2
LAPS: Lokale Gruppe zum Autorisieren für Passwort Entschlüsseler
Hallo,
wenn ich bei Windows LAPS in GPO eine lokale bzw. universelle Gruppe für die Passwort Entschlüsseler eintrage, funktioniert dies nicht. Dann bekomme ich die Meldung, dass ich nicht genug Rechte dafür hätte. Sobald es eine globale Gruppe ist, egal ob gleiche Domäne oder übergeordnete, kann ich das Passwort auslesen.
In unserem AD Forest, wollte ich die Domain Admins einer Child-Domäne und die Domain Admins der Root Domäne (evtl. noch User, die das können sollten, ohne Domain Admin zu sein) in eine AD Gruppe setzen und die autorisieren, das Passwort auszulesen.
Hat jemand eine Idee, wie ich das machen kann?
Im Voraus besten Dank
Peter
wenn ich bei Windows LAPS in GPO eine lokale bzw. universelle Gruppe für die Passwort Entschlüsseler eintrage, funktioniert dies nicht. Dann bekomme ich die Meldung, dass ich nicht genug Rechte dafür hätte. Sobald es eine globale Gruppe ist, egal ob gleiche Domäne oder übergeordnete, kann ich das Passwort auslesen.
In unserem AD Forest, wollte ich die Domain Admins einer Child-Domäne und die Domain Admins der Root Domäne (evtl. noch User, die das können sollten, ohne Domain Admin zu sein) in eine AD Gruppe setzen und die autorisieren, das Passwort auszulesen.
Hat jemand eine Idee, wie ich das machen kann?
Im Voraus besten Dank
Peter
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1947026793
Url: https://administrator.de/contentid/1947026793
Ausgedruckt am: 25.11.2024 um 09:11 Uhr
2 Kommentare
Neuester Kommentar
Hi,
Du meinst sicher nicht eine lokale sondern eine domänenlokale Gruppe. Das ist ein Unterschied!
Falls ja:
Mitgliedschaften in domänenlokalen Gruppen können nur für Ressourcen in derselben Domäne wirken, in welche die DL-Gruppe gespeichert ist.
Wenn Du also in Domäne A eine domänenlokale Gruppe hast und diese in der LAPS GPO einträgst, diese GPO aber auch für Computer der Domäne B gilt, dann kann man darüber nicht das Recht für die Computer-Objekte der Domäne B erlangen.
Mit einer universellen Gruppe muss das aber funktionieren. Hier tippe ich darauf, dass wahrscheinlich vergessen wurde, den Benutzer nach dem Hinzufügen zur Gruppe neu anzumelden.
E.
Du meinst sicher nicht eine lokale sondern eine domänenlokale Gruppe. Das ist ein Unterschied!
Falls ja:
Mitgliedschaften in domänenlokalen Gruppen können nur für Ressourcen in derselben Domäne wirken, in welche die DL-Gruppe gespeichert ist.
Wenn Du also in Domäne A eine domänenlokale Gruppe hast und diese in der LAPS GPO einträgst, diese GPO aber auch für Computer der Domäne B gilt, dann kann man darüber nicht das Recht für die Computer-Objekte der Domäne B erlangen.
Mit einer universellen Gruppe muss das aber funktionieren. Hier tippe ich darauf, dass wahrscheinlich vergessen wurde, den Benutzer nach dem Hinzufügen zur Gruppe neu anzumelden.
E.
Hi,
es hat heute mir einer universellen Gruppe funktioniert. Gestern hatte ich wahrscheinlich zu viele Änderungen und zu schnell getestet, dadurch ist das nicht bei jedem Server angekommen.
Danke dir
es hat heute mir einer universellen Gruppe funktioniert. Gestern hatte ich wahrscheinlich zu viele Änderungen und zu schnell getestet, dadurch ist das nicht bei jedem Server angekommen.
Danke dir
