Gu4rdi4n 80 Geschrieben vor 6 Stunden Melden Geschrieben vor 6 Stunden Hi, ich habe letzte Woche LAPS ausgerollt und bekomme aber keine Passwörter. Es gibt auf jedem PC ein lokalen admin User mit dem gleichen Namen "install" Was mach ich denn falsch? GPO wird lauf Ergenisassi gezogen
cj_berlin 1.523 Geschrieben vor 6 Stunden Melden Geschrieben vor 6 Stunden Moin, was sagt denn das LAPS-Eventlog auf einer betroffenen Maschine dazu? 1
testperson 1.883 Geschrieben vor 5 Stunden Melden Geschrieben vor 5 Stunden Hi, zusätzliche Fragen: Welches Betriebssystem ist auf "MESSARMQS" mit welchem Patchstand installiert? Wird der User "install" vorher erstellt? Falls nein, dürfte das der Fehler sein. Erstellen kann LAPS AFAIK nur mit "Configure automatic account management" / "Konfigurieren der automatischen Kontoverwaltung", was dann aber wieder Win 11 24H2 / Windows Server 2025 und neuer benötigt. Gruß Jan 1
Gu4rdi4n 80 Geschrieben vor 5 Stunden Autor Melden Geschrieben vor 5 Stunden (bearbeitet) Die DCs sind alle 2019 und der Client W11 25H2 Ja, der User ist beim Installieren schon mit drauf. Darf der noch nicht existieren? Ich habe das so verstanden, dass LAPS einen lokalen User verwaltet Joa, Eventlog sollte man mal anschauen. Dann hätte man auch gemerkt, dass man die Domänenfunktionsebene doch nicht auf 2016 heraufgestuft hat, wie man angenommen hat. Das habe ich jetzt gemacht und nun kommen im Eventlog auch keine Fehler mehr. Allerdings taucht im AD auch nicht das PW auf. Zwei Events im Log: 10002 - Die DLL für das lokale Administratorkennwort wurde entladen. 10000 - Das Feature "Lokales Administratorkennwort" wurde erfolgreich geladen und initialisiert. Edit: Neue Einträge im Log: 10108 - Das msLAPSCurrentPasswordVersion-Attribut wurde dem Active Directory-Schema nicht hinzugefügt. Dieses Attribut wird verwendet, um beschädigte Zustandsbedingungen zu erkennen, die durch Rollbackszenarien des Betriebssystemimages verursacht werden. Alle primären Szenarien funktionieren ohne dieses Attribut. Es wird jedoch empfohlen, dass der Administrator dieses Problem behebt, indem er das neueste Update-LapsADSchema-Cmdlet erneut ausführt. 10015 - Das Kennwort für das verwaltete Konto muss aus mindestens einem Grund aktualisiert werden (0x3A05): Das aktuelle Kennwort ist abgelaufen. Die Richtlinienautorität wurde geändert. Die Richtlinie ist für die Kennwortverschlüsselung konfiguriert, aber das verschlüsselte Kennwortattribut wurde nicht gefunden. Die Richtlinie wurde geändert, um ein anderes Kennwortverschlüsselungsziel anzugeben. Der lokale Zustand fehlt und/oder ist mit dem Verzeichnisstatus inkonsistent. Mindestens eine Kontoverwaltungsrichtlinieneinstellung wurde geändert. 10066 - LAPS hat beim Aktualisieren des Kennworts mithilfe des LAPS-Kennwortattributs einen LDAP_INSUFFICIENT_RIGHTS Fehler empfangen. Aktualisieren Sie die Berechtigungen für den Container dieses Computers mithilfe des Cmdlets "Set-LapsADComputerSelfPermission". Beispiel: Set-LapsADComputerSelfPermission -Identity 'OU=TestOU,OU=TestComputers,DC=TestLab,DC=de' 10017 - LAPS konnte Active Directory nicht mit dem neuen Kennwort aktualisieren. Das aktuelle Kennwort wurde nicht geändert. Fehlercode: 0x80070032 10005 - Fehler bei der Laps-Richtlinienverarbeitung. Fehlercode: Fehlercode: 0x80070032 bearbeitet vor 5 Stunden von Gu4rdi4n
testperson 1.883 Geschrieben vor 5 Stunden Melden Geschrieben vor 5 Stunden Du hast aber schon das Schema erweitert und auch die initiale LAPS Konfiguration durchgeführt? Laut den Eventlogs fehlt das.
NorbertFe 2.310 Geschrieben vor 4 Stunden Melden Geschrieben vor 4 Stunden Und gleich noch ne Frage hinterher: Ist das wirklich eine clevere Idee die DSRM Kennworte auch mit zu "lapsen"? Sollte man nur tun, wenn der ganze Prozess dahinter auch paßt.
Gu4rdi4n 80 Geschrieben vor 3 Stunden Autor Melden Geschrieben vor 3 Stunden Ich bin ehrlich, ich hab das erstmal einfach nach einem Tutorial abgearbeitet in dem Stand von alldem nichts Vermutlich hab ich ein schlechtes erwischt. Ich denke ich such mir mal ein anderes raus und lese mich nochmal durch
Beste Lösung NorbertFe 2.310 Geschrieben vor 3 Stunden Beste Lösung Melden Geschrieben vor 3 Stunden https://www.gruppenrichtlinien.de/artikel/migration-laps-legacy-zu-laps-nativ 1
testperson 1.883 Geschrieben vor 3 Stunden Melden Geschrieben vor 3 Stunden Wenn du auf der grünen Wiese startest und nicht vom "legacy LAPS" umstellst oder es in einer Testumgebung zügig implementieren und testen möchtest: Windows LAPS - Abkündigung Legacy LAPS - Jans Cloud
NorbertFe 2.310 Geschrieben vor 2 Stunden Melden Geschrieben vor 2 Stunden (bearbeitet) Ja, oder einfach bei Punkt 3 anfangen ;) bearbeitet vor 2 Stunden von NorbertFe
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden