings konfiguriert.
Wenn Sie die oben gelisteten Schritte umgesetzt haben und auf Client Seite ein "gpupdate /force" umgesetzt wurde, kann mittels PowerShell der Client geprüft werden und über die "Benutzer und Computer" MMC, über die Eigenschaften der Reiter LAPS angewendet werden.
get-lapsadpassword -identity <ClientName>
get-lapsadpassword -identity <ClientName> -AsPlainText
Info: https://www.gruppenrichtlinien.de/artikel/migration-laps-legacy-zu-laps-nativ