X

Login

Administrationsbereich.

Bitte Passwort eingeben.

!!! JavaScript und Cookies müssen aktiviert sein !!!
Name (optional):

Passwort:


Beschreibung

diese Kurzbeschreibung soll die Schritte darstellen, wie Sie in einer Active Directory Umgebung, wenn LAPS eingesetzt wird Updaten können.

Hintergrund:
LAPS ist ein administratives Werkzeug. Diese wurde nun durch ein Update mit einer vielzahl an neuen Features ausgestattet (Siehe Info Link). Es ist nicht zwingend notwendig dieses zu Updaten, aber es erleichtert den Umstieg, wenn geplant wird das Azure Active Directory (AAD) zu verwenden! Seit dem Microsoft Update 04/2023 ist LAPS ein Bestandteil des OS geworden.

Folgende Vorrausetzungen müssen für den Einsatz der neuen Version gegeben sein:

  • 2023-04 Cumulative Update

    KB5025297 - Win 10 22H2
    KB5025298 - Win 11
    KB5025285 - Win 2012 (Fals noch Produktiv im Einsatz)
    KB5025228 - Win 2016
    KB5025229 - Win 2019
    KB5025230 - Win 2022

  • Das Domain Function Level (DFL) muss die Version 2016 haben, wenn die Kennwörter verschlüsselt im AD gespeichert werden sollen
  • Das Schema Update muss von einem Windows 11 Client oder einem Windows 2019 Server ausgeführt werden
    HINWEIS: Vor oder während des Schema Updates muss die Kennwort Encrytion deaktivert sein!
  • Für die Umsetzung muss das Windows OS 2019 vorhanden sein, um die PowerShell Commands anwenden zu können


HINWEIS: Wenn Sie einen Central Store für die GPOs verwenden, muss das neue ADMX Template aus dem April Update 04/2023 kopiert werden!

Die Schritte wurden in eine OnPrem Testumgebung zuvor getestet.


Schritte - Update der ADMX Templates:

  1. Melden Sie sich an einem Domain Controller an.
  2. Öffnen Sie den Windows Explorer und navigieren in das folgende Verzeichnis: %windir%\PolicyDefinitions
  3. Kopieren Sie die "LAPS.admx" und aus dem US-en Verzeichnis die "LAPS.adml" in den Central Store.

    Tipp: beziehen Sie sich von einem Windows 11 Client aus dem Selben Verzeichnis aus dem "LAPS.adml" Datei aus dem "de-DE" Ordner

 

Schritte - Module und Schema Update:

  1. Melden Sie sich an einem Domain Controller an.
  2. Öffnen Sie eine PS-Console mit administrativen Rechten.
  3. Importieren Sie das LAPS Modul: ipmo LAPS
  4. Überprüfen Sie ob das LAPS Modul und die Commands geladen wurden: gcm -Module LAPS
  5. Führen Sie das ADSchema Update durch: Update-LapsADSchema
    Bestätigen Sie den Vorgang mit: A

  6. Überprüfen Sie das Schema Update mittels foglendem Command:

    Update-LapsAdSchema -Verbose

    ....
    AUSFÜHRLICH: The 'computer' classSchema already has a required mayContain: msLAPS-PasswordExpirationTime
    AUSFÜHRLICH: The 'computer' classSchema already has a required mayContain: msLAPS-Password
    AUSFÜHRLICH: The 'computer' classSchema already has a required mayContain: msLAPS-EncryptedPassword
    AUSFÜHRLICH: The 'computer' classSchema already has a required mayContain: msLAPS-EncryptedPasswordHistory
    AUSFÜHRLICH: The 'computer' classSchema already has a required mayContain: msLAPS-EncryptedDSRMPassword
    AUSFÜHRLICH: The 'computer' classSchema already has a required mayContain: msLAPS-EncryptedDSRMPasswordHistory
    AUSFÜHRLICH: The 'computer' classSchema already has all expected LAPS-related mayContains
    AUSFÜHRLICH:
    AUSFÜHRLICH: ProcessRecord completed
    AUSFÜHRLICH:
    AUSFÜHRLICH: EndProcessing started
    AUSFÜHRLICH: EndProcessing completed

  7. Prüfen Sie anhand eines Windows 10/11 AD Objekt, ob die neuen Attribute gelistet sind:

    msLAPS-EncryptedDSRMPasswordHistory
    msLAPS-EncryptedDSRMPassword
    msLAPS-EncryptedPasswordHistory
    msLAPS-EncryptedPassword
    msLAPS-Password = legacy: ms-Mcs-AdmPwd
    msLAPS-PasswordExpirationTime = legacy: ms-Mcs-AdmPwdExpirationTime

 

 

Schritte - Berechtigung anpassen:

  1. Melden Sie sich an einem Domain Controller an.
  2. Öffnen Sie eine PS-Console mit administrativen Rechten.
  3. Geben Sie die OU an, in der sich die AD Objekte befinden, die mittels LAPS verrechtet werden sollen:

    Set-LapsADComputerSelfPermission -Identity "<DistinguishedName>"
    Bsp.: Set-LapsADComputerSelfPermission -Identity "OU=lab,DC=lab,DC=int"

  4. Geben Sie die AD-Sicherheitsgruppen an, welche das LAPS PW auslesen dürfen:

    Set-LapsADReadPasswordPermission -Identity "<DistinguishedName>" -AllowedPrincipals <AD-Sicherheitsgruppe> ODER <DomainName>\<AD-Sicherheitsgruppe>

    Bsp.: Set-LapsADReadPasswordPermission -Identity "OU=groups,DC=lab,DC=int" -AllowedPrincipals lab.int\sec-LAPSAdmins
    Bsp.: Set-LapsADReadPasswordPermission -Identity "CN=Users,DC=lab,DC=int" -AllowedPrincipals Domänen-Admins
    Bsp.: Set-LapsADReadPasswordPermission -Identity "OU=groups,OU=lab,DC=lab,DC=int" -AllowedPrincipals lab.int\sec-lab-helpdesk

  5. Geben Sie die AD-Sicherheitsgruppen an, welche das LAPS PW Zurücksetzen dürfen:

    Set-LapsADResetPasswordPermission -Identity "<DistinguishedName>" -AllowedPrincipals <AD-Sicherheitsgruppe> ODER <DomainName>\<AD-Sicherheitsgruppe>

    Bsp.: Set-LapsADResetPasswordPermission -Identity "CN=Users,DC=lab,DC=int" -AllowedPrincipals Domänen-Admins
    Bsp.: Set-LapsADResetPasswordPermission -Identity "OU=groups,DC=lab,DC=int" -AllowedPrincipals lab.int\sec-LAPSAdmins

 

Schritte - Anpassen der vorhandenen GPO:

  1. Melden Sie sich an einem Domain Controller an.
  2. Öffnen Sie die Gruppenrichtlinien MMC und bearbeiten die GPO für die LAPS Einstellungen:

    Bsp.: Clients-Sec-LAPS4Clients

  3. Navigieren Sie in das folgende Verzeichnis:

    Computerkonfiguration > Administrative Vorlagen > LAPS

    Deaktivieren Sie die Regel: Enable local admin password management

  4. Wechseln Sie in folgendes Verzeichnis:

    Computerkonfiguration > Administrative Vorlagen > System > LAPS

    Aktivieren Sie folgende Regel: Kennwortsicherungsverzeichnis konfigurieren
    (Engl.: Configure password backup directory)

  5. Geben Sie das Verzeichnis an, indem das Kennwort hinterlegt werden soll.
    In diesem Bsp.: Active Directory

    Die Restlichen Einstellungen wurden anhand der unten gelisteten Info's und den vorherigen LAPS Settings konfiguriert.

 

Wenn Sie die oben gelisteten Schritte umgesetzt haben und auf Client Seite ein "gpupdate /force" umgesetzt wurde, kann mittels PowerShell der Client geprüft werden und über die "Benutzer und Computer" MMC, über die Eigenschaften der Reiter LAPS angewendet werden.

get-lapsadpassword -identity <ClientName>
get-lapsadpassword -identity <ClientName> -AsPlainText

 

Quelle: https://techcommunity.microsoft.com/t5/windows-it-pro-blog/by-popular-demand-windows-laps-available-now/ba-p/3788747

Info: https://www.gruppenrichtlinien.de/artikel/migration-laps-legacy-zu-laps-nativ

Info: https://www.alitajran.com/windows-laps/

Info: https://4sysops.com/archives/windows-laps-now-part-of-the-os-new-password-security-features-included/

Inhaltsverzeichnis

nach oben