Jump to content

LAPS Einführung Fragen


Direkt zur Lösung Gelöst von NilsK,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich habe mich mit dem Thema beschäftigt da ein Kunde mit ca. 100 Clients das wünscht. Ich habe hierzu eine Installation auf einer Testumgebung

durchgeführt, durch MS Anleitung kein Problem

 

1 ) Muss ich LAPS auf dem DC installieren oder geht es auch auf dem Memberserver ?

2  In dem Threat hab ich super Infos gefunden

 

Ich habe hierzu den Befehl ausgeführt

 Find-AdmPwdExtendedrights -identity server2

                    ExtendedRightHolders
                    --------------------
                    {NT-AUTORITÄT\SYSTEM, COLA\Domänen-Admins, COLA\gruppein}

 

Das bedeutet, es dürfe ja nur die Domänan Admins und die Gruppe gruppein die Passwörter sehen ?

 

Gruß

 

Coolace

Ach ja, als DC hab ich 2019 im Einsatz als Client Win10

Link zu diesem Kommentar

Moin,

 

LAPS "installierst" du nicht, du richtest es ein. Es handelt sich ja nicht um eine laufende Serversoftware, sondern eher um eine Infrastruktur.

 

Die eigentliche Arbeit machen die Clients, auf denen du eine Erweiterung für die Gruppenrichtlinien installierst. Dann brauchst du im Wesentlichen nur noch "einen" Adminrechner, der gerade kein DC sein sollte (auf einem DC administriert man ja nicht), sondern auch ein Client sein kann. Und du brauchst zwei AD-Schema-Erweiterungen, die du aber nur einmalig von einem Adminrechner aus einrichtest.

 

Vielleicht liest du dir das Konzept noch mal richtig durch? Hier ist ein hübscher Einstieg dafür:

 

[LAPS – lokales Admin-Passwort endlich sicher | faq-o-matic.net]
https://www.faq-o-matic.net/2015/07/01/laps-lokales-admin-passwort-endlich-sicher/

 

Gruß, Nils

PS. die Vorbehalte, die ich in dem von dir genannten Thread gegenüber LAPS geäußert habe, habe ich immer noch. LAPS ist okay, wenn man weiß, was man tut und wenn man es richtig - also sorgfältig - umsetzt. Wenn nicht, dann nicht.

bearbeitet von NilsK
Link zu diesem Kommentar

Hallo Nils,

 

vielen Dank für den Link, ich glaube mir ist das jetzt klarer.

 

Mein Plan. Installation auf dem DC ohne diese GUI um die Erweiterungen zu machen. Installation der Software auf den Clients und auf den HelpDesk Clients mit der Option FatClientUI  . Das sollte so passen oder habe ich hier etwas übersehen

 

Gruß

 

CoolAce

Link zu diesem Kommentar

Moin,

 

hm, was soll ich darauf antworten? Ja, du hast etwas übersehen - weil du möglicherweise nicht verstanden hast, was ich dir schrieb. Du installierst bei LAPS nichts auf dem DC. Und wenn dir die Sicherheit der Umgebung irgendwie wichtig ist, administrierst du auch nichts auf dem DC.

 

Was würdest du denn überhaupt "installieren" wollen?

 

Gruß, Nils

 

Link zu diesem Kommentar

Hallo Nils,

 

es stimmt , es sein kann das ich es falsch verstanden habe. 

Dein Text

 

LAPS "installierst" du nicht, du richtest es ein. Es handelt sich ja nicht um eine laufende Serversoftware, sondern eher um eine Infrastruktur.

 

Aus dem Text und dem Link habe ich geschlossen das ich es auf dem DC installieren muss , weil dort die Erweiterung des Schemas passiert mit den Befehlen und die GPO Erweiterungen angelegt werden.  Das geht also auch auf einer Admin WS ?

 

Gruß

 

Coolace

Link zu diesem Kommentar
  • Beste Lösung

Moin,

 

vor 1 Minute schrieb CoolAce:

[NilsK] LAPS "installierst" du nicht

...

[CoolAce] Aus dem Text ... habe ich geschlossen das ich es auf dem DC installieren muss

nimm es mir nicht übel - aber das erstaunt mich etwas. Aber sei's drum.

 

Vermutlich stolperst du über die "Installation" der Management-Tools. Die nimmt man auf einem Admin-PC vor. Nicht auf einem DC. (Den Artikel bei faq-o-matic.net habe ich jetzt noch mal angepasst, um das deutlicher zu machen.)

Von diesem Admin-PC aus machst du dann auch einmalig das Schema-Update, indem du dich dort einmalig mit einem Account anmeldest, der Schema-Admin ist.

 

Auf keinem der DCs läuft bei LAPS ein zusätzliches Stück Software. Nur auf den Clients, deren Kennwörtern per LAPS verwaltet wird, ist das der Fall, und da ist es eine GPO-Erweiterung. Auch auf dem Admin-PC läuft nicht dauerhaft irgendwas, sondern dort startest du nur bei Bedarf eins der Tools, um zu administrieren. Das ist alles.

 

Ganz ehrlich: Um LAPS sinnvoll zu betreiben, brauchst du mehr Sorgfalt bei der Vorbereitung und im Betrieb, als du bisher anscheinend aufgebracht hast.

 

Gruß, Nils

 

Link zu diesem Kommentar

ich nehme es dir nicht übel. Manchmal stehe ich da auf dem Schlauch :disappointed:

 

Da hast du Recht, ich stolpere über die  die "Installation" der Management-Tools. Dann passt es für mich, ich installiere das Tool auf dem AdminPC und steuere den Zugriff auf die Passwörter über eine AD Gruppe aus da diese ja im Klartext im AD drin stehen. Die Befehle zum Abfragen stehen in den MS-Dokus. Da alle PCs in einer OU sind ist auch das gut aussteuerbar. 

 

Gruß

 

Coolace

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...