6
Active-Directory: Lokale Admin-Passworte via GPO ohne LAPS setzen
Hallo!
Ich habe hier gerade folgendes Projekt:
- Auf jedem Rechner einer OU soll es ein lokales Admin-Passwort geben.
- Das Passwort soll automatisch gesetzt werden, wenn ein Rechner der OU hinzugefügt wird.
- Das Passwort soll für die Rechner einer OU gleich sein.
- Das Passwort soll nicht im Klartext in irgendeinem Script auf irgendeinem Share liegen.
Hier komme ich nicht weiter.
Früher war dies ja möglich per GPO lokale User zu verwalten, aber da der Schlüssel bekannt ist, mit dem sie verschlüsselt werden, hat Microsoft dies ja heraus genommen.
LAPS soll die Alternative sein, aber hier gibt es individuelle Passworte (was in diesem Fall nicht gewünscht ist.
Habt ihr eine Idee, wie ich das umsetzen kann?
Per Skript das Passwort setzen wäre unproblematisch, aber hier steht es dann im Klartext.
Danke und Grüße
Phil
Ich habe hier gerade folgendes Projekt:
- Auf jedem Rechner einer OU soll es ein lokales Admin-Passwort geben.
- Das Passwort soll automatisch gesetzt werden, wenn ein Rechner der OU hinzugefügt wird.
- Das Passwort soll für die Rechner einer OU gleich sein.
- Das Passwort soll nicht im Klartext in irgendeinem Script auf irgendeinem Share liegen.
Hier komme ich nicht weiter.
Früher war dies ja möglich per GPO lokale User zu verwalten, aber da der Schlüssel bekannt ist, mit dem sie verschlüsselt werden, hat Microsoft dies ja heraus genommen.
LAPS soll die Alternative sein, aber hier gibt es individuelle Passworte (was in diesem Fall nicht gewünscht ist.
Habt ihr eine Idee, wie ich das umsetzen kann?
Per Skript das Passwort setzen wäre unproblematisch, aber hier steht es dann im Klartext.
Danke und Grüße
Phil
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 385086
Url: https://administrator.de/forum/active-directory-lokale-admin-passworte-via-gpo-ohne-laps-setzen-385086.html
Ausgedruckt am: 02.04.2025 um 12:04 Uhr
6 Kommentare
Neuester Kommentar
Moin,
du kannst das mit Powershell Secure Strings machen, dann steht das Passwort nicht im Klartext im Script.
/Thomas
du kannst das mit Powershell Secure Strings machen, dann steht das Passwort nicht im Klartext im Script.
/Thomas
1
Hi.
Ich habe einen Vorschlag:
Da Ihr ja an Sicherheit interessiert zu sein scheint, überdenkt die Anforderungen noch einmal.
Ich habe einen Vorschlag:
Da Ihr ja an Sicherheit interessiert zu sein scheint, überdenkt die Anforderungen noch einmal.
Das Passwort soll nicht im Klartext in irgendeinem Script auf irgendeinem Share liegen
->Das ist ja nur dann ein Problem, wenn dieses Share für Personen lesbar ist, die dort nichts zu suchen haben - wie soll es denn dazu kommen, wenn man die Berechtigungen entsprechend vergibt? Das Passwort soll für die Rechner einer OU gleich sein.
->Das ist sicherheitstechnisch schon sehr bedenklich und ich würde dir raten, dir statt dessen mein Konzept anzusehen, welches sicher ist bei hohem Komfort: Sicherer Umgang mit Supportkonten
Hallo!
@tkr104
Vielen Dank!
Das sieht super aus.
Damit komme ich weiter.
Gruß
@tkr104
Vielen Dank!
Das sieht super aus.
Damit komme ich weiter.
Gruß
Hallo!
@aqui:
Du hast Recht, das könnte man mit den Berechtigungen auf das Share lösen, aber ich finde es nie prickelnd, wenn irgendwo Dateien im Klartext liegen. Am Schluss sind sie dann in irgendeinem Backup und jemand verschafft sich darüber Zugriff...
Gleiche Passworte sind nie eine gute Lösung, aber manchmal vielleicht eine "noch akzeptable" für Gruppen - zumindest in meinen Augen.
Gruß und danke
Phil
@aqui:
Du hast Recht, das könnte man mit den Berechtigungen auf das Share lösen, aber ich finde es nie prickelnd, wenn irgendwo Dateien im Klartext liegen. Am Schluss sind sie dann in irgendeinem Backup und jemand verschafft sich darüber Zugriff...
Gleiche Passworte sind nie eine gute Lösung, aber manchmal vielleicht eine "noch akzeptable" für Gruppen - zumindest in meinen Augen.
Gruß und danke
Phil
aqui? habe ich meine Umbenamsung verpasst?
Glaub mir, das Problem dass die Dinger im Klartext auf einem geschützten Share liegen ist kleiner, als dass die OU-weit gleich sind.
Glaub mir, das Problem dass die Dinger im Klartext auf einem geschützten Share liegen ist kleiner, als dass die OU-weit gleich sind.
Oh... das tut mir Leid...
Sorry.
Sorry.
