– Jan's Cloud – online Gedankenstütze ;)

3. Juni 2015

Local Administrator Password Solution (LAPS) – Verwalten der Built-In Administrator Passwörter

Da es bekanntlich keine gute Idee ist, die lokalen (Built-In) Administratoren alle mit dem gleichen Passwort zu versehen sowie auf ein regelmäßiges Ändern der Passwörter zu verzichten, gibt es mittlerweile von Microsoft die Local Administrator Password Solution (LAPS).

Der LAPS Download befindet sich hier: https://www.microsoft.com/en-us/download/details.aspx?id=46899

Das Tool bringt eine Client Side Extension mit, die auf den zu verwaltenden Clients installiert werden muss. Sprich auf den Domänen Computern der User / den Member Servern. Zur Installation der CSE empfiehlt es sich das MSI Paket per WSUS und WPP an die entsprechenden Computer / Server zu verteilen. Alternativ lässt sich die CSE auch per GPO oder Script im Silent-Modus (LAPS.x64.msi /quiet) auf die Clients bringen.

LAPS Client Side Extension

LAPS Client Side Extension

 

 

 

 

 

 

 

 

Auf dem Management-Host werden dann die entsprechenden LAPS Management Tools installiert.

LAPS Management Tools

LAPS Management Tools

 

 

 

 

 

 

 

 

Damit die Computer-Objekte im AD das neue lokale Administrator Passwort sowie das Ablaufdatum speichern können, muss das Active Directory Schema erweitert werden. Die Erweiterung des Schemas erfolgt über das eben installierte PowerShell Module (AdmPwd.PS).

AdmPwd PS PowerShell Modul

AdmPwd PS PowerShell Modul

 

 

 

 

 

Update-AdmPwdADSchema

Update-AdmPwdADSchema

 

 

 

# Modul importieren
Import-Module AdmPwd.PS

# Eine Übersicht der neuen Commands
Get-Command -Module AdmPwd.PS

# Update des Active Directory Schema starten
Update-AdmPwdADSchema

Da im Active Directory per Default „Jeder“ das Recht hat sich sehr viele Eigenschaften der AD-Objekte anzusehen, muss den nicht administrativen Gruppen ggfs. das Recht entzogen werden, sich das neu erstellte Feld ms-Mcs-AdmPwd anzusehen.

Dazu das Snap-In Active Directory-Benutzer- und -Computer (dsa.msc) starten und untern „Ansicht“ -> „Erweiterte Features“ aktivieren. Als nächstes muss auf der entsprechenden OU in den „Eigenschaften“ unter „Sicherheit“ -> „Erweitert“ den entsprechenden Gruppen (falls es welche mit dem Recht „Alle erweiterten Rechte“ gibt) die Berechtigung entziehen.

AD Berechtigungen anpassen

AD Berechtigungen anpassen

 

 

 

 

 

 

 

 

Im nächsten Schritt muss den Computern mittels PowerShell Script erlaubt werden, die Passwörter zu ändern.

Set-AdmPwdComputerSelfPermission

Set-AdmPwdComputerSelfPermission

 

 

 

Set-AdmPwdComputerSelfPermission -OrgUnit "OU=<OU mit den Computern>,DC=<Domain>,DC=<tld>"

Des Weiteren muss noch bestimmt werden, wer alles Zugriff auf die generierten Passwörter bekommen soll.

Set-AdmPwdReadPasswordPermission

Set-AdmPwdReadPasswordPermission

 

 

 

Set-AdmPwdReadPasswordPermission -OrgUnit "OU=<OU mit den Computern>,DC=<Domain>,DC=<tld>" -AllowedPrincipals "<Gruppe>"

Um zu guter letzt alles scharf zu schalten muss noch eine neue Gruppenrichtlinie erstellt / eine vorhandene Gruppenrichtlinie bearbeitet werden. Dazu von einem PC / Server mit der Gruppenrichtlinienverwaltungskonsole (gpmc.msc) starten und unter „Computerkonfiguration“ -> „Richtlinien“ -> „Administrative Vorlagen“ -> „LAPS

LAPS GPO

LAPS GPO

 

 

 

Password Settings:

  • Password Complexity: Large letters + small letters + numbers + specials
  • Password Length: 14
  • Password Age (Days): 30

Name of Administrator Account to manage: Nicht konfiguriert

Do not allow Password expiration Time longer than required by policy: Aktiviert

Enable local Admin Password Management: Aktiviert

Um sich die automatisch generierten Passwörter anzusehen gibt es jetzt zwei Möglichkeiten. Zum Einen kann man im Active Directory im Attribut-Editor das Feld „ms-Mcs-AdmPwd“ suchen und dort das Passwort ablesen oder man benutzt den LAPS (Local Administrator Password Solution) Fat Client „LAPS UI“. Zum Anderen kann man sich natürlich auch der PowerShell bedienen und das entsprechende Feld mithilfe von „Get-ADComputer“ auslesen.

Passwort auslesen

Passwort auslesen

 

 

 

 

 

 

 

Get-ADComputer <Computer> -Properties ms-Mcs-AdmPwd | Select Name, ms-Mcs-AdmPwd

Keine Kommentare »

No comments yet.

RSS feed for comments on this post. TrackBack URL

Leave a comment

Powered by WordPress