xbast1x
Goto Top

Microsoft LAPS

Hallo zusammen,

ich bin gerade dabei LAPS für die lokale PW Verwaltung zu testen. Soweit funktioniert das Tool sehr gut.

Bei folgendem Szenario scheitere ich allerdings:
Rechner ist in Domäne und wird aus Domäne entfernt - Rechner bootet neu und ist kein Domänenmitglied mehr - Im LAPS kann ich kein Passwort mehr auslesen da der Client kein Domänencomputer ist

Wie bildet man einen solchen Fall ab? Das alte, damals händisch gesetzte PW des lokalen Admins wird nicht mehr angenommen

Gruß xbast1x

Content-ID: 367185

Url: https://administrator.de/contentid/367185

Printed on: October 7, 2024 at 23:10 o'clock

emeriks
emeriks Mar 07, 2018 at 11:02:17 (UTC)
Goto Top
Hi,
Bei folgendem Szenario scheitere ich allerdings:
Rechner ist in Domäne und wird aus Domäne entfernt - Rechner bootet neu und ist kein Domänenmitglied mehr - Im LAPS kann ich kein Passwort mehr auslesen da der Client kein Domänencomputer ist
Das kann ich nicht nachvollziehen.
Wenn ein Computer aus der Domäne austritt, dann wird das Computer-Objekt nicht gelöscht. Also kann man von eimem anderen Domänen-Computer weiterhin dessen Passwort auslesen, sofern man die Rechte dafür hat.

Im LAPS kann ich kein Passwort mehr auslesen da der Client kein Domänencomputer ist
Das hast Du doch nicht etwa auf dem dann Standalone-Client versucht?

E.
DerWoWusste
Solution DerWoWusste Mar 07, 2018 at 11:26:13 (UTC)
Goto Top
Man notiert das Passwort bevor man ihn aus der Domäne nimmt? Ist das nicht naheliegend?
Und wenn's doch mal passiert ist, gibt es doch einfache Wege, dieses PW zurückzusetzen.
xbast1x
xbast1x Mar 07, 2018 at 12:05:23 (UTC)
Goto Top
Zitat von @DerWoWusste:

Man notiert das Passwort bevor man ihn aus der Domäne nimmt? Ist das nicht naheliegend?
Und wenn's doch mal passiert ist, gibt es doch einfache Wege, dieses PW zurückzusetzen.


Wenn der Weg ist, dann ist das für mich ausreichend. Ich war mir nur nicht im Klaren, ob es ggfs. noch weitere Features zu LAPS gibt die so etwas abbilden.
JoeDevlin
Solution JoeDevlin Mar 07, 2018 at 15:29:13 (UTC)
Goto Top
Wir lassen daher jeden Tag per Script alle Kennwörter in eine CSV-Datei exportieren:

Import-Module AdmPwd.PS
$CurrentDate = Get-Date
$CurrentDate = $CurrentDate.ToString('yyyyMMdd')
Get-AdmPwdPassword -ComputerName *|Export-Csv -Path "\\server\sicherung\LAPS\laps_$CurrentDate.csv"
xbast1x
xbast1x May 13, 2019 at 06:55:45 (UTC)
Goto Top
Könnte man das PS Skript auch so anpassen, dass es fortlaufend eine neue Datei anlegt und die bestehende nicht immer überschreibt?
emeriks
emeriks May 13, 2019 at 08:10:48 (UTC)
Goto Top
Zitat von @xbast1x:
Könnte man das PS Skript auch so anpassen, dass es fortlaufend eine neue Datei anlegt und die bestehende nicht immer überschreibt?
GENAU DAS tut das Script doch?
xbast1x
xbast1x May 13, 2019 at 10:50:52 (UTC)
Goto Top
Sorry falscher Thread.. face-wink Danke für den Hinweis

Gruß