Am 1. Mai 2015 hat Microsoft das Local Administrator Password Management veröffentlicht, mit dem lokale Administrator-Passwörter einfach verwaltet werden können. Dafür werden in AD DS zwei Attribute hinzugefügt:
- ms-MCS-AdmPwd
- ms-MCS-AdmPwdExpirationTime
Diese speichern das Passwort und das Ablaufdatum des Passwortes. Ist das Ablaufdatum erreicht, wird beim nächsten Gruppenrichtlinien-Update am Client das Passwort erneuert. Für die Verwaltung gibt es einen Client (LAPS UI) und ein eigenes PowerShell-Modul. Am Client selbst wird eine Client Side Extension (CSE) für die Gruppenrichtlinien installiert.
Gruppenrichtlinien-Vorlagen und das PowerShell-Modul installieren
- Als Administrator an DC1 anmelden
- Folgende Dateien von Microsoft security advisory: Local Administrator Password Solution (LAPS) now available: May 1, 2015 nach C:\Sourcen herunterladen
- LAPS.x86.msi
- LAPS.x64.msi
- LAPS_Datasheet.docx
- LAPS_OperationsGuide.docx
- LAPS_TechnicalSpecification.docx
- LAPS.x64.msi doppelklicken
- Local Administrator Password Solution Setup
- Zum Ordner C:\Windows\PolicyDefinitions wechseln
- Folgende Dateien nach \\intern\SYSVOL\intern.einfaches-netzwerk.at\Policies\PolicyDefinitions kopieren
- Alle Fenster schließen
Sicherheitsgruppe in AD erstellen und Berechtigungen konfigurieren
- Server Manager > Tools > Active Directory Users and Computers (ADUC)
- intern.einfaches-netzwerk.at/Einfaches-Netzwerk/Sicherheitsgruppen erweitern
- Folgende Sicherheitsgruppe erstellen
- PwdAdmins
- USER1 zur Gruppe PwdAdmins hinzufügen
- Fenster minimieren, nicht schließen
- PowerShell (Admin) starten
- Mit folgendem Befehl das PowerShell-Modul für das Local Administrator Password Management importieren
Import-Module AdmPwd.PS
- Mit folgendem Befehl das Active Directory-Schema erweitern
Update-AdmPwdADSchema
- PowerShell
- Mit folgendem Befehl die Benutzer und Gruppen mit erweiterten Rechten auf die OU Arbeitsstationen ermitteln
Find-AdmPwdExtendedRights -Identity Arbeitsstationen
- Der Benutzer INTERN\osd_join hat erweiterte Rechte
- Die ADUC-Konsole wiederherstellen
- Die OU Arbeitsstationen rechts anklicken > Properties
- Auf den Reiter Security wechseln > Advanced
- OSD_Join markieren > Edit
- Permission Entry for Arbeitsstationen
- Applies to: This object and all descendant objects
- All extended rights deaktivieren Weiterlesen