Local Administrator Password Management installieren und konfigurieren

Am 1. Mai 2015 hat Microsoft das Local Administrator Password Management veröffentlicht, mit dem lokale Administrator-Passwörter einfach verwaltet werden können. Dafür werden in AD DS zwei Attribute hinzugefügt:

  • ms-MCS-AdmPwd
  • ms-MCS-AdmPwdExpirationTime

Diese speichern das Passwort und das Ablaufdatum des Passwortes. Ist das Ablaufdatum erreicht, wird beim nächsten Gruppenrichtlinien-Update am Client das Passwort erneuert. Für die Verwaltung gibt es einen Client (LAPS UI) und ein eigenes PowerShell-Modul. Am Client selbst wird eine Client Side Extension (CSE) für die Gruppenrichtlinien installiert.

Gruppenrichtlinien-Vorlagen und das PowerShell-Modul installieren

  1. Als Administrator an DC1 anmelden
  2. Folgende Dateien von Microsoft security advisory: Local Administrator Password Solution (LAPS) now available: May 1, 2015 nach C:\Sourcen herunterladen
    1. LAPS.x86.msi
    2. LAPS.x64.msi
    3. LAPS_Datasheet.docx
    4. LAPS_OperationsGuide.docx
    5. LAPS_TechnicalSpecification.docx
  3. LAPS.x64.msi doppelklicken
  4. Local Administrator Password Solution Setup
    1. Welcome… > Next
    2. License Agreement > Accept > Next
    3. Custom Setup
      1. PowerShell module
      2. GPO Editor templates > Next
        LAPS-001
    4. Ready to install > Install
    5. Complete > Finish
  5. Zum Ordner C:\Windows\PolicyDefinitions wechseln
  6. Folgende Dateien nach \\intern\SYSVOL\intern.einfaches-netzwerk.at\Policies\PolicyDefinitions kopieren
    1. AdmPwd.admx
    2. en-US\AdmPwd.adml
      LAPS-011
  7. Alle Fenster schließen

Sicherheitsgruppe in AD erstellen und Berechtigungen konfigurieren

  1. Server Manager > Tools > Active Directory Users and Computers (ADUC)
  2. intern.einfaches-netzwerk.at/Einfaches-Netzwerk/Sicherheitsgruppen erweitern
  3. Folgende Sicherheitsgruppe erstellen
    1. PwdAdmins
  4. USER1 zur Gruppe PwdAdmins hinzufügen
    LAPS-008
  5. Fenster minimieren, nicht schließen
  6. PowerShell (Admin) starten
  7. Mit folgendem Befehl das PowerShell-Modul für das Local Administrator Password Management importieren
    Import-Module AdmPwd.PS
  8. Mit folgendem Befehl das Active Directory-Schema erweitern
    Update-AdmPwdADSchema
  9. PowerShell
    LAPS-003
  10. Mit folgendem Befehl die Benutzer und Gruppen mit erweiterten Rechten auf die OU Arbeitsstationen ermitteln
    Find-AdmPwdExtendedRights -Identity Arbeitsstationen
  11. Der Benutzer INTERN\osd_join hat erweiterte Rechte
    LAPS-004
  12. Die ADUC-Konsole wiederherstellen
  13. Die OU Arbeitsstationen rechts anklicken > Properties
  14. Auf den Reiter Security wechseln > Advanced
  15. OSD_Join markieren > Edit
    LAPS-005
  16. Permission Entry for Arbeitsstationen
    1. Applies to: This object and all descendant objects
    2. All extended rights deaktivierenLAPS-006
  17. Alle Fenster mit OK schließen
  18. PowerShell (Admin) wiederherstellen
  19. Das Cmdlet von vorhin wiederholen
    LAPS-007
  20. Passt 🙂
  21. Mit folgendem Befehl die Computer-Konten berechtigen
    Set-AdmPwdComputerSelfPermission -OrgUnit Arbeitsstationen
  22. Mit folgenden Befehlen die Sicherheitsgruppen berechtigen
    Set-AdmPwdReadPasswordPermission -Orgunit Arbeitsstationen -AllowedPrincipals Administrators,ServiceDesk,PwdAdmins
    Set-AdmPwdResetPasswordPermission -Orgunit Arbeitsstationen -AllowedPrincipals Administrators,ServiceDesk,PwdAdmins
  23. PowerShell
    LAPS-009
  24. Zur Kontrolle das Computer-Konto von CLIENT1 rechts anklicken > Properties
  25. Auf den Reiter Attribute Editor wechseln
    LAPS-010
  26. Alle Fenster schließen

Gruppenrichtlinien für das Local Administrator Password Management erstellen

  1. Server Manager > Tools > Group Policy Management
  2. Folgendes Gruppenrichtlinienobjekt erstellen
    1.  Local Administrator Password Management
  3. Zum Bearbeiten öffnen
  4. Computer Configuration\Policies\Administrative Templates\LAPS erweitern
    LAPS-012
  5. Folgende Einstellungen konfigurieren
    1. Do not allow password expiration time longer than required by policy > Enabled
    2. Enable local admin password management > Enabled
    3. Password Settings > Enabled
      LAPS-014
    4. Die Richtinie Name of administrator account to manange muss nur konfiguriert werden, wenn nicht der Standard-Administrator mit der bekannten well-known SID verwendet wird. Auch nicht, wenn dieser nur umbenannt worden ist!
  6. Computer Configuration\Preferences\Windows Settings erweitern
  7. Registry rechts anklicken > New > Registry Item
  8. Folgendes Element hinzufügen
    1. Reiter General
      1. Action: Replace
      2. Hive: HKEY_LOCAL_MACHINE
      3. Key Path: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4F75-942D-087DE603E3EA}
      4. Value name: ExtensionDebugLevel
      5. Value data: 00000002 (logged testweise alles mit, besser 0 oder 1)
        LAPS-026
    2. Reiter Common
      1. Remove this item when it is no longer applied aktivieren
        LAPS-027
  9. Fenster mit OK schließen
  10. Das neue GPO markieren
  11. Im rechten Bereich am Reiter Details die Benutzereinstellungen deaktivieren
    LAPS-016
  12. Auf die OU Arbeitsstationen verknüpfen
    LAPS-017
  13. Alle Fenster schließen

Die Clients konfigurieren

  1. Als Administrator an CLIENT1 anmelden
  2. Die Datei LAPS.x64.msi doppelklicken
  3. Folgende Komponenten installieren
    1. AdmPwd GPO Extension
    2. Management Tools\Fat client UI
      LAPS-018
  4. Local Administrator Password Solution in der Systemsteuerung
    LAPS-019
  5. Command Prompt starten
  6. Mit folgendem Befehl die Gruppenrichtlinien aktualisieren
    gpupdate /force
  7. Kontrolle: ADUC > CLIENT1
    LAPS-021
  8. Start > Suche: LAPS
    LAPS-022
  9. LAPS UI
    1. Computer Name: CLIENT1 > Search
      LAPS-023
    2. Das Passwort mit Set sofort ändern > Exit
      LAPS-024
  10. Wenn CLIENT1 das nächste Mal seine Gruppenrichtlinien aktualisiert, wird das Passwort geändert
    LAPS-025
  11. Das Ereignisprotokoll System
    1. Vor der Änderung
      LAPS-029
    2. Nach der Änderung
      LAPS-031
      LAPS-030

Microsoft hat mit einem Sicherheitsupdate die Möglichkeit Passwörter mittels Group Policy Preferences zu ändern deaktiviert (die Passwörter standen im Klartext in den xml-Dateien). Das neue Werkzeug ist einfach zu implementieren und zu verwalten.

Die CSE kann mittels MDT beim Aufsetzen installiert oder gleich ins Golden Image gepackt werden. Wenn man die Datei %ProgramFiles%\LAPS\CSE\AdmPwd.dll von einer bestehenden Installation kopiert, kann die Client Side Extension mit folgendem Befehl installiert werden:

regsvr32 %ProgramFiles%\LAPS\CSE\AdmPwd.dll

Dann ist der Eintrag in der Systemsteuerung nicht vorhanden, was ich persönlich besser finde.

Schöne Sache, gefällt mir! 🙂

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert