So konfigurieren Sie Windows LAPS (Local Administrator Passwords Solution) in Active Directory

So verwenden Sie Windows LAPS zur Verwaltung lokaler Administratorkennwörter

Wenn Sie jemals mit dem Chaos gemeinsam genutzter lokaler Administratorkennwörter zu kämpfen hatten oder einen Rechner mit einem so alten Kennwort besaßen, dass es fast schon ein Relikt war, dann könnte Windows LAPS Ihr neuer bester Freund werden. Es automatisiert die Kennwortverwaltung, speichert Kennwörter sicher in Active Directory und aktualisiert sie regelmäßig – (denn natürlich muss Windows es unnötig kompliziert machen).Dieser Leitfaden erklärt Ihnen, wie Sie es richtig einrichten, insbesondere jetzt, da Microsoft die native Unterstützung in die jüngsten Windows-Updates integriert hat. Schluss mit dem Hantieren mit MSI-Installationsprogrammen, nur noch Updates und Konfigurationen. Aber seien Sie nicht faul; Sie müssen trotzdem einige Einstellungen vornehmen, insbesondere auf Ihren Domänencontrollern und Gruppenrichtlinien.

Sobald LAPS konfiguriert ist, rotiert es das lokale Passwort automatisch alle 30 Tage oder gemäß Ihren Gruppenrichtlinieneinstellungen. Nur autorisierte Personen können die Passwörter einsehen. Das ist besonders praktisch, wenn Sie viele Rechner verwalten und sich nicht mit den üblichen Passwortzurücksetzungen oder veralteten Anmeldeinformationen in Screenshots herumschlagen möchten. Es ist eine gute Möglichkeit, die Sicherheit zu erhöhen, ohne unnötigen Aufwand. Nun zu den konkreten Schritten für die Einrichtung.

So beheben oder aktivieren Sie die in Windows integrierten LAPS-Probleme unter Windows 10/11

Prüfen Sie, ob Ihre Windows-Version native LAPS unterstützt.

Bevor Sie irgendetwas ausprobieren, stellen Sie sicher, dass Ihr Windows auf dem neuesten Stand ist. Sie benötigen mindestens Windows 11 22H2 (KB5025239) oder Windows 10 22H2 (KB5025221).Bei älteren Versionen wird das Update noch nicht nativ unterstützt, und Sie müssen das ältere MSI-Paket verwenden – was ehrlich gesagt ziemlich umständlich war. Auf einem System funktionierte es nach dem Update einwandfrei, auf einem anderen waren ein oder zwei Neustarts nötig. Seltsam, aber Windows-Updates können manchmal etwas unberechenbar sein.

Aktualisieren Sie Windows und löschen Sie alte LAPS-Einstellungen.

• Gehen Sie zunächst zu Einstellungen > Windows Update und laden Sie alle aktuellen Patches herunter.
• Stellen Sie sicher, dass alle Domänencontroller aktualisiert sind, da sie die Schemaerweiterungen hosten.
• Überprüfen Sie in Active Directory, ob alle Domänencontroller über die neuesten Schemaerweiterungen verfügen. Führen Sie dazu den Befehl in PowerShell aus Update-LapsADSchema. Falls Fehlermeldungen zu „lokalen Fehlern“ angezeigt werden, sind einige Domänencontroller noch nicht bereit.
• Entfernen Sie alle veralteten LAPS-Komponenten – also alte MSI-Installationsprogramme und veraltete Gruppenrichtlinienobjekte (GPOs).Überprüfen Sie Registrierungsschlüssel HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\Stateund entfernen Sie gegebenenfalls veraltete Einträge. Dadurch vermeiden Sie Konflikte und die lästigen Ereignis-IDs 10033 und 10031 in der Ereignisanzeige.

Installieren oder überprüfen Sie die nativen LAPS-Funktionen.

Wenn Ihre Updates aktuell sind, sollten Sie neue ADMX-Dateien für LAPS unter %systemroot%\PolicyDefinitions finden. Kopieren Sie die Datei laps.admx in Ihren zentralen Speicher, falls Sie Gruppenrichtlinienobjekte (GPOs) über ein gemeinsam genutztes Repository verwalten: Speicherort für Netzwerk-GPOs.Überprüfen Sie, ob die neuen GPO-Optionen – wie die Aktivierung der Kennwortverschlüsselung und der Datensicherung – in gpmc.msc verfügbar sind.

Gruppenrichtlinienobjekte für LAPS konfigurieren und Ihre Einstellungen festlegen

• Erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO) und verknüpfen Sie es mit der Organisationseinheit (OU), in der sich Ihre Zielcomputer befinden.
• Navigieren Sie zu Computerkonfiguration > Richtlinien > Administrative Vorlagen > System > LAPS.
• Aktivieren Sie Richtlinien wie „Konfigurieren des Kennwortsicherungsverzeichnisses“ (auf Active Directory einstellen ) und konfigurieren Sie Kennwortkomplexität, -länge und Änderungshäufigkeit (Standard: 14 Zeichen, 30 Tage).
• Erstellen oder geben Sie den Namen des lokalen Administratorkontos an; Standardwert ist „Administrator“.
• Speichern und schließen Sie das Programm, starten Sie es anschließend neu oder führen Sie es aus, gpupdate /forceum die Einstellungen sofort zu übernehmen.

Berechtigungen zuweisen und Zugriffskontrollen festlegen

Standardmäßig können Domänenadministratoren Passwörter einsehen, aber Sie sollten diesen Zugriff wahrscheinlich einschränken. Verwenden Sie dazu PowerShell-Befehle wie:

Set-LapsADComputerSelfPermission -Identity "OU=Computers, OU=MUN, OU=DE, DC=woshub, DC=com"

Und erstellen Sie eine Sicherheitsgruppe (z. B.MUN-LAPS-Admins ), um Lese- oder Zurücksetzungsberechtigungen zuzuweisen:

New-ADGroup MUN-LAPS-Admins -path 'OU=Groups, OU=MUN, OU=DE, DC=woshub, DC=com' -GroupScope local -PassThru –Verbose Add-AdGroupMember -Identity MUN-LAPS-Admins -Members a.morgan, b.krauz $ComputerOU = "OU=Computers, OU=MUN, OU=DE, DC=woshub, DC=com" Set-LapsADReadPasswordPermission –Identity $ComputerOU –AllowedPrincipals MUN-LAPS-Admins Set-LapsADResetPasswordPermission -Identity $ComputerOU -AllowedPrincipals MUN-LAPS-Admins

So können nur bestimmte Personen Passwörter einsehen oder zurücksetzen, wodurch die Sicherheit gewährleistet wird. Standardmäßig haben alle Domänenadministratoren Zugriff, es empfiehlt sich jedoch, die Berechtigungen einzuschränken.

Passwörter bei Bedarf abrufen oder ändern

Sobald alles eingerichtet ist, können Sie die aktuellen Passwörter über PowerShell überprüfen. Verwenden Sie dazu:

Get-LapsADPassword ComputerName -AsPlainText

Beispiel: Get-LapsADPassword mun-pc221 -AsPlainTextEs gibt das aktuelle Passwort aus – überraschend einfach. Um das Passwort sofort zu ändern, führen Sie Folgendes aus:

Reset-LapsPassword

Dadurch wird eine sofortige Passwortänderung ausgelöst, und das neue Passwort wird sicher in Active Directory gespeichert. Auf manchen Rechnern ist möglicherweise ein Neustart oder zumindest eine Gruppenrichtlinienaktualisierung erforderlich, damit die Änderungen wirksam werden. Und ja, so einfach ist das – ganz unkompliziert.

Zusammenfassung

Die Einrichtung des nativen Windows LAPS ist nach der Installation der Updates einfacher als gedacht. Entfernen Sie einfach alte Einstellungen, überprüfen Sie die Schemaaktualisierungen, konfigurieren Sie die Gruppenrichtlinienobjekte (GPOs) korrekt und legen Sie die Berechtigungen fest – und schon kann es losgehen. Der Vorteil: Die Kennwortrotation erfolgt weitgehend automatisch, und Sie können Kennwörter einfach mit PowerShell abrufen. Vergessen Sie aber nicht, regelmäßig Ihre Ereignisprotokolle auf LAPS-bezogene Fehler zu überprüfen, insbesondere wenn Sie von älteren Systemen kommen.

Zusammenfassung

• Stellen Sie sicher, dass Windows mit den neuesten Patches vollständig aktualisiert ist.
• Entfernen Sie veraltete LAPS-Komponenten, insbesondere alte Gruppenrichtlinienobjekte und Registrierungseinträge.
• Installieren oder überprüfen Sie native LAPS-Funktionen anhand von Richtliniendefinitionen.
• Konfigurieren Sie Gruppenrichtlinienobjekte (GPOs) zur Verwaltung von Kennwortrotation, -komplexität und Sicherungsspeicherorten.
• Legen Sie die Berechtigungen sorgfältig fest und beschränken Sie, wer Passwörter einsehen oder zurücksetzen kann.
• Verwenden Sie PowerShell-Befehle, um Passwörter bei Bedarf abzurufen oder zu ändern.
• Prüfen Sie die Ereignisprotokolle auf Probleme oder Warnungen.

Schlussgedanken

Die native Unterstützung in Windows vereinfacht die Verwaltung lokaler Administratorpasswörter erheblich, erfordert aber dennoch etwas Einrichtung. Einmal konfiguriert, stellt sie einen deutlichen Sicherheitsgewinn gegenüber den Zeiten von Notizzetteln und geteilten Passwörtern dar. Hoffentlich hilft dies jemandem, das klassische Passwortchaos oder endlose Zurücksetzungsanfragen zu vermeiden – zumindest vorerst.