beck2oldschool
11.03.2025 um 14:47:21 Uhr
view457
view7
0
Goto Top

Frage zu LAPS Schema Erweiterung

FrageWindows ToolsWindows Server
Hallo zusammen,
irgendwie stehe ich auf dem Schlauch und bitte um eure Hilfe.
Ich habe drei DCs. 2x Server 2019, 1x (leider noch) Server 2016. Domain- und Forestfunktionsebene ist 2016. Ich habe ein Admin Tier Model. Und ich möchte gerne Windows Laps ausrollen.
Dazu muss ich das Schema mit 
Update-LapsADSchema
erweitern. Ich befinde mich dazu mit meinem Tier0 Admin auf dem DC der alle FSMO Rollen (inkl SchemaMaster) inne hat. Ich trage mich, also den Tier0 Admin mit dem ich angemeldet bin, unter CN=Schema-Admins,CN=Users,DC=domain,DC=lokal ein, öffne eine elevated PowerShell Konsole und gebe den o.g. Befehl ein.
Dann bekomme ich zunächst:
PS C:\Windows\system32> Update-LapsADSchema

The 'ms-LAPS-Password' schema attribute needs to be added to the AD schema.  
Do you want to proceed?
[J] Ja  [A] Ja, alle  [N] Nein  [K] Nein, keine  [H] Anhalten  [?] Hilfe (Standard ist "J"):

Ich drücke "J" und bekomme:
WARNUNG: Add request for 'CN=ms-LAPS-Password,CN=Schema,CN=Configuration,DC=domain,DC=lokal' threw exception:  
WARNUNG: System.DirectoryServices.Protocols.DirectoryOperationException: Der Benutzer verfügt nicht über die
erforderlichen Zugriffsrechte.
   bei System.DirectoryServices.Protocols.LdapConnection.ConstructResponse(Int32 messageId, LdapOperation operation,
ResultAll resultType, TimeSpan requestTimeOut, Boolean exceptionOnTimeOut)
   bei System.DirectoryServices.Protocols.LdapConnection.SendRequest(DirectoryRequest request, TimeSpan
requestTimeout)
   bei Microsoft.Windows.LAPS.UpdateLapsADSchema.AddSchemaAttribute(String schemaAttributeDN, LAPSSchemaAttribute
lapsSchemaAttribute)
Update-LapsADSchema : **Der Benutzer verfügt nicht über die erforderlichen Zugriffsrechte.**
In Zeile:1 Zeichen:1
+ Update-LapsADSchema
+ ~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (:) [Update-LapsADSchema], DirectoryOperationException
    + FullyQualifiedErrorId : System.DirectoryServices.Protocols.DirectoryOperationException,Microsoft.Windows.LAPS.Up
   dateLapsADSchema

Ich bin Tier0 Admin, auf dem Schemamaster angemeldet und in der Gruppe der Schema-Admins..!? Warum habe ich noch immer nicht die ausreichenden Rechte? Wo kann denn hier der Fehler liegen?

Danke für jeden Tipp schonmal im Voraus!
ShareTeilen
Auf Facebook teilen Auf X (Twitter) teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 671872

Url: https://administrator.de/forum/frage-zu-laps-schema-erweiterung-671872.html

Ausgedruckt am: 12.03.2025 um 04:03 Uhr

7 Kommentare
Neuester Kommentar
Goto Top
mirdochegal
mirdochegal 11.03.2025 aktualisiert um 15:04:01 Uhr
Goto Top
Moin,

in de Domain-Admins Gruppe wird der User sicherlich auch sein?

DCs auch synchron?
repadmin /replicate DC2.contoso.com PDC.contoso.com CN=Schema,CN=Configuration,DC=contoso,dc=com /force

ggf. kickt Powershell rein:
-ExecutionPolicy bypass

Ansonsten: mach diesen Account temporär zum Enterprise Admin. Mache das Update und lösche den User wieder aus der Gruppe. Damit hast Du auch die Schemarolle und sicher auch die benötigten Rechte (Log0ff/LogIn nicht vergessen)

Gruß
beck2oldschool
beck2oldschool 11.03.2025 um 15:00:40 Uhr
Goto Top
Danke schonmal für die Antwort.
Ja, der User ist auch DomainAdmin und die Replikation funktioniert tadellos.

Ich hab schon überlegt, ob es an dem 2016er liegen kann. Ich hab auf der Google Suche irgendwo in einem Nebensatz etwas gelesen. Ich finde es nur jetzt nicht mehr.

Auch in den Eigenschaften von CN=ms-LAPS-Password,CN=Schema,CN=Configuration,DC=domain,DC=lokal stehen die Schema-Admins drin (default)
clipboard-image
w1k33d
w1k33d 11.03.2025 um 15:11:29 Uhr
Goto Top
Hi,

LAPS New funktioniert auf 2016 Servern nicht. D.h. du kannst nur LAPS Legacy verwenden. Nutzt du die Anleitung für New oder Legacy?
beck2oldschool
beck2oldschool 11.03.2025 um 15:28:24 Uhr
Goto Top
Legacy läuft schon. Ok, das könnte natürlich das Problem sein, wobei die Fehlermeldung dann Käse ist. Was auch wieder nichts Neues ist. face-big-smile
Da bald 2025 einzieht, werde ich dann noch so lange warten. Den 2016er mit dem 2025er ablösen und dann Windows LAPS ausrollen.

Danke @mirdochegal
Ansonsten: mach diesen Account temporär zum Enterprise Admin. Mache das Update und lösche den User wieder aus der Gruppe. Damit hast Du auch die Schemarolle und sicher auch die benötigten Rechte (Log0ff/LogIn nicht vergessen)
Das ist auch ne Idee! Teste ich mal. Wenn es damit auch nicht geht, warte ich bis der neue DC da ist.
mirdochegal
mirdochegal 11.03.2025 aktualisiert um 15:40:40 Uhr
Goto Top
Das ist auch ne Idee! Teste ich mal. Wenn es damit auch nicht geht, warte ich bis der neue DC da ist.
Das wird damit auch nicht funktionieren bzw. nur halb:
learn.microsoft.com/en-us/windows-server/identity/laps/laps-scenarios-windows-server-active-directory#domain-functional-level-and-domain-controller-os-version-requirements

adminde

Mein Vorschlag:
  • 2016er heute noch killen bzw nebenbei einen 2019/22 aufsetzen und jenen 16er ablösen. Hats ja fix im Grunde.
Dann steht Dir das auch nicht mehr im Wege. Ich würde das tatsächlich recht zeitnah erledigen. Das Feature nutze ich gefühlt ewig und ich bin dankbar darum. (Nativsupport; nicht Legacy)

Wie auch immer, habe ich den Wink mit dem Zaunpfahl (bzgl. 2016) gekonnt ignoriert, sorry.

Gruß
heart1
beck2oldschool
beck2oldschool 11.03.2025 um 15:51:20 Uhr
Goto Top
Ja, das stimmt, da hast du schon recht. Der wäre ruckzuck aufgesetzt und abgelöst. In der hiesigen Konstellation allerdings nicht ganz so einfach. Der nervt mich da schon lange. Der Virtualisierungshost steht allerdings nicht bei mir und der Zugriff darauf gestaltet sich schwierig. Deswegen zieht sich das schon ne ganze Weile
SlainteMhath
SlainteMhath 11.03.2025 um 16:02:34 Uhr
Goto Top
Moin,

Ich trage mich, also den Tier0 Admin mit dem ich angemeldet bin, unter CN=Schema-Admins,CN=Users,DC=domain,DC=lokal ein, öffne eine elevated PowerShell Konsole und gebe den o.g. Befehl ein.

Hast du dich, nachdem du deine Gruppenzugehörigkeit geändert hast, neu angemeldet? Erst dann wird die neue Mitgliedschaft aktiv.

lg,
Slainte
heart1
FrageWindows ToolsWindows Server
Mehr von beck2oldschoolbeck2oldschoolKeepass Vaultwarden Migration (Frage zu Sammlungen Gruppen Ordner)beck2oldschool - 19 Kommentarebeck2oldschoolLokale Admin Konten mit MFA absichernbeck2oldschool - 32 Kommentarebeck2oldschoolFrage zur Silent Installation von Rustdesk Clientbeck2oldschool - 6 Kommentarebeck2oldschoolDNS Default-First-Site-Name Einträge ändernbeck2oldschool - 4 Kommentare
Heiß diskutiert
Uwe-KernchenWieviel (v)LANs sind "normal"?Uwe-Kernchen - 52 KommentareITeinsteigerIst in einem Netzwerk die MAC-Adresse nicht überflüssig?ITeinsteiger - 36 KommentareAbstrackterSystemimperatorJobsuche: Eventuell übergangsweise als SL-Supporter?AbstrackterSystemimperator - 25 KommentareMilordIT-Großhandel für kleinen IT-DienstleisterMilord - 20 Kommentarer2d2r3poZugriff auf Windows Server und NAS mit Windows 11r2d2r3po - 17 KommentareaxlemoxleMailarchivierung nach gesetzl. Vorgaben Journalingpostfachaxlemoxle - 16 KommentareWolf2000Ist mein Server sicher?Wolf2000 - 16 KommentarepetereIT Inventar verwaltenpetere - 15 KommentareStefanKittelAdmin.exchange.microsoft.com Offline?StefanKittel - 14 Kommentare-WeBu-ODT für Office 365 Family möglich?-WeBu- - 14 KommentareStefanKittelAlternative zu O365 + TeamsStefanKittel - 13 KommentaremannidUnterwegs via LTE oder WLAN auf Terminalserver in Firma zugreifenmannid - 13 KommentareByteArchitectUser Management LinuxByteArchitect - 12 Kommentare