Hoe configureert u Windows LAPS (Local Administrator Passwords Solution) in Active Directory?

Hoe Windows LAPS te gebruiken voor het beheren van lokale beheerderswachtwoorden

Als je ooit te maken hebt gehad met de chaos van gedeelde lokale beheerderswachtwoorden of een computer met een wachtwoord dat zo oud is dat het praktisch een relikwie is, dan is Windows LAPS misschien wel je nieuwe beste vriend. Het automatiseert wachtwoordbeheer, slaat wachtwoorden veilig op in Active Directory en werkt ze regelmatig bij — (want Windows moet het natuurlijk altijd ingewikkelder maken dan nodig).Deze handleiding gaat dieper in op hoe je het correct instelt, vooral nu Microsoft native ondersteuning heeft ingebouwd in recente Windows-updates. Geen gedoe meer met MSI-installatieprogramma’s, alleen updates en configuraties. Maar wees niet lui; je moet nog steeds wat instellingen aanpassen, met name op je domeincontrollers en groepsbeleid.

Kort gezegd, zodra LAPS is geconfigureerd, zal het lokale wachtwoord elke 30 dagen (of volgens de GPO-instellingen) worden gewijzigd, en alleen geautoriseerde personen kunnen de wachtwoorden zien. Erg handig als u een vloot machines beheert en geen zin hebt in de klassieke wachtwoordresets of verouderde inloggegevens die in screenshots verschijnen. Het is een prima manier om de beveiliging te verbeteren zonder al te veel gedoe. Nu, door naar de daadwerkelijke stappen om het te implementeren.

Hoe u de ingebouwde Windows LAPS-functie kunt repareren of inschakelen in Windows 10/11

Controleer of uw Windows-versie native LAPS ondersteunt.

Voordat je iets probeert, zorg ervoor dat je Windows de nieuwste updates heeft geïnstalleerd. Je hebt minimaal Windows 11 22H2 (KB5025239) of Windows 10 22H2 (KB5025221) nodig. Als je een oudere versie gebruikt, is de native ondersteuning er nog niet en moet je het doen met het oude MSI-pakket – wat eerlijk gezegd nogal omslachtig was. Op de ene computer werkte het na de update prima, maar op een andere was een herstart of twee nodig. Vreemd, maar ja, Windows-updates kunnen soms onvoorspelbaar zijn.

Update uw Windows-systeem en verwijder oude LAPS-instellingen.

• Ga eerst naar Instellingen > Windows Update en download alle nieuwste patches.
• Zorg ervoor dat alle domeincontrollers zijn bijgewerkt, aangezien zij de schema-extensies hosten.
• Controleer in Active Directory of alle domeincontrollers de nieuwste schema-extensies hebben. Gebruik PowerShell om dit uit te voeren Update-LapsADSchema. Als er fouten optreden met betrekking tot ‘lokale fouten’, betekent dit dat sommige domeincontrollers nog niet gereed zijn.
• Verwijder alle verouderde LAPS-componenten, zoals oude MSI-installatieprogramma’s of verouderde GPO’s. Controleer registersleutels HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\Stateen verwijder eventuele verouderde vermeldingen. Dit voorkomt conflicten en vervelende foutmeldingen met gebeurtenis-ID 10033 of 10031 in Logboeken.

Installeer of controleer de native LAPS-functies.

Als uw updates recent zijn, ziet u nieuwe ADMX-bestanden voor LAPS in %systemroot%\PolicyDefinitions. Kopieer laps.admx naar uw centrale opslaglocatie als u GPO’s beheert vanuit een gedeelde repository: Locatie van de netwerk-GPO-opslaglocatie. Controleer of de nieuwe GPO-opties, zoals het inschakelen van wachtwoordversleuteling en back-up, beschikbaar zijn in gpmc.msc.

Configureer GPO voor LAPS en stel uw voorkeuren in.

• Maak een nieuw groepsbeleidsobject (GPO) aan en koppel dit aan de organisatie-eenheid (OU) met uw doelcomputers.
• Navigeer naar Computerconfiguratie > Beleid > Administratieve sjablonen > Systeem > LAPS.
• Schakel beleidsregels in zoals ‘Reserveringsmap voor wachtwoorden instellen’ (instellen op Active Directory ) en configureer de complexiteit, lengte en wijzigingsfrequentie van wachtwoorden (standaard 14 tekens, 30 dagen).
• Maak een accountnaam aan voor de lokale beheerder of geef deze op; de standaardnaam is “Administrator”.
• Opslaan en sluiten, en vervolgens de computer opnieuw opstarten of het programma uitvoeren gpupdate /forceom de instellingen direct door te voeren.

Toewijzing van machtigingen en instelling van toegangsbeheer

Standaard kunnen leden van de groep Domeinbeheerders wachtwoorden bekijken, maar u wilt dit waarschijnlijk beperken. Gebruik hiervoor PowerShell-opdrachten zoals:

Set-LapsADComputerSelfPermission -Identity "OU=Computers, OU=MUN, OU=DE, DC=woshub, DC=com"

Maak vervolgens een beveiligingsgroep aan (bijvoorbeeld MUN-LAPS-Admins ) om lees- of resetrechten toe te wijzen:

New-ADGroup MUN-LAPS-Admins -path 'OU=Groups, OU=MUN, OU=DE, DC=woshub, DC=com' -GroupScope local -PassThru –Verbose Add-AdGroupMember -Identity MUN-LAPS-Admins -Members a.morgan, b.krauz $ComputerOU = "OU=Computers, OU=MUN, OU=DE, DC=woshub, DC=com" Set-LapsADReadPasswordPermission –Identity $ComputerOU –AllowedPrincipals MUN-LAPS-Admins Set-LapsADResetPasswordPermission -Identity $ComputerOU -AllowedPrincipals MUN-LAPS-Admins

Op deze manier kunnen alleen bepaalde personen wachtwoorden bekijken of opnieuw instellen, waardoor alles goed beveiligd blijft. Houd er altijd rekening mee dat standaard alle domeinbeheerders toegang hebben, maar het is verstandig om de toegangsrechten te beperken.

Wachtwoorden op aanvraag opvragen of wijzigen

Zodra alles is ingesteld, kunt u de huidige wachtwoorden controleren via PowerShell. Gebruik:

Get-LapsADPassword ComputerName -AsPlainText

Voorbeeld: Get-LapsADPassword mun-pc221 -AsPlainText. Het zal het huidige wachtwoord weergeven — verrassend eenvoudig. Als je het wachtwoord direct wilt wijzigen, voer dan het volgende commando uit:

Reset-LapsPassword

Dit start een onmiddellijke wachtwoordwijziging en het nieuwe wachtwoord wordt veilig opgeslagen in Active Directory. Op sommige machines is mogelijk een herstart of minimaal een GPUpdate nodig om de wijzigingen door te voeren. En ja, zo simpel is het — zonder poespas.

Samenvatting

Het is minder ingewikkeld dan het klinkt om native Windows LAPS werkend te krijgen, zodra de updates zijn geïnstalleerd. Je hoeft alleen maar oude instellingen op te ruimen, te controleren op schema-updates, de GPO’s correct te configureren en de machtigingen in te stellen – en je bent klaar. Het mooie is dat wachtwoordrotatie grotendeels automatisch verloopt en je wachtwoorden eenvoudig kunt opvragen met PowerShell. Vergeet natuurlijk niet om regelmatig je gebeurtenislogboeken te controleren op LAPS-gerelateerde fouten, vooral als je van een oudere configuratie komt.

Samenvatting

• Zorg ervoor dat Windows volledig is bijgewerkt met de nieuwste patches.
• Verwijder verouderde LAPS-componenten, met name oude GPO’s en registervermeldingen.
• Installeer of verifieer native LAPS-functies aan de hand van beleidsdefinities.
• Configureer GPO’s om wachtwoordrotatie, complexiteit en back-uplocaties te beheren.
• Stel de machtigingen zorgvuldig in en beperk wie wachtwoorden kan inzien of opnieuw kan instellen.
• Gebruik PowerShell-opdrachten om wachtwoorden op te vragen of te wijzigen wanneer u maar wilt.
• Controleer de gebeurtenislogboeken op problemen of waarschuwingen.

Tot slot

Dankzij de ingebouwde ondersteuning in Windows is het beheren van lokale beheerderswachtwoorden een stuk eenvoudiger, maar er is nog wel wat configuratie nodig. Eenmaal ingesteld, is het een enorme verbetering qua beveiliging ten opzichte van de goede oude tijd met plakbriefjes en gedeelde wachtwoorden. Hopelijk helpt dit iemand om de klassieke wachtwoordchaos of eindeloze resetverzoeken te voorkomen – in ieder geval voorlopig.