15.07.2025
1948
17
0LAPS Umstellung - Probleme mit der Administratoranmeldung bei Domänenbenutzer
Guten Morgen zusammen,
ich habe seit der Integrierung von LAPS ein Problem im Netzwerk. Ich befinde mich in einem Domänennetzwerk, mit Domänenbenutzern und Domänenadministratoren. Domänenbenutzer haben keine Adminrechte auf deren Clients.
Vor einigen Wochen habe ich LAPS integriert, was auch ohne Probleme funktioniert.
Normalerweise, wenn ich im Kontext eines Domänenbenutzers, ein Programm installieren oder deinstallieren möchte, kommt das Authentifizierungsfenster, wo ich mit den Zugangsdaten meines Domänenadmins oder auch des lokalen Administrators, aktiv werde bzw. ausführe.
Seit der Umstellung tritt folgendes Problem auf, wenn ich etwas ausführe, wofür ich Adminberechtigungen benötige:
Kann es sein, dass LAPS einen zusätzlichen Sicherheitsmechanismus aktiviert, der das verhindert? Vielleicht eine GPO?
Was macht Sinn, wenn ein Admin (Domain oder lokal) immer wieder etwas installieren bzw. deinstallieren muss
Ich hoffe, es kann jemand helfen,
Gruß
ich habe seit der Integrierung von LAPS ein Problem im Netzwerk. Ich befinde mich in einem Domänennetzwerk, mit Domänenbenutzern und Domänenadministratoren. Domänenbenutzer haben keine Adminrechte auf deren Clients.
Vor einigen Wochen habe ich LAPS integriert, was auch ohne Probleme funktioniert.
Normalerweise, wenn ich im Kontext eines Domänenbenutzers, ein Programm installieren oder deinstallieren möchte, kommt das Authentifizierungsfenster, wo ich mit den Zugangsdaten meines Domänenadmins oder auch des lokalen Administrators, aktiv werde bzw. ausführe.
Seit der Umstellung tritt folgendes Problem auf, wenn ich etwas ausführe, wofür ich Adminberechtigungen benötige:
Kann es sein, dass LAPS einen zusätzlichen Sicherheitsmechanismus aktiviert, der das verhindert? Vielleicht eine GPO?
Was macht Sinn, wenn ein Admin (Domain oder lokal) immer wieder etwas installieren bzw. deinstallieren muss
Ich hoffe, es kann jemand helfen,
Gruß
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 673870
Url: https://administrator.de/forum/laps-domanen-administrator-sicherheit-673870.html
Ausgedruckt am: 18.07.2025 um 02:07 Uhr
17 Kommentare
Neuester Kommentar
Moin,
Dein Screenshot könnte aber von AppLocker kommen.
Gruß
Kann es sein, dass LAPS einen zusätzlichen Sicherheitsmechanismus aktiviert
Nicht dass ich wüsste.Dein Screenshot könnte aber von AppLocker kommen.
Gruß
Moin,
jupp, applocker oder software restriction policies. LAPS hat damit nichts zu tun. Durchforste mal gpresult /h
jupp, applocker oder software restriction policies. LAPS hat damit nichts zu tun. Durchforste mal gpresult /h
So, hab mal die Dinge geprüft, nichts. Appblocker ist deaktiviert, keine Sicherheitspolicy aktiv diesbezüglich.
Hab jetzt mal einen neuen Rechner in Betrieb genommen, der nachweislich noch nicht von LAPS in Beschlag genommen wurde.
Hier kann man problemlos als Admin ausführen wählen und sich authentifizieren.
Hab jetzt mal einen neuen Rechner in Betrieb genommen, der nachweislich noch nicht von LAPS in Beschlag genommen wurde.
Hier kann man problemlos als Admin ausführen wählen und sich authentifizieren.
Moin,
unabhängig von dem Problem
Niemals mit einem Domain-Admin Account irgendwo anders als am DC anmelden, idealerweise sollte auch über GPO verhindert werden das es überhaupt möglich ist!
unabhängig von dem Problem
Zitat von @Tschakalaka:
... kommt das Authentifizierungsfenster, wo ich mit den Zugangsdaten meines Domänenadmins oder auch des lokalen Administrators, aktiv werde bzw. ausführe.
... kommt das Authentifizierungsfenster, wo ich mit den Zugangsdaten meines Domänenadmins oder auch des lokalen Administrators, aktiv werde bzw. ausführe.
Niemals mit einem Domain-Admin Account irgendwo anders als am DC anmelden, idealerweise sollte auch über GPO verhindert werden das es überhaupt möglich ist!
Zitat von @pebcak7123:
Niemals mit einem Domain-Admin Account irgendwo anders als am DC anmelden, idealerweise sollte auch über GPO verhindert werden das es überhaupt möglich ist!
Niemals mit einem Domain-Admin Account irgendwo anders als am DC anmelden, idealerweise sollte auch über GPO verhindert werden das es überhaupt möglich ist!
WIe soll ich dann optimalerweise Programme installieren bzw. deinstallieren oder auch administrative Arbeiten auf einem normalen bzw. im Kontext eines normalen Benutzers ausführen?
Nur den lokalen Admin der jeweiligen AS nehmen?
Mit Laps, oder einem anderen Account der über GPO lokale Adminrechte auf dem betroffenen Rechner hat.
1
WIe soll ich dann optimalerweise Programme installieren bzw. deinstallieren oder auch administrative Arbeiten auf einem normalen bzw. im Kontext eines normalen Benutzers ausführen?
Niemals mit einem Domänen-admin.
Entweder LAPS User mit lokalen Adminrechten( dafür wurde das ja geschaffen) oder einen extra Admin-User für das entsprechende Tier.
Zitat von @pebcak7123:
Mit Laps, oder einem anderen Account der über GPO lokale Adminrechte auf dem betroffenen Rechner hat.
Mit Laps, oder einem anderen Account der über GPO lokale Adminrechte auf dem betroffenen Rechner hat.
Ok, wird umgesetzt.
Werde dann jetzt mal das Domänenadminpasswort ändern und ab sofort nur noch via LAPS bzw. mich mit dem jeweiligen lokalen Administrator der Arbeitsstation anmelden.
1
Nochmal zum eigentlichen Thema, was sehr störend ist.
Wie gesagt, festgestellt wurde, dass seit der Einführung von LAPS die oben gezeigte Meldung vom System erscheint:
Hat hier noch niemand das Probleme nach der Umsetzung feststellen können? Es muss doch eine Möglichkeit geben, sich mit dem lokalen Administrator zu authentifizieren, während man als normaler Benutzer angemeldet ist?
Wie gesagt, festgestellt wurde, dass seit der Einführung von LAPS die oben gezeigte Meldung vom System erscheint:
Hat hier noch niemand das Probleme nach der Umsetzung feststellen können? Es muss doch eine Möglichkeit geben, sich mit dem lokalen Administrator zu authentifizieren, während man als normaler Benutzer angemeldet ist?
Es muss doch eine Möglichkeit geben, sich mit dem lokalen Administrator zu authentifizieren, während man als normaler Benutzer angemeldet ist?
Die gibt es auch, auf normalfunktionierenden Systemen mit LAPS. UAC und gut.Es liegt an deinem Setup - irgendwas ist da nicht ganz normal.
Ist das Verhalten bei allen Clients so?
Gruß
Das ist nichts was mit den LAPS GPOs zusammenhängt.
Ich würde eher auf diese tippen:
Computer Configuration -> Policies -> Windows Settings -> Security Settings ->Local Policies -> Security Options -> “User Account Control: Behavior of the elevation prompt for standard users“.
Steht vermutlich auf "Automatically deny elevation requests"
Ich würde eher auf diese tippen:
Computer Configuration -> Policies -> Windows Settings -> Security Settings ->Local Policies -> Security Options -> “User Account Control: Behavior of the elevation prompt for standard users“.
Steht vermutlich auf "Automatically deny elevation requests"
1
Evtl SmartScreen aktiv?
Rechtsklick auf die Datei -> Eigenschaften -> Haken setzen bei „Zulassen“ (unten bei Sicherheit) -> Übernehmen
Zitat von @Tschakalaka:
Ok, wird umgesetzt.
Werde dann jetzt mal das Domänenadminpasswort ändern und ab sofort nur noch via LAPS bzw. mich mit dem jeweiligen lokalen Administrator der Arbeitsstation anmelden.
Zitat von @pebcak7123:
Mit Laps, oder einem anderen Account der über GPO lokale Adminrechte auf dem betroffenen Rechner hat.
Mit Laps, oder einem anderen Account der über GPO lokale Adminrechte auf dem betroffenen Rechner hat.
Ok, wird umgesetzt.
Werde dann jetzt mal das Domänenadminpasswort ändern und ab sofort nur noch via LAPS bzw. mich mit dem jeweiligen lokalen Administrator der Arbeitsstation anmelden.
Wenn du LAPS sauber konfiguriert hast, wozu brauchst du dann noch den "jeweiligen lokalen Administrator der Arbeitsstation"?
Zitat von @mininik:
Wenn du LAPS sauber konfiguriert hast, wozu brauchst du dann noch den "jeweiligen lokalen Administrator der Arbeitsstation"?
Wenn du LAPS sauber konfiguriert hast, wozu brauchst du dann noch den "jeweiligen lokalen Administrator der Arbeitsstation"?
Der Laps User ist doch ein lokaler Administrator auf der Arbeitsstation.
Es gibt ja keinen entsprechenden Benutzer in der AD.
1Zitat von @Delta9:
Der Laps User ist doch ein lokaler Administrator auf der Arbeitsstation.
Es gibt ja keinen entsprechenden Benutzer in der AD.
Zitat von @mininik:
Wenn du LAPS sauber konfiguriert hast, wozu brauchst du dann noch den "jeweiligen lokalen Administrator der Arbeitsstation"?
Wenn du LAPS sauber konfiguriert hast, wozu brauchst du dann noch den "jeweiligen lokalen Administrator der Arbeitsstation"?
Der Laps User ist doch ein lokaler Administrator auf der Arbeitsstation.
Es gibt ja keinen entsprechenden Benutzer in der AD.
Korrekt, hat für mich nur so geklungen als gäbe es zusätzlich zum LAPS User noch weitere lokale Admins, die er dann aber ja nicht mehr braucht
Zitat von @pebcak7123:
Das ist nichts was mit den LAPS GPOs zusammenhängt.
Ich würde eher auf diese tippen:
Computer Configuration -> Policies -> Windows Settings -> Security Settings ->Local Policies -> Security Options -> “User Account Control: Behavior of the elevation prompt for standard users“.
Steht vermutlich auf "Automatically deny elevation requests"
Das ist nichts was mit den LAPS GPOs zusammenhängt.
Ich würde eher auf diese tippen:
Computer Configuration -> Policies -> Windows Settings -> Security Settings ->Local Policies -> Security Options -> “User Account Control: Behavior of the elevation prompt for standard users“.
Steht vermutlich auf "Automatically deny elevation requests"
Treffer versenkt!
Hinweis: Ich habe vor gut 2-3 Monaten den Intune Defender in Betrieb genommen, zeitgleich mit LAPS. Da war ich auf dem Holzweg. Der Punkt werden die security baselines sein. Aufgefallen ist alles erst jetzt, dem lokalen Admin hier am Standort.
Ich hatte euch auch nicht den Hinweis einer hybrid-Umgebung gegeben, sorry.
Wahrscheinlich haben diese irgendwo die reg-Richtlinie angepasst auf "Automatically deny elevation requests"
Ich werde jetzt mal hier weitersuchen, in InTune, vielleicht hat hier auch schon jemand einen Tip?!? Es gibt nicht wenige EInstellungen in den baselines
Das findet man in Intune unter Endpoint security - Security baselines - Security Baseline for Windows 10 and later
da müsste es dann mindestens eine Policy geben, in dieser ist dann gesuchte Einstellung unter "Local Policies Security Options"
"Automatically deny elevation requests" ist die Standard Einstellung der Baseline
da müsste es dann mindestens eine Policy geben, in dieser ist dann gesuchte Einstellung unter "Local Policies Security Options"
"Automatically deny elevation requests" ist die Standard Einstellung der Baseline
1
