8
LAPS- Lokal Admin Password Solution per GPO verteilen
Moin zusammen,
ich habe vor ca. zwei Wochen LAPS in einer MS Server 2012 Umgebung erfolgreich "teilweise" implementiert. Alle Schritte, die in der von Microsoft verfassten Dokumentation wurden umgesetzt. Lange Rede kurzer Sinn. Ich habe noch folgendes Problem.
Von 150 clients in der betroffenen OU haben bisher 77 Clients das Laps.msi Softwarepaket zugewiesen bekommen. Diese Clients haben ebenfalls ein PW schon zugewiesen bekommen und ich kann die Passwörter erfolgeich auslesen und zurücksetzen. Die resetlichen Clients wollen einfach nicht. Folgendes habe ich bissher überpüft.
- Die clients liegen in der selben OU
- gpupdate /force meldet zwar eine Clienseitige Softwareverteilung, führt diese aber nach dem Neustart nicht aus.
-gpresult -r zeigt mir zwar die angewandte GPO an, das Paket wird aber nicht installiert.
- Ereignisanzeige zeigt keine Warnungen oder Fehler.
Das Konzept:
1. Schemaerweiterung auf einen der Domänencontroller in der Umgebung
2. Betroffen sind zwei OUs (Desktop Clients und Notebooks) ( Win7 64bit, 32bit und Win 10 64bit)
3. Sicherheitsgruppe mit IT-Mitarbeitern, die Passwörter auslesen und zurücksetzen können
4. LAPS.msi 64bit und 32bit liegen auf einem Fileserver mit Lesezugriff für alle Benutzer
5. Computer GPO Softwareverteilung mit beiden msi Pakete.
6. Bei erfolgreicher Installation ist die LAPS Clienterweiterung als Installierte Software unter den installierten Programmen sichtbar.
Hat bissher jemand Erfahrungen damit gesammelt. Danke im Voraus.
ich habe vor ca. zwei Wochen LAPS in einer MS Server 2012 Umgebung erfolgreich "teilweise" implementiert. Alle Schritte, die in der von Microsoft verfassten Dokumentation wurden umgesetzt. Lange Rede kurzer Sinn. Ich habe noch folgendes Problem.
Von 150 clients in der betroffenen OU haben bisher 77 Clients das Laps.msi Softwarepaket zugewiesen bekommen. Diese Clients haben ebenfalls ein PW schon zugewiesen bekommen und ich kann die Passwörter erfolgeich auslesen und zurücksetzen. Die resetlichen Clients wollen einfach nicht. Folgendes habe ich bissher überpüft.
- Die clients liegen in der selben OU
- gpupdate /force meldet zwar eine Clienseitige Softwareverteilung, führt diese aber nach dem Neustart nicht aus.
-gpresult -r zeigt mir zwar die angewandte GPO an, das Paket wird aber nicht installiert.
- Ereignisanzeige zeigt keine Warnungen oder Fehler.
Das Konzept:
1. Schemaerweiterung auf einen der Domänencontroller in der Umgebung
2. Betroffen sind zwei OUs (Desktop Clients und Notebooks) ( Win7 64bit, 32bit und Win 10 64bit)
3. Sicherheitsgruppe mit IT-Mitarbeitern, die Passwörter auslesen und zurücksetzen können
4. LAPS.msi 64bit und 32bit liegen auf einem Fileserver mit Lesezugriff für alle Benutzer
5. Computer GPO Softwareverteilung mit beiden msi Pakete.
6. Bei erfolgreicher Installation ist die LAPS Clienterweiterung als Installierte Software unter den installierten Programmen sichtbar.
Hat bissher jemand Erfahrungen damit gesammelt. Danke im Voraus.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 357932
Url: https://administrator.de/contentid/357932
Ausgedruckt am: 22.11.2024 um 12:11 Uhr
8 Kommentare
Neuester Kommentar
Hi.
Verteile zum Test ein anderes MSI-Paket.
Nebenbei: im Anwendungseventlog würden erfolglos versuchte Installationen verzeichnet - ich kann mir nicht vorstellen, dass da nichts steht.
Verteile zum Test ein anderes MSI-Paket.
Nebenbei: im Anwendungseventlog würden erfolglos versuchte Installationen verzeichnet - ich kann mir nicht vorstellen, dass da nichts steht.
Hi,
Kann es sein, dass an den betreffenden Clients noch aktiviert werden muss "Bei Neustart und Anmeldung immer auf das Netzwerk warten"?
E.
4. LAPS.msi 64bit und 32bit liegen auf einem Fileserver mit Lesezugriff für alle Benutzer
Für alle betreffenden Computer wäre wichtig. Benutzer brauchen dort keinen Zugriff.Hat bissher jemand Erfahrungen damit gesammelt. Danke im Voraus.
Ja. Hier funktioniert es analog wie von Dir beschrieben.Kann es sein, dass an den betreffenden Clients noch aktiviert werden muss "Bei Neustart und Anmeldung immer auf das Netzwerk warten"?
E.
Hi,
werde ich mal testen. ich werde heute Abend ebenfalls in den Anwendungseventlogs nachschauen.
werde ich mal testen. ich werde heute Abend ebenfalls in den Anwendungseventlogs nachschauen.
HI. Okay gut zu wissen. Also ich kenne nur die GPO Computer->Administrative Vorlagen->System->Anmelden->"Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten". Diese ist nicht aktiv. Die betroffenen Clients habe ich schon mehr als nur einmal Neugestartet 
.
.
Diese ist nicht aktiv? Na dann aktiviere sie, doch.
Am Test-Client 5 min warten. dann GPupdate. Dann booten.
Am Test-Client 5 min warten. dann GPupdate. Dann booten.
Also um das nochmal zu verdeutlichen. Du meinst ich soll diese GPO für die betroffene OU aktivieren. Ich habe darüber gelesen, dass es dann bei Anmeldungen zur Verzögerungen kommen kann.
Oder meinst du am Client selber was umstellen ?
Danke.
Oder meinst du am Client selber was umstellen ?
Danke.
Ja per GPO.
Zum Test kannst Du das auch erstmal nur an einem Client aktivieren.
Was hast Du davon, wenn Du Dich am Client anmelden kannst, aber das Netzwerk ist noch nicht online? Dann hast Du keine GPO, keine Softwareinstallationen und ggf. auch keine verbundenen Laufwerke und/oder Drucker. das hängt jetzt von der Art der Einrichtung und der Verzögerung des Netzwerks ab.
Teste es doch einfach!
Wenn GPO dann:
GPO ändern/erstellen
Replikation abwarten
gpupdate am Client
Client booten
Hinweis: Wenn Du die Übernahme der GPO vor dem Booten nicht sicherstellst (durch Abwarten der regulären Übernahme der GPO nach bis zu 120 min oder eben manuell ausgelöst), dann muss der Client u.U. mehrmals booten, bevor das wirkt.
Zum Test kannst Du das auch erstmal nur an einem Client aktivieren.
Was hast Du davon, wenn Du Dich am Client anmelden kannst, aber das Netzwerk ist noch nicht online? Dann hast Du keine GPO, keine Softwareinstallationen und ggf. auch keine verbundenen Laufwerke und/oder Drucker. das hängt jetzt von der Art der Einrichtung und der Verzögerung des Netzwerks ab.
Teste es doch einfach!
Wenn GPO dann:
GPO ändern/erstellen
Replikation abwarten
gpupdate am Client
Client booten
Hinweis: Wenn Du die Übernahme der GPO vor dem Booten nicht sicherstellst (durch Abwarten der regulären Übernahme der GPO nach bis zu 120 min oder eben manuell ausgelöst), dann muss der Client u.U. mehrmals booten, bevor das wirkt.
Hallo,
vielen Dank für den Tipp. Das hat in der Test OU bei 3 Clients geklappt.
vielen Dank für den Tipp. Das hat in der Test OU bei 3 Clients geklappt.
