Das Dilemma mit den lokalen Admin-Passwörtern (2/2)

Im ersten Teil dieses Blogs haben wir gemeinsam gelernt, wie wir unsere Umgebung und die Clients auf LAPS vorbereiten.

Nun geht es darum, die Lösung zu aktivieren.

Gruppenrichtlinien erstellen

Auf der Management Maschine haben wir in «C:\Windows\PolicyDefinitions» die «AdmPwd.admx» und die zugehörige Language File im Ordner en-US.

Admin Passwörter

Wir kopieren diese entweder in den Central Store für Group Policies, falls vorhanden, oder auf einem beliebigen Domain Controller. Falls Sie die Policies direkt auf dem vorher installierten Management Server bearbeiten, sind keine weiteren Schritte notwendig.

In der vorher erstellten OU für die zu managenden Clients führen wir einen Rechtsklick aus und gehen auf «Create a GPO in this domain, and Link it here…»

Admin Passwörter

Admin Passwörter

In der Policy gehen wir auf «Computer Configuration -> Policies -> Administrative Templates -> LAPS»

Admin Passwörter

Password Settings

Hier wird die Password Policy definiert. Wenn ich die Policy auf «Enabled» setze, wird defaultmässig ein komplexes Passwort von 14 Zeichen und einem maximalen Alter von 30 Tagen definiert.

Wichtig: Das Passwort wird automatisch generiert und angepasst.

Admin Passwörter

Name of administrator account to manage

Wenn Sie im ersten Teil einen spezifischen Admin-Account bei der Installation auf dem Client definiert haben, müssten Sie diese Policy jetzt aktivieren und den Namen eintragen, ansonsten lassen Sie sie auf «Not Configured». So wird der «Default Administrator»-Account auf dem Endgerät konfiguriert.

Admin Passwörter

Do not allow password expiration time longer than required by policy

Diese Policy stellt sicher, dass die «Password Expiration Time» der «Password Settings» in jedem Fall eingehalten wird.

Admin Passwörter

Enable local admin password management

Diese Einstellung aktiviert LAPS auf den betroffenen Geräten:

Admin Passwörter

LAPS-Prozess

  1. Nach dem ersten GPO Refresh werden die LAPS-Client Side Extensions auf dem Endgerät aktiv und verarbeiten die GPO.
  2. Das Endgerät liest seine «ms-Mcs-AdmPwdExpirationTime». Falls diese nicht gesetzt ist oder nicht mehr gültig, wird ein neues Passwort generiert. Dieses Password wird lokal übernommen und der Wert in der Active Directory unter «ms-Mcs-AdmPwd» abgelegt.
  3. Das Passwort ist nun aktiv und kann über die AD abgerufen werden.
  4. Die LAPS-CSE führen diese Schritte bei jedem Group-Policy-Update durch.
  5. Falls ein Kommunikationsproblem zur AD besteht, wird keine Aktion unternommen.

Arbeiten mit LAPS

So wir haben nun LAPS aktiviert. Der einfachste Weg, auf das Passwort zuzugreifen, ist die grafische Oberfläche von LAPS, das auf dem Management Server installiert ist.

Admin Passwörter

In der «LAPS UI» kann ich nun nach dem Client suchen.

Admin Passwörter

Und mir wird das aktuelle Passwort und das nächste Expiration Date angezeigt. Ich könnte auch direkt eine neue «experation-Time» setzen.

Über PowerShell ist es mir auch möglich, auf die Werte zuzugreifen.

Get-AdmPwdPassword LON-CL1

Admin Passwörter

Oder ganz einfach über die «Active Directory Users and Computer»-Oberfläche:

Admin Passwörter

Wie Sie sehen, ist der Wert «ms-Mcs-AdmPwd» im «NT system time»-Format. Wir können es sehr einfach durch «w32tm /ntte %Wert%» transformieren.

Zusammenfassung

Wir sehen also, mit «wenigen» Handgriffen können wir ein Problem lösen, das zum Teil seit Jahren besteht.

Das lokale Administrator-Passwort im Notfall rauszugeben, ist kein «Nightmare» mehr. Ich kann als Admin einfach die Gültigkeitsdauer anpassen und bei der nächsten Synchronisation mit der AD hat der Client wieder ein neues Passwort.

Wollen Sie einen tieferen Einblick in das Thema Windows Security erhalten? Dann besuchen Sie den von mir entwickelten Workshop «Windows Security Advanced».

IT-Security-Seminare bei Digicomp

Rinon Belegu

Bereits während seiner Ausbildung zum Informatiker Systemtechnik hat sich Rinon Belegu konsequent mit den neusten Technologien von Microsoft und VEEAM auseinandergesetzt und sich unter anderem als einer der ersten Personen in der Schweiz als MCSE 2012 Private Cloud zertifiziert. Seine Spezialität sind Virtualisierung und System Center, wobei er auch auf die Backup-Problematik stiess. Hier hat er bereits einige Projekte mit VEEAM umgesetzt. Sein umfangreiches Wissen gibt er heute einerseits in verschiedensten Kundenprojekten, andererseits als MCT (Microsoft), VMCT (Veeam) und als erster AWS Certified Instructor weiter.

Diesen Artikel kommentieren

Wir sind sehr an einer offenen Diskussion interessiert, behalten uns aber vor, beleidigende Kommentare sowie solche, die offensichtlich zwecks Suchmaschinenoptimierung abgegeben werden, zu editieren oder zu löschen. Mehr dazu in unseren Kommentarregeln.

Kategorien

Letzte Beiträge


Warning: file_get_contents(https://www.digicomp.ch/api/source?select=PAGE,LABEL&PAGE_TYPE=klassifikation&SPRACHE=DE): failed to open stream: HTTP request failed! HTTP/1.1 404 Not Found in /var/www/html/web/app/themes/digiblog/functions.php on line 119

Warning: Invalid argument supplied for foreach() in /var/www/html/web/app/themes/digiblog/functions.php on line 122

Warning: file_get_contents(https://www.digicomp.ch/api/gddate?PAGEID_W=a0J5700000X9rkNEAR&limit=10): failed to open stream: HTTP request failed! HTTP/1.1 404 Not Found in /var/www/html/web/app/plugins/seerow-gd-dates/seerow-gd-dates.php on line 76

Warning: Invalid argument supplied for foreach() in /var/www/html/web/app/plugins/seerow-gd-dates/seerow-gd-dates.php on line 78