Jump to content
CoolAce

LAPS Einführung Fragen

Recommended Posts

Hallo zusammen,

 

ich habe mich mit dem Thema beschäftigt da ein Kunde mit ca. 100 Clients das wünscht. Ich habe hierzu eine Installation auf einer Testumgebung

durchgeführt, durch MS Anleitung kein Problem

 

1 ) Muss ich LAPS auf dem DC installieren oder geht es auch auf dem Memberserver ?

2  In dem Threat hab ich super Infos gefunden

 

Ich habe hierzu den Befehl ausgeführt

 Find-AdmPwdExtendedrights -identity server2

                    ExtendedRightHolders
                    --------------------
                    {NT-AUTORITÄT\SYSTEM, COLA\Domänen-Admins, COLA\gruppein}

 

Das bedeutet, es dürfe ja nur die Domänan Admins und die Gruppe gruppein die Passwörter sehen ?

 

Gruß

 

Coolace

Ach ja, als DC hab ich 2019 im Einsatz als Client Win10

Share this post


Link to post

Moin,

 

LAPS "installierst" du nicht, du richtest es ein. Es handelt sich ja nicht um eine laufende Serversoftware, sondern eher um eine Infrastruktur.

 

Die eigentliche Arbeit machen die Clients, auf denen du eine Erweiterung für die Gruppenrichtlinien installierst. Dann brauchst du im Wesentlichen nur noch "einen" Adminrechner, der gerade kein DC sein sollte (auf einem DC administriert man ja nicht), sondern auch ein Client sein kann. Und du brauchst zwei AD-Schema-Erweiterungen, die du aber nur einmalig von einem Adminrechner aus einrichtest.

 

Vielleicht liest du dir das Konzept noch mal richtig durch? Hier ist ein hübscher Einstieg dafür:

 

[LAPS – lokales Admin-Passwort endlich sicher | faq-o-matic.net]
https://www.faq-o-matic.net/2015/07/01/laps-lokales-admin-passwort-endlich-sicher/

 

Gruß, Nils

PS. die Vorbehalte, die ich in dem von dir genannten Thread gegenüber LAPS geäußert habe, habe ich immer noch. LAPS ist okay, wenn man weiß, was man tut und wenn man es richtig - also sorgfältig - umsetzt. Wenn nicht, dann nicht.

Edited by NilsK

Share this post


Link to post

Hallo Nils,

 

vielen Dank für den Link, ich glaube mir ist das jetzt klarer.

 

Mein Plan. Installation auf dem DC ohne diese GUI um die Erweiterungen zu machen. Installation der Software auf den Clients und auf den HelpDesk Clients mit der Option FatClientUI  . Das sollte so passen oder habe ich hier etwas übersehen

 

Gruß

 

CoolAce

Share this post


Link to post

Moin,

 

hm, was soll ich darauf antworten? Ja, du hast etwas übersehen - weil du möglicherweise nicht verstanden hast, was ich dir schrieb. Du installierst bei LAPS nichts auf dem DC. Und wenn dir die Sicherheit der Umgebung irgendwie wichtig ist, administrierst du auch nichts auf dem DC.

 

Was würdest du denn überhaupt "installieren" wollen?

 

Gruß, Nils

 

Share this post


Link to post

Hallo Nils,

 

es stimmt , es sein kann das ich es falsch verstanden habe. 

Dein Text

 

LAPS "installierst" du nicht, du richtest es ein. Es handelt sich ja nicht um eine laufende Serversoftware, sondern eher um eine Infrastruktur.

 

Aus dem Text und dem Link habe ich geschlossen das ich es auf dem DC installieren muss , weil dort die Erweiterung des Schemas passiert mit den Befehlen und die GPO Erweiterungen angelegt werden.  Das geht also auch auf einer Admin WS ?

 

Gruß

 

Coolace

Share this post


Link to post

Moin,

 

vor 1 Minute schrieb CoolAce:

[NilsK] LAPS "installierst" du nicht

...

[CoolAce] Aus dem Text ... habe ich geschlossen das ich es auf dem DC installieren muss

nimm es mir nicht übel - aber das erstaunt mich etwas. Aber sei's drum.

 

Vermutlich stolperst du über die "Installation" der Management-Tools. Die nimmt man auf einem Admin-PC vor. Nicht auf einem DC. (Den Artikel bei faq-o-matic.net habe ich jetzt noch mal angepasst, um das deutlicher zu machen.)

Von diesem Admin-PC aus machst du dann auch einmalig das Schema-Update, indem du dich dort einmalig mit einem Account anmeldest, der Schema-Admin ist.

 

Auf keinem der DCs läuft bei LAPS ein zusätzliches Stück Software. Nur auf den Clients, deren Kennwörtern per LAPS verwaltet wird, ist das der Fall, und da ist es eine GPO-Erweiterung. Auch auf dem Admin-PC läuft nicht dauerhaft irgendwas, sondern dort startest du nur bei Bedarf eins der Tools, um zu administrieren. Das ist alles.

 

Ganz ehrlich: Um LAPS sinnvoll zu betreiben, brauchst du mehr Sorgfalt bei der Vorbereitung und im Betrieb, als du bisher anscheinend aufgebracht hast.

 

Gruß, Nils

 

Share this post


Link to post

ich nehme es dir nicht übel. Manchmal stehe ich da auf dem Schlauch :disappointed:

 

Da hast du Recht, ich stolpere über die  die "Installation" der Management-Tools. Dann passt es für mich, ich installiere das Tool auf dem AdminPC und steuere den Zugriff auf die Passwörter über eine AD Gruppe aus da diese ja im Klartext im AD drin stehen. Die Befehle zum Abfragen stehen in den MS-Dokus. Da alle PCs in einer OU sind ist auch das gut aussteuerbar. 

 

Gruß

 

Coolace

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...