darkzonesd
Goto Top

LAPS Einführung funktioniert nicht

Moin Zusammen,

ich bin gerade dabei LAPS bei uns zu implementieren und habe das ganze heute Morgen in einer Testumgebung installiert, dort hatte ich LAPS in 30 Minuten funktionsbereit. Jetzt in der Produktiv Umgebung leider nicht, Das DFL in der Testumgebung und Porduktiv Domain ist 2016.

Zum Ablauf:

Ich habe LAPS auf beiden DCs installiert, danach das Powershell Module für AdmPwd importiert und das AD Schema aktualisiert. Nun die OUs delegiert welche LAPS erhalten sollen und eine LAPSAdmins Gruppe erstellt. Dieser LAPSAdmins Gruppe habe ich dann die AdmPwdReadPasswordPermission für die nötigen OUs gegeben.

Als letztes habe ich die GPO erstellt zur Verteilung von LAPS, hier kam die erste Merkwürdigkeit auf. LAPS ist auf dem DC installiert, trotzdem habe ich die Richtlinien nicht unter Computerkonfiguration > Richtlinien > LAPS gefunden. Sondern musste lt. diesem Post die .admx und .adml aus meinem lokalen SYSVOL > PolicyDefinitions in die PolicyDefinitions der Domain kopieren. Danach waren die LAPS Richtlinien auch auffindbar unter Computerkonfiguration > Richtlinien > System > LAPS.

Mit denen habe ich die folgende Konfigurationen eingestellt:
unbenannt
Nachdem ich die Policy den OUs zugeteilt habe, benutzte ich einen Laptop den ich nebenbei am einrichten war, um die Gruppenrichtlinien zu testen. Also GPOs aktualisiert, neugestartet, nochmal die richtlinien aktualisiert und dann von dem DC aus die Abfrage gestartet, jedoch kriegt die LAPS UI kein Passwort von dem Laptop zurück.
unbenannt

Ich habe jetzt über 2 Stunden hinweg Einstellungen überprüft, Richtlinien immer wieder neu aktualisiert und neu gestartet. Es Scheint aber kein Gerät die neuen Passwörter zu bekommen. Woran könnte das liegen? (Habe es mit mehreren Geräten versucht und mit mehreren usern aus der LAPSAdmins Gruppe)

Viele Grüße

Content-Key: 22163382429

Url: https://administrator.de/contentid/22163382429

Printed on: June 12, 2024 at 18:06 o'clock

Mitglied: 9697748851
9697748851 May 17, 2024 updated at 11:19:59 (UTC)
Goto Top
Hi.

hast Du gesetzt, wo das Passwort gespeichert werden soll?
Das scheint zu fehlen. Auch der decrypter fehlt scheinbar:
ffefewfewfew
Gruß
Member: DarkZoneSD
DarkZoneSD May 17, 2024 updated at 11:39:17 (UTC)
Goto Top
Moin,

ja ist auf AD gesetzt und als Decryptor habe ich jetzt die LAPSAdmins Gruppe hinzugefügt. Leider kein Erfolg.

Solltenichts damit zu Tun haben da die Encryption nicht eingeschaltet war, somit haben automatisch nur die AD-Admins Zugriff. Kann es aber auch nicht als AD Admin auslesen.

PW im Attributeditor fehlt ebenfalls, also scheinen es nicht die Berechtigungen zu sein.

unbenannt

Grüße

PS: Evtl. doch Berechtigungsprobleme.. Konfiguration über den LAPS Reiter in den Eigenschaften des Computers.
2
Member: Dani
Dani May 17, 2024 at 13:45:58 (UTC)
Goto Top
Moin,
Ich habe LAPS auf beiden DCs installiert, danach das Powershell Module für AdmPwd importiert und das AD Schema aktualisiert. Nun die OUs delegiert welche LAPS erhalten sollen und eine LAPSAdmins Gruppe erstellt. Dieser LAPSAdmins Gruppe habe ich dann die AdmPwdReadPasswordPermission für die nötigen OUs gegeben.
Und was ist mit den Rechten für den Computer bzw. sein Konto? Gleiche deine Konfiguration bitte einmal ab;
https://activedirectorypro.com/microsoft-laps-setup-install-guide/#set-c ...


Gruß,
Dani
Member: Celiko
Celiko May 17, 2024 at 17:58:28 (UTC)
Goto Top
Moin,

Mal die eventlogs auf einem Client angeschaut?
Der LAPS schreibt da auch mittlerweile fleißig rein wenn der denn per gpo erfolgreich installiert wurde


Vg
Member: DarkZoneSD
DarkZoneSD May 21, 2024 updated at 05:36:09 (UTC)
Goto Top
Guten Morgen,

ich habe heute Morgen die Gruppenrichtlinienverwaltung geöffnet und nun taucht unter Computerkonfiguration > Richtlinien > Administrative Vorlagen > LAPS, als auch unter Computerkonfiguration > Richtlinien > Administrative Vorlagen > System > LAPS, die Einstellungen für LAPS auf. Sieht aber so aus als wären es einmal für das alte LAPS und einmal für das neue (?).
laps-neu
Bild1
laps-alt
Bild2
Ich habe mal alle konfigurierten Richtlinien entfernt, und LAPS nach Bild 2 eingestellt. Siehe da, hiermit funktioniert es. Allerdings immernoch nicht wenn ich die GPOs aus Bild1 benutze (?).

funktioniert

Ich würde jedoch gerne die Einstellungen, wie in Bild 1 abgebildet, benutzen.. ­čś×

Grüße
Member: DarkZoneSD
DarkZoneSD May 21, 2024 at 05:44:02 (UTC)
Goto Top
Guten Morgen,

habe mir die Logs einmal angeschaut von Freitag. Er scheint den DC nicht zu finden, zumindest keine LDAP Verbindung für LAPS kriegt er hin. DNS Funktioniert allerdings..

screenshot 2024-05-21 074038
screenshot 2024-05-21 074058
screenshot 2024-05-21 074015

Grüße
Member: user217
user217 May 21, 2024 at 08:39:04 (UTC)
Goto Top
Vielleicht hast du irgendwo nur den DNS Namen und nicht den FQDN benutzt. GGF könnte das bei der LDAPS probleme machen. (LDAPS = KEIN SCHREIBFEHLER)
Member: DarkZoneSD
DarkZoneSD May 21, 2024 at 09:04:56 (UTC)
Goto Top
Sollte nicht sein, der Computer bezieht seinen DNS über DHCP, die Adresse und Namensauflösung stimmen.

Die Fehlermeldungen kommen nicht, wenn ich es über die Richtlinien des alten LAPS konfiguriere, sprich Computerkonfiguration > Richtlinien > Administrative Vorlagen > LAPS. Wenn sie mit den neuen Richtlinien konfiguriert werden, Computerkonfiguration > Richtlinien > Administrative Vorlagen > System > LAPS, dann kommen die Fehlermeldungen.
Member: Celiko
Solution Celiko May 21, 2024 updated at 15:29:04 (UTC)
Goto Top
Moin,

Bild 1 ist das Windows / Microsoft LAPS (seit April 2023 in der CU enthalten mit Support für Intune usw.)
Bild 2 ist das Legacy Laps (das alte)

Eventuell hast du nicht auf das AD Schema für den neuen Windows LAPS erweitert sondern nur für den Legacy Laps.
Windows LAPS-Schema
Denn: das Feld, das du für das LAPS Passwort suchst ist nicht mehr ms-mcs-AdmPwd sondern msLAPS-Passwort bzw. msLAPS-EncryptedPassword.
Hast du denn diese Attribute in einem Computer-Objekt?

Falls nicht bitte das Schema erweitern für Windows LAPS.
Die Vergabe des Namens ist dreckig und verwirrt nur bei Recherchen. Nicht verwirren lassen - das geht leider ganz schnell.

Powershell Befehl, um das AD Schema auf das Microsoft LAPS zu aktualisieren:
Update-LapsADSchema

Windows LAPS (das Neue)

Vorbereitung AD für das neue LAPS

Ach ja und das neue LAPS ist seit CU April 2023 nativ installiert und kann nicht deinstalliert werden. Es ist Teil von Windows Baseline Security Features.

VG
Member: DarkZoneSD
DarkZoneSD May 22, 2024 updated at 11:36:40 (UTC)
Goto Top
Moin,

Eventuell hast du nicht auf das AD Schema für den neuen Windows LAPS erweitert sondern nur für den Legacy

das ist es. Es kam mir schon komisch vor das der LAPS Download von 2021 ist..

Naja, einmal falsch machen und daraus lernen..

Vielen Dank Dir