Ist LAPS im Fehlerfall ein Eigentor?
Moin zusammen,
ich habe das LAPS installiert und es funktioniert soweit. Nur jetzt habe ich bedenken, dass es Situationen geben kann, in denen mir LAPS ein Ei legt und man sich im Falle eines Fehlers im Active Directory nicht mehr anmelden kann, weil man dann z.B. mit der LAPS GUI das aktuelle Passwort nicht auslesen kann.
Mein Aufbau:
Blech 1 (Hyper-V) + Backupsoftware:
dc1
exchange1
rdp1
administrationsserver
Blech 2 (Hyper-V) + Backupsoftware:
dc2
exchange2
rdp2
druckserver
Die Admins gehen per RDP auf den Administrationsserver um die LAPS Passwörter auszulesen, Backups zu kontrollieren, User anzulegen usw. normalerweise machen sie das mit ihrem eigenen Admin Account, der in der Domäne gepflegt ist.
Wenn jetzt aus irgendeinem Grund beide DC's nicht mehr funktionieren, kommt man nur noch mit einem lokalen Administrator auf den Administrationsserver (oder man hat Glück und die eigenen Admin Konten sind noch gecached), genau so auch der Zugriff auf die zwei Bleche. Dann sollten doch wenigstens diese Maschinen mit einem lokalen Administrator Konto anmeldbar sein, ohne dass man irgendwie gezwungen ist zunächst in LAPS das Passwort auszulesen.
Alle Anderen Server bzw Passwörter können ja meinetwegen über LAPS gesteuert sein, die brauchen sowieso den Domänen Controller um zu funktionieren. Aber um erst einmal die DCs wieder zum laufen zu bekommen benötige ich ein Zugang zum Blech und Hyper-V um evtl Backups zurück spielen zu können.
Also:
Blech 1: festes Administrator Passwort
Blech 2: festes Administrator Passwort
Administrationsserver: festes Administrator Passwort
Alle anderen Server und Clients: LAPS
Geht meine Überlegung auf?
Danke Euch and keep rockin
Der Mike
ich habe das LAPS installiert und es funktioniert soweit. Nur jetzt habe ich bedenken, dass es Situationen geben kann, in denen mir LAPS ein Ei legt und man sich im Falle eines Fehlers im Active Directory nicht mehr anmelden kann, weil man dann z.B. mit der LAPS GUI das aktuelle Passwort nicht auslesen kann.
Mein Aufbau:
Blech 1 (Hyper-V) + Backupsoftware:
dc1
exchange1
rdp1
administrationsserver
Blech 2 (Hyper-V) + Backupsoftware:
dc2
exchange2
rdp2
druckserver
Die Admins gehen per RDP auf den Administrationsserver um die LAPS Passwörter auszulesen, Backups zu kontrollieren, User anzulegen usw. normalerweise machen sie das mit ihrem eigenen Admin Account, der in der Domäne gepflegt ist.
Wenn jetzt aus irgendeinem Grund beide DC's nicht mehr funktionieren, kommt man nur noch mit einem lokalen Administrator auf den Administrationsserver (oder man hat Glück und die eigenen Admin Konten sind noch gecached), genau so auch der Zugriff auf die zwei Bleche. Dann sollten doch wenigstens diese Maschinen mit einem lokalen Administrator Konto anmeldbar sein, ohne dass man irgendwie gezwungen ist zunächst in LAPS das Passwort auszulesen.
Alle Anderen Server bzw Passwörter können ja meinetwegen über LAPS gesteuert sein, die brauchen sowieso den Domänen Controller um zu funktionieren. Aber um erst einmal die DCs wieder zum laufen zu bekommen benötige ich ein Zugang zum Blech und Hyper-V um evtl Backups zurück spielen zu können.
Also:
Blech 1: festes Administrator Passwort
Blech 2: festes Administrator Passwort
Administrationsserver: festes Administrator Passwort
Alle anderen Server und Clients: LAPS
Geht meine Überlegung auf?
Danke Euch and keep rockin
Der Mike
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 523160
Url: https://administrator.de/forum/ist-laps-im-fehlerfall-ein-eigentor-523160.html
Ausgedruckt am: 31.03.2025 um 08:03 Uhr
3 Kommentare
Neuester Kommentar
Servus,
meiner Meinung nach gehört LAPS auf die Clients, nicht auf Server. Es geht ja darum, dass keine Adminkennwörter auf den Clients gecached werden, die dann zum Angriff missbraucht werden können. Solltest Du nach jeder Nutzung des Dom-Adminkontos auf einem Client das dann gleich wieder ändern, kannst LAPS auch weglassen.
Server sind jetzt eher selten das Einfalltor für Schädlinge.
Just my 5 cents,
Henere
meiner Meinung nach gehört LAPS auf die Clients, nicht auf Server. Es geht ja darum, dass keine Adminkennwörter auf den Clients gecached werden, die dann zum Angriff missbraucht werden können. Solltest Du nach jeder Nutzung des Dom-Adminkontos auf einem Client das dann gleich wieder ändern, kannst LAPS auch weglassen.
Server sind jetzt eher selten das Einfalltor für Schädlinge.
Just my 5 cents,
Henere
Also wenn alle deine DCs weg sind,machst du auf dem Adminserver erst mal gar nix, da die Verwaltungstools dort deinen Adminuser nicht authentifizieren können.
Wenn deine DCs weg sind, dann gibt's nichts anderes zu tun als diese wieder ans fliegen zu bekommen.
Das ist wie zu fragen, ob man vielleicht ein zweites Ersatzrad haben sollte, wenn der Motor mal explodiert...
Die Domänen-Admins kannst du ja dennoch an die Adminmaschine per Console anmelden, indem du die netzwerkverbindung trennst. Dann werden die gecachten Credentials genommen
Die Backup Kiste sollte übrigens nicht in der Domäne sein. Dann kannst du dich da immer anmelden und ein restore starten, egal was der DC macht
Wenn deine DCs weg sind, dann gibt's nichts anderes zu tun als diese wieder ans fliegen zu bekommen.
Das ist wie zu fragen, ob man vielleicht ein zweites Ersatzrad haben sollte, wenn der Motor mal explodiert...
Die Domänen-Admins kannst du ja dennoch an die Adminmaschine per Console anmelden, indem du die netzwerkverbindung trennst. Dann werden die gecachten Credentials genommen
Die Backup Kiste sollte übrigens nicht in der Domäne sein. Dann kannst du dich da immer anmelden und ein restore starten, egal was der DC macht