Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Ist LAPS im Fehlerfall ein Eigentor?

Mitglied: NordicMike

NordicMike (Level 2) - Jetzt verbinden

08.12.2019 um 04:06 Uhr, 1795 Aufrufe, 3 Kommentare, 1 Danke

Moin zusammen,

ich habe das LAPS installiert und es funktioniert soweit. Nur jetzt habe ich bedenken, dass es Situationen geben kann, in denen mir LAPS ein Ei legt und man sich im Falle eines Fehlers im Active Directory nicht mehr anmelden kann, weil man dann z.B. mit der LAPS GUI das aktuelle Passwort nicht auslesen kann.

Mein Aufbau:

Blech 1 (Hyper-V) + Backupsoftware:
dc1
exchange1
rdp1
administrationsserver

Blech 2 (Hyper-V) + Backupsoftware:
dc2
exchange2
rdp2
druckserver

Die Admins gehen per RDP auf den Administrationsserver um die LAPS Passwörter auszulesen, Backups zu kontrollieren, User anzulegen usw. normalerweise machen sie das mit ihrem eigenen Admin Account, der in der Domäne gepflegt ist.
Wenn jetzt aus irgendeinem Grund beide DC's nicht mehr funktionieren, kommt man nur noch mit einem lokalen Administrator auf den Administrationsserver (oder man hat Glück und die eigenen Admin Konten sind noch gecached), genau so auch der Zugriff auf die zwei Bleche. Dann sollten doch wenigstens diese Maschinen mit einem lokalen Administrator Konto anmeldbar sein, ohne dass man irgendwie gezwungen ist zunächst in LAPS das Passwort auszulesen.
Alle Anderen Server bzw Passwörter können ja meinetwegen über LAPS gesteuert sein, die brauchen sowieso den Domänen Controller um zu funktionieren. Aber um erst einmal die DCs wieder zum laufen zu bekommen benötige ich ein Zugang zum Blech und Hyper-V um evtl Backups zurück spielen zu können.

Also:
Blech 1: festes Administrator Passwort
Blech 2: festes Administrator Passwort
Administrationsserver: festes Administrator Passwort
Alle anderen Server und Clients: LAPS

Geht meine Überlegung auf?

Danke Euch and keep rockin

Der Mike
Mitglied: Henere
08.12.2019 um 06:43 Uhr
Servus,

meiner Meinung nach gehört LAPS auf die Clients, nicht auf Server. Es geht ja darum, dass keine Adminkennwörter auf den Clients gecached werden, die dann zum Angriff missbraucht werden können. Solltest Du nach jeder Nutzung des Dom-Adminkontos auf einem Client das dann gleich wieder ändern, kannst LAPS auch weglassen.

Server sind jetzt eher selten das Einfalltor für Schädlinge.

Just my 5 cents,

Henere
Bitte warten ..
Mitglied: NordicMike
08.12.2019 um 11:06 Uhr
Danke erstmal,

ich sehe den RDP Server jedoch genau so gefährlich (wie die Clients) und der Exchange Server könnte ja auch ein Angriffspunkt sein.

Bei sowas, wie den Printserver mache ich mir keine Sorgen.
Bitte warten ..
Mitglied: SeaStorm
08.12.2019, aktualisiert um 16:37 Uhr
Also wenn alle deine DCs weg sind,machst du auf dem Adminserver erst mal gar nix, da die Verwaltungstools dort deinen Adminuser nicht authentifizieren können.
Wenn deine DCs weg sind, dann gibt's nichts anderes zu tun als diese wieder ans fliegen zu bekommen.
Das ist wie zu fragen, ob man vielleicht ein zweites Ersatzrad haben sollte, wenn der Motor mal explodiert...

Die Domänen-Admins kannst du ja dennoch an die Adminmaschine per Console anmelden, indem du die netzwerkverbindung trennst. Dann werden die gecachten Credentials genommen

Die Backup Kiste sollte übrigens nicht in der Domäne sein. Dann kannst du dich da immer anmelden und ein restore starten, egal was der DC macht
Bitte warten ..
Ähnliche Inhalte
Windows Tools
Microsoft LAPS
gelöst Frage von xbast1xWindows Tools7 Kommentare

Hallo zusammen, ich bin gerade dabei LAPS für die lokale PW Verwaltung zu testen. Soweit funktioniert das Tool sehr ...

Windows Tools
LAPS Pw Anzeige
Frage von Adnan88Windows Tools2 Kommentare

Hallo, ich habe bei mir soeben LAPS auf dem DC installiert, nun habe ich aber folgendes Problem wenn ich ...

Microsoft
PowerShell script für LAPS
Information von kgbornMicrosoft5 Kommentare

Kurzer Hinweis für Admins im AD-Umfeld. Ich bin die Tage auf das PowerShell Script der Woche “Local Administrator Password ...

Windows Server
Windows LAPS leider ein paar Fragen
Frage von HomayounWindows Server6 Kommentare

Hallo, Ich weiß dass hier viele Fragen wegen Windows LAPS gestellt worden sind aber ich brauche hier noch eine ...

Neue Wissensbeiträge
Viren und Trojaner
Emotet: IT-Totalschaden beim Kammergericht Berlin
Information von StefanKittel vor 23 StundenViren und Trojaner7 Kommentare

Interne Daten wurden geklaut und "ein kompletter Neuaufbau der IT-Infrastruktur wird angeraten", heißt es im forensischen Bericht zum ...

Viren und Trojaner
Avast verkauft anscheinend browserdaten
Tipp von magicteddy vor 1 TagViren und Trojaner14 Kommentare

Moin, da es immer wieder Anfragen zu Virenscannern gibt denke ich das der Artikel von Heise Avast verkauft Bowserdaten ...

Router & Routing

Statische Route dauerhaft einrichten unter Ubuntu 18.04 LTS

Erfahrungsbericht von the-buccaneer vor 3 TagenRouter & Routing2 Kommentare

"Kann ja nicht so schwer sein, unter Ubuntu 18.04 LTS ne statische Route einzurichten", denkt der Windows-Admin und gelegentliche ...

Microsoft

Effect on customer websites and Microsoft services and products in Chrome version 80 or later

Information von Dani vor 3 TagenMicrosoft

Guten Abend zusammen, The Stable release of the Google Chrome web browser (build 80, scheduled for release on February ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Installation USG
Frage von jo23487LAN, WAN, Wireless47 Kommentare

Hallo zusammen, nach den beiden anderen Fragen habe ich mir den Cloud Key und auch ein USG gekauft - ...

Microsoft
All-Cloud für KMU (Management, Backup, etc.)
Frage von NRGNRGMicrosoft20 Kommentare

Hallo zusammen, kurze Interessensfrage an Euch in die Runde, da ich hierzu gerade interessante Diskussionen mit Kollegen habe: Szenario: ...

Router & Routing
NAS im VPN zu langsam mit FritzBox 7490
Frage von holger3208Router & Routing19 Kommentare

Hallo, ich habe eine Telekom VDsl Leitung mit einer 50/10 Leitung. Einen Qnap NAS TS-231P2 (4GB RAM) Eine FritzBox ...

TK-Netze & Geräte
Empfehlung DSL Modem
Frage von CorraggiounoTK-Netze & Geräte18 Kommentare

Hi Leute, könntet ihr mir eine Empfehlung für ein DSL Modem aussprechen? Provider ist die Telekom dahinter steht gleich ...