Local Administrator Password Solution (LAPS) – Verwalten der Built-In Administrator Passwörter

Microsoft hat die LAPS (Local Administrator Password Solution) ins eigene Portfolio aufgenommen!

Da es bekanntlich keine gute Idee ist, die lokalen (Built-In) Administratoren alle mit dem gleichen Passwort zu versehen sowie auf ein regelmäßiges Ändern der Passwörter zu verzichten, gibt es mittlerweile von Microsoft die Local Administrator Password Solution (LAPS).

Der LAPS Download befindet sich hier: https://www.microsoft.com/en-us/download/details.aspx?id=46899

Das Tool bringt eine Client Side Extension mit, die auf den zu verwaltenden Clients installiert werden muss. Sprich auf den Domänen Computern der User / den Member Servern. Zur Installation der CSE empfiehlt es sich das MSI Paket per WSUS und WPP an die entsprechenden Computer / Server zu verteilen. Alternativ lässt sich die CSE auch per GPO oder Script im Silent-Modus (LAPS.x64.msi /quiet) auf die Clients bringen.

LAPS Client Side Extension
LAPS Client Side Extension

Auf dem Management-Host werden dann die entsprechenden LAPS Management Tools installiert.

LAPS Management Tools
LAPS Management Tools

Damit die Computer-Objekte im AD das neue lokale Administrator Passwort sowie das Ablaufdatum speichern können, muss das Active Directory Schema erweitert werden. Die Erweiterung des Schemas erfolgt über das eben installierte PowerShell Module (AdmPwd.PS).

# Modul importieren
Import-Module AdmPwd.PS
 
# Eine Übersicht der neuen Commands
Get-Command -Module AdmPwd.PS
 
# Update des Active Directory Schema starten
Update-AdmPwdADSchema

Da im Active Directory per Default „Jeder“ das Recht hat sich sehr viele Eigenschaften der AD-Objekte anzusehen, muss den nicht administrativen Gruppen ggfs. das Recht entzogen werden, sich das neu erstellte Feld ms-Mcs-AdmPwd anzusehen.

Dazu das Snap-In Active Directory-Benutzer- und -Computer (dsa.msc) starten und untern „Ansicht“ -> „Erweiterte Features“ aktivieren. Als nächstes muss auf der entsprechenden OU in den „Eigenschaften“ unter „Sicherheit“ -> „Erweitert“ den entsprechenden Gruppen (falls es welche mit dem Recht „Alle erweiterten Rechte“ gibt) die Berechtigung entziehen.

AD Berechtigungen anpassen
AD Berechtigungen anpassen

Im nächsten Schritt muss den Computern mittels PowerShell Script erlaubt werden, die Passwörter zu ändern.

Set-AdmPwdComputerSelfPermission
Set-AdmPwdComputerSelfPermission
Set-AdmPwdComputerSelfPermission -OrgUnit "OU=<OU mit den Computern>,DC=<Domain>,DC=<tld>"

Des Weiteren muss noch bestimmt werden, wer alles Zugriff auf die generierten Passwörter bekommen soll.

Set-AdmPwdReadPasswordPermission
Set-AdmPwdReadPasswordPermission
Set-AdmPwdReadPasswordPermission -OrgUnit "OU=<OU mit den Computern>,DC=<Domain>,DC=<tld>" -AllowedPrincipals "<Gruppe>"

Um zu guter letzt alles scharf zu schalten muss noch eine neue Gruppenrichtlinie erstellt / eine vorhandene Gruppenrichtlinie bearbeitet werden. Dazu von einem PC / Server mit der Gruppenrichtlinienverwaltungskonsole (gpmc.msc) starten und unter „Computerkonfiguration“ -> „Richtlinien“ -> „Administrative Vorlagen“ -> „LAPS

LAPS GPO
LAPS GPO

Password Settings:

  • Password Complexity: Large letters + small letters + numbers + specials
  • Password Length: 14
  • Password Age (Days): 30

Name of Administrator Account to manage: Nicht konfiguriert

Do not allow Password expiration Time longer than required by policy: Aktiviert

Enable local Admin Password Management: Aktiviert

Um sich die automatisch generierten Passwörter anzusehen gibt es jetzt zwei Möglichkeiten. Zum Einen kann man im Active Directory im Attribut-Editor das Feld „ms-Mcs-AdmPwd“ suchen und dort das Passwort ablesen oder man benutzt den LAPS (Local Administrator Password Solution) Fat Client „LAPS UI“. Zum Anderen kann man sich natürlich auch der PowerShell bedienen und das entsprechende Feld mithilfe von „Get-ADComputer“ auslesen.

Passwort auslesen
Passwort auslesen
Get-ADComputer <Computer> -Properties ms-Mcs-AdmPwd | Select Name, ms-Mcs-AdmPwd

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.