Zum Inhalt springen

LAPS (Local Administrator Password Solution)


Michael1985

Empfohlene Beiträge

Hallo zusammen an das Forum, 

ich habe ein Problem mit LAPS (Local Administrator Password Solution) in unserer Domäne. 

Die Clients kommunizieren ja mit dem DC und speichern das Passwort in den Attribut-Editor (ms-Mcs-AdmPwd). 

Die Berechtigungen mit Powershell sind auf die jeweilige OU vergeben. 

Die ADMX Dateien für LAPS sind auf den DC's installiert. 

Den LAPS Client verteile ich via GPO auf die Clients über eine versteckte Freigabe von unseren Fileserver. 

Leider ist das Attribut ms-Mcs-AdmPwd immer leer bei den Clients. 

Komischerweise lässt sich das Ablaufdatum im Attribut (ms-Mcs-AdmPwdExpirationTime) auslesen und auch über das Verwaltungstool ändern bzw. zurücksetzen. 

Ich hoffe, dass mir jemand helfen kann. Ich bin ein wenig am verzweifeln. 

 

Mit freundlichen Grüßen

Michael

LAPS.JPG

Link zu diesem Kommentar
Auf anderen Seiten teilen

Hi, das Konto kannst du weglassen wenn der Builtin Admin verwendet wird. 

Wenn du im Expiry Feld ein Datum siehst scheint es ja grundsätzlich zu funktionieren - das schon mal auf null gesetzt und geschaut, ob hier nach einem GPUpdate auf dem Client ein neues gesetzt wird? 

Hast du schon einmal den Inhalt des Feldes mit einem Domain Admin User geprüft um Berechtigungsprobleme auszuschließen? Bei fehlenden Leserechten wird das Feld immer als Leer angezeigt. Ansonsten auch nochmal schauen ob auf den Computerobjekten die Berechtigung zum Schreiben auf das pwd Feld für SELF gesetzt ist. 

Sollte der Client Probleme beim Schreiben des Passworts haben müsstest du dazu auch einen Fehler im Application Log mit Source AdmPwd finden.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Das Datum wird mir bei jeden Client im Expiry Feld angezeigt. 

Ich habe eben einmal im Feld "ms-Mcs-AdmPwd" manuell ein Passwort eingetragen. Das wird mir dann auch mit Software LAPS UI angezeigt. Ich kann es aber dann über die Software LAPS UI nicht neu setzen bzw. nicht verändern. 

Ich habe mich eben auch mit dem obersten Administrator angemeldet, um Berechtigungsprobleme auszuschließen. Hier habe ich das gleiche Phänomen. 

 

Was genau meinst Du hiermit?: --> "Ansonsten auch nochmal schauen ob auf den Computerobjekten die Berechtigung zum Schreiben auf das pwd Feld für SELF gesetzt ist. " - Wo soll ich hier gucken?

In der Ereignisanzeige kann ich nichts finden unter AdmPwd. Weder auf dem Client noch auf dem DC. 

Link zu diesem Kommentar
Auf anderen Seiten teilen

Hallo, 

die folgenden Befehle sind auf OU vergeben worden:

Set-AdmPwdComputerSelfPermission -OrgUnit "OU" 

Set-AdmPwdReadPasswordPermission -OrgUnit "OU" -AllowedPrincipals "SG_LAPS_Admin_User"

Set-AdmPwdResetPasswordPermission -OrgUnit "OU" -AllowedPrincipals "SG_LAPS_Admin_User"

Find-AdmPwdExtendedRights -Identity "OU" | Format-List (Rechte geprüft)

Set-AdmPwdReadPasswordPermission -Identity "OU" -AllowedPrincipals "SG_LAPS_Admin_User"

 

Ich habe eine GPO erstellt, die den lokalen Build-In Administrator auf den Clients aktiviert zusätzlich zum testen. 

 

Bei einen neu aufgenommenen Rechner in die Domain, sind die zwei zusätzlichen Attribute beim Client vorhanden (ms-Mcs-AdmPwd und ms-Mcs-AdmPwdExpirationTime. 

 

Wo liegt mein Fehler?

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 2 Wochen später...

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...