2
LAPS: Lokale Gruppe zum Autorisieren für Passwort Entschlüsseler
Hallo,
wenn ich bei Windows LAPS in GPO eine lokale bzw. universelle Gruppe für die Passwort Entschlüsseler eintrage, funktioniert dies nicht. Dann bekomme ich die Meldung, dass ich nicht genug Rechte dafür hätte. Sobald es eine globale Gruppe ist, egal ob gleiche Domäne oder übergeordnete, kann ich das Passwort auslesen.
In unserem AD Forest, wollte ich die Domain Admins einer Child-Domäne und die Domain Admins der Root Domäne (evtl. noch User, die das können sollten, ohne Domain Admin zu sein) in eine AD Gruppe setzen und die autorisieren, das Passwort auszulesen.
Hat jemand eine Idee, wie ich das machen kann?
Im Voraus besten Dank
Peter
wenn ich bei Windows LAPS in GPO eine lokale bzw. universelle Gruppe für die Passwort Entschlüsseler eintrage, funktioniert dies nicht. Dann bekomme ich die Meldung, dass ich nicht genug Rechte dafür hätte. Sobald es eine globale Gruppe ist, egal ob gleiche Domäne oder übergeordnete, kann ich das Passwort auslesen.
In unserem AD Forest, wollte ich die Domain Admins einer Child-Domäne und die Domain Admins der Root Domäne (evtl. noch User, die das können sollten, ohne Domain Admin zu sein) in eine AD Gruppe setzen und die autorisieren, das Passwort auszulesen.
Hat jemand eine Idee, wie ich das machen kann?
Im Voraus besten Dank
Peter
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-ID: 1947026793
Url: https://administrator.de/contentid/1947026793
Printed on: September 1, 2024 at 08:09 o'clock
2 Comments
Latest comment
Hi,
Du meinst sicher nicht eine lokale sondern eine domänenlokale Gruppe. Das ist ein Unterschied!
Falls ja:
Mitgliedschaften in domänenlokalen Gruppen können nur für Ressourcen in derselben Domäne wirken, in welche die DL-Gruppe gespeichert ist.
Wenn Du also in Domäne A eine domänenlokale Gruppe hast und diese in der LAPS GPO einträgst, diese GPO aber auch für Computer der Domäne B gilt, dann kann man darüber nicht das Recht für die Computer-Objekte der Domäne B erlangen.
Mit einer universellen Gruppe muss das aber funktionieren. Hier tippe ich darauf, dass wahrscheinlich vergessen wurde, den Benutzer nach dem Hinzufügen zur Gruppe neu anzumelden.
E.
Du meinst sicher nicht eine lokale sondern eine domänenlokale Gruppe. Das ist ein Unterschied!
Falls ja:
Mitgliedschaften in domänenlokalen Gruppen können nur für Ressourcen in derselben Domäne wirken, in welche die DL-Gruppe gespeichert ist.
Wenn Du also in Domäne A eine domänenlokale Gruppe hast und diese in der LAPS GPO einträgst, diese GPO aber auch für Computer der Domäne B gilt, dann kann man darüber nicht das Recht für die Computer-Objekte der Domäne B erlangen.
Mit einer universellen Gruppe muss das aber funktionieren. Hier tippe ich darauf, dass wahrscheinlich vergessen wurde, den Benutzer nach dem Hinzufügen zur Gruppe neu anzumelden.
E.
Hi,
es hat heute mir einer universellen Gruppe funktioniert. Gestern hatte ich wahrscheinlich zu viele Änderungen und zu schnell getestet, dadurch ist das nicht bei jedem Server angekommen.
Danke dir
es hat heute mir einer universellen Gruppe funktioniert. Gestern hatte ich wahrscheinlich zu viele Änderungen und zu schnell getestet, dadurch ist das nicht bei jedem Server angekommen.
Danke dir
