10
LAPS Einführung funktioniert nicht
Moin Zusammen,
ich bin gerade dabei LAPS bei uns zu implementieren und habe das ganze heute Morgen in einer Testumgebung installiert, dort hatte ich LAPS in 30 Minuten funktionsbereit. Jetzt in der Produktiv Umgebung leider nicht, Das DFL in der Testumgebung und Porduktiv Domain ist 2016.
Zum Ablauf:
Ich habe LAPS auf beiden DCs installiert, danach das Powershell Module für AdmPwd importiert und das AD Schema aktualisiert. Nun die OUs delegiert welche LAPS erhalten sollen und eine LAPSAdmins Gruppe erstellt. Dieser LAPSAdmins Gruppe habe ich dann die AdmPwdReadPasswordPermission für die nötigen OUs gegeben.
Als letztes habe ich die GPO erstellt zur Verteilung von LAPS, hier kam die erste Merkwürdigkeit auf. LAPS ist auf dem DC installiert, trotzdem habe ich die Richtlinien nicht unter Computerkonfiguration > Richtlinien > LAPS gefunden. Sondern musste lt. diesem Post die .admx und .adml aus meinem lokalen SYSVOL > PolicyDefinitions in die PolicyDefinitions der Domain kopieren. Danach waren die LAPS Richtlinien auch auffindbar unter Computerkonfiguration > Richtlinien > System > LAPS.
Mit denen habe ich die folgende Konfigurationen eingestellt:
Nachdem ich die Policy den OUs zugeteilt habe, benutzte ich einen Laptop den ich nebenbei am einrichten war, um die Gruppenrichtlinien zu testen. Also GPOs aktualisiert, neugestartet, nochmal die richtlinien aktualisiert und dann von dem DC aus die Abfrage gestartet, jedoch kriegt die LAPS UI kein Passwort von dem Laptop zurück.
Ich habe jetzt über 2 Stunden hinweg Einstellungen überprüft, Richtlinien immer wieder neu aktualisiert und neu gestartet. Es Scheint aber kein Gerät die neuen Passwörter zu bekommen. Woran könnte das liegen? (Habe es mit mehreren Geräten versucht und mit mehreren usern aus der LAPSAdmins Gruppe)
Viele Grüße
ich bin gerade dabei LAPS bei uns zu implementieren und habe das ganze heute Morgen in einer Testumgebung installiert, dort hatte ich LAPS in 30 Minuten funktionsbereit. Jetzt in der Produktiv Umgebung leider nicht, Das DFL in der Testumgebung und Porduktiv Domain ist 2016.
Zum Ablauf:
Ich habe LAPS auf beiden DCs installiert, danach das Powershell Module für AdmPwd importiert und das AD Schema aktualisiert. Nun die OUs delegiert welche LAPS erhalten sollen und eine LAPSAdmins Gruppe erstellt. Dieser LAPSAdmins Gruppe habe ich dann die AdmPwdReadPasswordPermission für die nötigen OUs gegeben.
Als letztes habe ich die GPO erstellt zur Verteilung von LAPS, hier kam die erste Merkwürdigkeit auf. LAPS ist auf dem DC installiert, trotzdem habe ich die Richtlinien nicht unter Computerkonfiguration > Richtlinien > LAPS gefunden. Sondern musste lt. diesem Post die .admx und .adml aus meinem lokalen SYSVOL > PolicyDefinitions in die PolicyDefinitions der Domain kopieren. Danach waren die LAPS Richtlinien auch auffindbar unter Computerkonfiguration > Richtlinien > System > LAPS.
Mit denen habe ich die folgende Konfigurationen eingestellt:
Ich habe jetzt über 2 Stunden hinweg Einstellungen überprüft, Richtlinien immer wieder neu aktualisiert und neu gestartet. Es Scheint aber kein Gerät die neuen Passwörter zu bekommen. Woran könnte das liegen? (Habe es mit mehreren Geräten versucht und mit mehreren usern aus der LAPSAdmins Gruppe)
Viele Grüße
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 22163382429
Url: https://administrator.de/contentid/22163382429
Ausgedruckt am: 24.11.2024 um 00:11 Uhr
10 Kommentare
Neuester Kommentar
Hi.
hast Du gesetzt, wo das Passwort gespeichert werden soll?
Das scheint zu fehlen. Auch der decrypter fehlt scheinbar:
Gruß
hast Du gesetzt, wo das Passwort gespeichert werden soll?
Das scheint zu fehlen. Auch der decrypter fehlt scheinbar:
Moin,
ja ist auf AD gesetzt und als Decryptor habe ich jetzt die LAPSAdmins Gruppe hinzugefügt. Leider kein Erfolg.
Solltenichts damit zu Tun haben da die Encryption nicht eingeschaltet war, somit haben automatisch nur die AD-Admins Zugriff. Kann es aber auch nicht als AD Admin auslesen.
PW im Attributeditor fehlt ebenfalls, also scheinen es nicht die Berechtigungen zu sein.
Grüße
PS: Evtl. doch Berechtigungsprobleme.. Konfiguration über den LAPS Reiter in den Eigenschaften des Computers.
ja ist auf AD gesetzt und als Decryptor habe ich jetzt die LAPSAdmins Gruppe hinzugefügt. Leider kein Erfolg.
Solltenichts damit zu Tun haben da die Encryption nicht eingeschaltet war, somit haben automatisch nur die AD-Admins Zugriff. Kann es aber auch nicht als AD Admin auslesen.
PW im Attributeditor fehlt ebenfalls, also scheinen es nicht die Berechtigungen zu sein.
Grüße
PS: Evtl. doch Berechtigungsprobleme.. Konfiguration über den LAPS Reiter in den Eigenschaften des Computers.
Moin,
https://activedirectorypro.com/microsoft-laps-setup-install-guide/#set-c ...
Gruß,
Dani
Ich habe LAPS auf beiden DCs installiert, danach das Powershell Module für AdmPwd importiert und das AD Schema aktualisiert. Nun die OUs delegiert welche LAPS erhalten sollen und eine LAPSAdmins Gruppe erstellt. Dieser LAPSAdmins Gruppe habe ich dann die AdmPwdReadPasswordPermission für die nötigen OUs gegeben.
Und was ist mit den Rechten für den Computer bzw. sein Konto? Gleiche deine Konfiguration bitte einmal ab;https://activedirectorypro.com/microsoft-laps-setup-install-guide/#set-c ...
Gruß,
Dani
Moin,
Mal die eventlogs auf einem Client angeschaut?
Der LAPS schreibt da auch mittlerweile fleißig rein wenn der denn per gpo erfolgreich installiert wurde
Vg
Mal die eventlogs auf einem Client angeschaut?
Der LAPS schreibt da auch mittlerweile fleißig rein wenn der denn per gpo erfolgreich installiert wurde
Vg
Guten Morgen,
ich habe heute Morgen die Gruppenrichtlinienverwaltung geöffnet und nun taucht unter Computerkonfiguration > Richtlinien > Administrative Vorlagen > LAPS, als auch unter Computerkonfiguration > Richtlinien > Administrative Vorlagen > System > LAPS, die Einstellungen für LAPS auf. Sieht aber so aus als wären es einmal für das alte LAPS und einmal für das neue (?).
Bild1 
Bild2
Ich habe mal alle konfigurierten Richtlinien entfernt, und LAPS nach Bild 2 eingestellt. Siehe da, hiermit funktioniert es. Allerdings immernoch nicht wenn ich die GPOs aus Bild1 benutze (?).
Ich würde jedoch gerne die Einstellungen, wie in Bild 1 abgebildet, benutzen.. 😞
Grüße
ich habe heute Morgen die Gruppenrichtlinienverwaltung geöffnet und nun taucht unter Computerkonfiguration > Richtlinien > Administrative Vorlagen > LAPS, als auch unter Computerkonfiguration > Richtlinien > Administrative Vorlagen > System > LAPS, die Einstellungen für LAPS auf. Sieht aber so aus als wären es einmal für das alte LAPS und einmal für das neue (?).
Ich habe mal alle konfigurierten Richtlinien entfernt, und LAPS nach Bild 2 eingestellt. Siehe da, hiermit funktioniert es. Allerdings immernoch nicht wenn ich die GPOs aus Bild1 benutze (?).
Ich würde jedoch gerne die Einstellungen, wie in Bild 1 abgebildet, benutzen.. 😞
Grüße
Guten Morgen,
habe mir die Logs einmal angeschaut von Freitag. Er scheint den DC nicht zu finden, zumindest keine LDAP Verbindung für LAPS kriegt er hin. DNS Funktioniert allerdings..
Grüße
habe mir die Logs einmal angeschaut von Freitag. Er scheint den DC nicht zu finden, zumindest keine LDAP Verbindung für LAPS kriegt er hin. DNS Funktioniert allerdings..
Grüße
Vielleicht hast du irgendwo nur den DNS Namen und nicht den FQDN benutzt. GGF könnte das bei der LDAPS probleme machen. (LDAPS = KEIN SCHREIBFEHLER)
Sollte nicht sein, der Computer bezieht seinen DNS über DHCP, die Adresse und Namensauflösung stimmen.
Die Fehlermeldungen kommen nicht, wenn ich es über die Richtlinien des alten LAPS konfiguriere, sprich Computerkonfiguration > Richtlinien > Administrative Vorlagen > LAPS. Wenn sie mit den neuen Richtlinien konfiguriert werden, Computerkonfiguration > Richtlinien > Administrative Vorlagen > System > LAPS, dann kommen die Fehlermeldungen.
Die Fehlermeldungen kommen nicht, wenn ich es über die Richtlinien des alten LAPS konfiguriere, sprich Computerkonfiguration > Richtlinien > Administrative Vorlagen > LAPS. Wenn sie mit den neuen Richtlinien konfiguriert werden, Computerkonfiguration > Richtlinien > Administrative Vorlagen > System > LAPS, dann kommen die Fehlermeldungen.
Moin,
Bild 1 ist das Windows / Microsoft LAPS (seit April 2023 in der CU enthalten mit Support für Intune usw.)
Bild 2 ist das Legacy Laps (das alte)
Eventuell hast du nicht auf das AD Schema für den neuen Windows LAPS erweitert sondern nur für den Legacy Laps.
Windows LAPS-Schema
Denn: das Feld, das du für das LAPS Passwort suchst ist nicht mehr ms-mcs-AdmPwd sondern msLAPS-Passwort bzw. msLAPS-EncryptedPassword.
Hast du denn diese Attribute in einem Computer-Objekt?
Falls nicht bitte das Schema erweitern für Windows LAPS.
Die Vergabe des Namens ist dreckig und verwirrt nur bei Recherchen. Nicht verwirren lassen - das geht leider ganz schnell.
Powershell Befehl, um das AD Schema auf das Microsoft LAPS zu aktualisieren:
Update-LapsADSchema
Windows LAPS (das Neue)
Vorbereitung AD für das neue LAPS
Ach ja und das neue LAPS ist seit CU April 2023 nativ installiert und kann nicht deinstalliert werden. Es ist Teil von Windows Baseline Security Features.
VG
Bild 1 ist das Windows / Microsoft LAPS (seit April 2023 in der CU enthalten mit Support für Intune usw.)
Bild 2 ist das Legacy Laps (das alte)
Eventuell hast du nicht auf das AD Schema für den neuen Windows LAPS erweitert sondern nur für den Legacy Laps.
Windows LAPS-Schema
Denn: das Feld, das du für das LAPS Passwort suchst ist nicht mehr ms-mcs-AdmPwd sondern msLAPS-Passwort bzw. msLAPS-EncryptedPassword.
Hast du denn diese Attribute in einem Computer-Objekt?
Falls nicht bitte das Schema erweitern für Windows LAPS.
Die Vergabe des Namens ist dreckig und verwirrt nur bei Recherchen. Nicht verwirren lassen - das geht leider ganz schnell.
Powershell Befehl, um das AD Schema auf das Microsoft LAPS zu aktualisieren:
Update-LapsADSchema
Windows LAPS (das Neue)
Vorbereitung AD für das neue LAPS
Ach ja und das neue LAPS ist seit CU April 2023 nativ installiert und kann nicht deinstalliert werden. Es ist Teil von Windows Baseline Security Features.
VG
Moin,
das ist es. Es kam mir schon komisch vor das der LAPS Download von 2021 ist..
Naja, einmal falsch machen und daraus lernen..
Vielen Dank Dir
Eventuell hast du nicht auf das AD Schema für den neuen Windows LAPS erweitert sondern nur für den Legacy
das ist es. Es kam mir schon komisch vor das der LAPS Download von 2021 ist..
Naja, einmal falsch machen und daraus lernen..
Vielen Dank Dir
