Michael1985 Geschrieben 25. August 2023 Geschrieben 25. August 2023 Hallo zusammen an das Forum, ich habe ein Problem mit LAPS (Local Administrator Password Solution) in unserer Domäne. Die Clients kommunizieren ja mit dem DC und speichern das Passwort in den Attribut-Editor (ms-Mcs-AdmPwd). Die Berechtigungen mit Powershell sind auf die jeweilige OU vergeben. Die ADMX Dateien für LAPS sind auf den DC's installiert. Den LAPS Client verteile ich via GPO auf die Clients über eine versteckte Freigabe von unseren Fileserver. Leider ist das Attribut ms-Mcs-AdmPwd immer leer bei den Clients. Komischerweise lässt sich das Ablaufdatum im Attribut (ms-Mcs-AdmPwdExpirationTime) auslesen und auch über das Verwaltungstool ändern bzw. zurücksetzen. Ich hoffe, dass mir jemand helfen kann. Ich bin ein wenig am verzweifeln. Mit freundlichen Grüßen Michael Zitieren
Th0mKa Geschrieben 25. August 2023 Geschrieben 25. August 2023 vor 2 Minuten schrieb Michael1985: Die ADMX Dateien für LAPS sind auf den DC's installiert. Moin, hast du denn auch eine GPO mit den LAPS Settings angelegt? /Thomas Zitieren
Michael1985 Geschrieben 25. August 2023 Autor Geschrieben 25. August 2023 Hallo, ja die GPO's sind konfiguriert und verknüpft auf die OU. Ich definiere in der GPO die Passworteinstellungen. Zitieren
Th0mKa Geschrieben 25. August 2023 Geschrieben 25. August 2023 Und wo hast du den Namen des administrativen Accounts, um den LAPS sich kümmern soll, definiert? https://learn.microsoft.com/en-us/windows-server/identity/laps/laps-management-policy-settings#windows-laps-group-policy Zitieren
Michael1985 Geschrieben 25. August 2023 Autor Geschrieben 25. August 2023 vor 1 Stunde schrieb Th0mKa: Moin, hast du denn auch eine GPO mit den LAPS Settings angelegt? /Thomas Zitieren
Michael1985 Geschrieben 25. August 2023 Autor Geschrieben 25. August 2023 Hier habe ich keine Einstellung angegeben. Die Beschreibung sagt ja, dass man hier keine Einstellung vornehmen muss, wenn das Build-In Administratorkonto verwendet wird. Sollte ich hier "Administrator" eintragen? Zitieren
hardi04 Geschrieben 25. August 2023 Geschrieben 25. August 2023 Hi, das Konto kannst du weglassen wenn der Builtin Admin verwendet wird. Wenn du im Expiry Feld ein Datum siehst scheint es ja grundsätzlich zu funktionieren - das schon mal auf null gesetzt und geschaut, ob hier nach einem GPUpdate auf dem Client ein neues gesetzt wird? Hast du schon einmal den Inhalt des Feldes mit einem Domain Admin User geprüft um Berechtigungsprobleme auszuschließen? Bei fehlenden Leserechten wird das Feld immer als Leer angezeigt. Ansonsten auch nochmal schauen ob auf den Computerobjekten die Berechtigung zum Schreiben auf das pwd Feld für SELF gesetzt ist. Sollte der Client Probleme beim Schreiben des Passworts haben müsstest du dazu auch einen Fehler im Application Log mit Source AdmPwd finden. Zitieren
Michael1985 Geschrieben 25. August 2023 Autor Geschrieben 25. August 2023 Das Datum wird mir bei jeden Client im Expiry Feld angezeigt. Ich habe eben einmal im Feld "ms-Mcs-AdmPwd" manuell ein Passwort eingetragen. Das wird mir dann auch mit Software LAPS UI angezeigt. Ich kann es aber dann über die Software LAPS UI nicht neu setzen bzw. nicht verändern. Ich habe mich eben auch mit dem obersten Administrator angemeldet, um Berechtigungsprobleme auszuschließen. Hier habe ich das gleiche Phänomen. Was genau meinst Du hiermit?: --> "Ansonsten auch nochmal schauen ob auf den Computerobjekten die Berechtigung zum Schreiben auf das pwd Feld für SELF gesetzt ist. " - Wo soll ich hier gucken? In der Ereignisanzeige kann ich nichts finden unter AdmPwd. Weder auf dem Client noch auf dem DC. Zitieren
Michael1985 Geschrieben 28. August 2023 Autor Geschrieben 28. August 2023 Hallo, hat denn niemand noch einen Rat? Zitieren
Musashi94 Geschrieben 28. August 2023 Geschrieben 28. August 2023 (bearbeitet) Hört sich nach einem Berechtigungsthema an ggf. mal damit probieren - Platzhalter entsprechend anpassen. Zitat Set-AdmPwdReadPasswordPermission –Identity “OU Name” –AllowedPrincipals “User or Group Name” BG Bearbeitet 28. August 2023 von Musashi94 Zitieren
Michael1985 Geschrieben 29. August 2023 Autor Geschrieben 29. August 2023 Hallo, die folgenden Befehle sind auf OU vergeben worden: Set-AdmPwdComputerSelfPermission -OrgUnit "OU" Set-AdmPwdReadPasswordPermission -OrgUnit "OU" -AllowedPrincipals "SG_LAPS_Admin_User" Set-AdmPwdResetPasswordPermission -OrgUnit "OU" -AllowedPrincipals "SG_LAPS_Admin_User" Find-AdmPwdExtendedRights -Identity "OU" | Format-List (Rechte geprüft) Set-AdmPwdReadPasswordPermission -Identity "OU" -AllowedPrincipals "SG_LAPS_Admin_User" Ich habe eine GPO erstellt, die den lokalen Build-In Administrator auf den Clients aktiviert zusätzlich zum testen. Bei einen neu aufgenommenen Rechner in die Domain, sind die zwei zusätzlichen Attribute beim Client vorhanden (ms-Mcs-AdmPwd und ms-Mcs-AdmPwdExpirationTime. Wo liegt mein Fehler? Zitieren
Musashi94 Geschrieben 29. August 2023 Geschrieben 29. August 2023 Ist LAPS auf den bereits bestehenden Rechnern auch installiert worden? Wenn es bei neuen Rechner funktioniert und bei bestehenden nicht würde ich das zuerst überprüfen. Ggf. haben diese Rechner ein GPO / Sync Problem wenn du darüber das LAPS installierst/verteilst. BG Zitieren
Michael1985 Geschrieben 29. August 2023 Autor Geschrieben 29. August 2023 Ja das LAPS MSI-Paket ist via GPO auf die Clients verteilt. Das wurde auch auf den Clients ohne Probleme installiert. Zitieren
Michael1985 Geschrieben 8. September 2023 Autor Geschrieben 8. September 2023 Hallo, kann es sein, dass ein Berechtigungsproblem im ADSI-Editor ist? Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.