12
Neues LAPS CSP GPO nicht konfigurierbar
Hallöchen zusammen,
Microsoft hat ja wieder mal einen Fauxpas gebracht mit ihrem achso tollen neuen LAPS, was ja jetzt intergriert ins Windows ist. Ich hab erstmal aufwendig LAPS von allen Geräten runtergeschmissen, damit es hier nicht zu Konflikten kommt und dann das CU installiert. Soweit so gut. Will ich jetzt die GPO dafür bearbeiten, krieg ich eine Fehlemeldung (siehe Anhang).
Logisch, denn die admx-Datei gibts zwar, aber die adml nicht. Es wird zwar steif und fest behauptet, dass diese im en-us Ordner liegen würde aber weder dort noch im de-de Ordner liegt sie.
Hat einer von euch zufälligerweise eine Idee, wo ich das ###ding herbekomme, würde ungern n halbes Jahr warten, bis sich Microsoft bequemt, das mal zu beheben und bis dahin ohne LAPS dazustehen (Rollback geht ja nicht, wäre auch nicht in meinem Sinne). Evtl. hat ja jemand ein englisches System und kann mir aus diesem die adml zur Verfügung stellen.
Danke schonmal!
Viele Grüße
Ketanest
Microsoft hat ja wieder mal einen Fauxpas gebracht mit ihrem achso tollen neuen LAPS, was ja jetzt intergriert ins Windows ist. Ich hab erstmal aufwendig LAPS von allen Geräten runtergeschmissen, damit es hier nicht zu Konflikten kommt und dann das CU installiert. Soweit so gut. Will ich jetzt die GPO dafür bearbeiten, krieg ich eine Fehlemeldung (siehe Anhang).
Logisch, denn die admx-Datei gibts zwar, aber die adml nicht. Es wird zwar steif und fest behauptet, dass diese im en-us Ordner liegen würde aber weder dort noch im de-de Ordner liegt sie.
Hat einer von euch zufälligerweise eine Idee, wo ich das ###ding herbekomme, würde ungern n halbes Jahr warten, bis sich Microsoft bequemt, das mal zu beheben und bis dahin ohne LAPS dazustehen (Rollback geht ja nicht, wäre auch nicht in meinem Sinne). Evtl. hat ja jemand ein englisches System und kann mir aus diesem die adml zur Verfügung stellen.
Danke schonmal!
Viele Grüße
Ketanest
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6806086033
Url: https://administrator.de/contentid/6806086033
Printed on: April 27, 2024 at 11:04 o'clock
12 Comments
Latest comment
Hi,
Du bekommst die Dateien von einem Client/Server, der das April-Update installiert hat, aus dem Ordner c:\Windows\PolicyDefinitions
Hab sie dir mal hochgeladen
https://we.tl/t-bIkdk7QM1r
-Thomas
Microsoft hat ja wieder mal einen Fauxpas gebracht mit ihrem achso tollen neuen LAPS, was ja jetzt intergriert ins Windows ist.
Wo genau ist der Fauxpas?Ich hab erstmal aufwendig LAPS von allen Geräten runtergeschmissen, damit es hier nicht zu Konflikten kommt
Wäre nicht nötig gewesen. Die beiden Programme funktionieren parallel. Und so aufwendig ist es nicht, eine PS-Zeile als Startskript oder anderweitig verteiltStart-Process MsiExec.exe -ArgumentList '/X{97E2CA7B-B657-4FF7-A6DB-30ECC73E1E28} /qn' Hat einer von euch zufälligerweise eine Idee, wo ich das ###ding herbekomme, würde ungern n halbes Jahr warten, bis sich Microsoft bequemt, das mal zu beheben und bis dahin ohne LAPS dazustehen
Du bekommst die Dateien von einem Client/Server, der das April-Update installiert hat, aus dem Ordner c:\Windows\PolicyDefinitions
Hab sie dir mal hochgeladen
https://we.tl/t-bIkdk7QM1r
-Thomas
Zitat von @3063370895:
das interessiert mich auch brennend...Microsoft hat ja wieder mal einen Fauxpas gebracht mit ihrem achso tollen neuen LAPS, was ja jetzt intergriert ins Windows ist.
Wo genau ist der Fauxpas?Zitat von @Kraemer:
Zitat von @3063370895:
das interessiert mich auch brennend...Microsoft hat ja wieder mal einen Fauxpas gebracht mit ihrem achso tollen neuen LAPS, was ja jetzt intergriert ins Windows ist.
Wo genau ist der Fauxpas?Es gibt eine Konstellation, die zu Problemen führen kann, allerdings ist das für diesen Post nicht relevant:
Neuer PC, Updates werden installiert.
NACH dem April-Update wird der alte Laps-Client installiert
Hab das in meinem Post etwas ausführlicher beschrieben:
Windows LAPS (LAPS 2.0) veröffentlicht
1
Zitat von @3063370895:
Es gibt eine Konstellation, die zu Problemen führen kann, allerdings ist das für diesen Post nicht relevant:
=> Genau da liegt der Fauxpas. Einerseits sollte das nicht passieren, LAPS Legacy gibt's ja nicht erst seit gestern, das hätte MS eigentlich berücksichtigen müssen. Andererseits ergaben meine Recherchen, dass es notwendig ist, das Legacy LAPS runterzuschmeißen, ist ja eigentlich auch Käse, die beiden Dinger gleichzeitig zu nutzen meiner Meinung nach.Zitat von @Kraemer:
Zitat von @3063370895:
das interessiert mich auch brennend...Microsoft hat ja wieder mal einen Fauxpas gebracht mit ihrem achso tollen neuen LAPS, was ja jetzt intergriert ins Windows ist.
Wo genau ist der Fauxpas?Es gibt eine Konstellation, die zu Problemen führen kann, allerdings ist das für diesen Post nicht relevant:
Zitat von @3063370895:
Du bekommst die Dateien von einem Client/Server, der das April-Update installiert hat, aus dem Ordner c:\Windows\PolicyDefinitions
Hab sie dir mal hochgeladen
https://we.tl/t-bIkdk7QM1r
Die admx ist da aber die adml war bei mir nach dem Update leider weder aufm DC noch auf sonstigen Geräten vorhanden. Aber dankeschön für den Upload!Du bekommst die Dateien von einem Client/Server, der das April-Update installiert hat, aus dem Ordner c:\Windows\PolicyDefinitions
Hab sie dir mal hochgeladen
https://we.tl/t-bIkdk7QM1r
Grüße
Ketanest
Zitat von @ketanest112:
=> Genau da liegt der Fauxpas. Einerseits sollte das nicht passieren, LAPS Legacy gibt's ja nicht erst seit gestern, das hätte MS eigentlich berücksichtigen müssen. Andererseits ergaben meine Recherchen, dass es notwendig ist, das Legacy LAPS runterzuschmeißen, ist ja eigentlich auch Käse, die beiden Dinger gleichzeitig zu nutzen meiner Meinung nach.
Ist kein Käse, wurde dafür gemacht! Wo hast du recherchiert? In dem Microsoft-Docs steht explizit beschrieben, dass ein Parallelbetrieb möglich ist. Der Sonderfall, der zu Problemen führen kann, trifft bei dir nicht zu.=> Genau da liegt der Fauxpas. Einerseits sollte das nicht passieren, LAPS Legacy gibt's ja nicht erst seit gestern, das hätte MS eigentlich berücksichtigen müssen. Andererseits ergaben meine Recherchen, dass es notwendig ist, das Legacy LAPS runterzuschmeißen, ist ja eigentlich auch Käse, die beiden Dinger gleichzeitig zu nutzen meiner Meinung nach.
-Thomas
Zitat von @3063370895:
-Thomas
Naja zumindest für das beschriebene Problem, dass man LAPS Legacy NACH der Installation des April-CUs nochmal installiert war das ein Lösungsansatz (unter anderem hier: https://www.borncity.com/blog/2023/04/15/laps-integration-per-april-2023 ..).Zitat von @ketanest112:
=> Genau da liegt der Fauxpas. Einerseits sollte das nicht passieren, LAPS Legacy gibt's ja nicht erst seit gestern, das hätte MS eigentlich berücksichtigen müssen. Andererseits ergaben meine Recherchen, dass es notwendig ist, das Legacy LAPS runterzuschmeißen, ist ja eigentlich auch Käse, die beiden Dinger gleichzeitig zu nutzen meiner Meinung nach.
Ist kein Käse, wurde dafür gemacht! Wo hast du recherchiert? In dem Microsoft-Docs steht explizit beschrieben, dass ein Parallelbetrieb möglich ist. Der Sonderfall, der zu Problemen führen kann, trifft bei dir nicht zu.=> Genau da liegt der Fauxpas. Einerseits sollte das nicht passieren, LAPS Legacy gibt's ja nicht erst seit gestern, das hätte MS eigentlich berücksichtigen müssen. Andererseits ergaben meine Recherchen, dass es notwendig ist, das Legacy LAPS runterzuschmeißen, ist ja eigentlich auch Käse, die beiden Dinger gleichzeitig zu nutzen meiner Meinung nach.
-Thomas
Und der Sonderfall hätte bei mir durchaus zugetroffen, denn die LAPS Legacy Installation war bei mir per GPO durchgeführt. Glücklicherweise habe ich die Problematik früh genug mitbekommen, um die Installation entsprechend zu deaktivieren.
Wieso ist das kein Käse, wenn ich für das gleiche Feature zwei Varianten habe und diese auch gleichzeitig benutze? Wo liegt der Vorteil? Klar mag es nicht unbedingt einen Nachteil geben aber ich sehe in der Doppelfunktion auch keinen Vorteil.
Was mich aber weiterhin wundert ist, dass ich nur die admx Templates und nicht die adml-Files im PolicyDefinitions-Verzeichnis habe nach dem Update, egal auf welchen Geräten.
Grüße
Ketanest
Zitat von @ketanest112:
Wo liegt der Vorteil? Klar mag es nicht unbedingt einen Nachteil geben aber ich sehe in der Doppelfunktion auch keinen Vorteil.
Wo liegt der Vorteil? Klar mag es nicht unbedingt einen Nachteil geben aber ich sehe in der Doppelfunktion auch keinen Vorteil.
Der Vorteil ist ein fließender Übergang. Ein ins OS integriertes LAPS wurde schon lange gefordert, nun haben wir es bekommen.
Gut, fließender Übergang verstehe ich.
Gibts irgendwo eine ordentliche Dokumentation zu den Powershell-Befehlen? Also mit Parametern, etc. Weil hier https://learn.microsoft.com/en-us/windows-server/identity/laps/laps-mana ... sind nur die Befehle aufgelistet und was sie tun. Wie man mit den Parametern umgeht findet man nicht...
EDIT: Get-Help hab ich schon versucht, da krieg ich für die Parameter nur "<CommonParameters>" was wenig hilfreich ist.
Gruß
Ketanest
Gibts irgendwo eine ordentliche Dokumentation zu den Powershell-Befehlen? Also mit Parametern, etc. Weil hier https://learn.microsoft.com/en-us/windows-server/identity/laps/laps-mana ... sind nur die Befehle aufgelistet und was sie tun. Wie man mit den Parametern umgeht findet man nicht...
EDIT: Get-Help hab ich schon versucht, da krieg ich für die Parameter nur "<CommonParameters>" was wenig hilfreich ist.
Gruß
Ketanest
Hallo zusammen,
auch wenn das Thema schon gelöst ist ...
Die Updates updaten die Gruppenrichtlinien-Dateien in %windir%\PolicyDefinition
Der Policy-Store (wenn man den verwendet) liegt auf dem DC unter %windir%\SYSVOl\doamin\Policies\Policydefinitions - und der wird (zumindest bei mir) nicht automatisch geupdatet.
Man muss daher die Dateien manuell dorthin kopieren.
Grüße
lcer
auch wenn das Thema schon gelöst ist ...
Die Updates updaten die Gruppenrichtlinien-Dateien in %windir%\PolicyDefinition
Der Policy-Store (wenn man den verwendet) liegt auf dem DC unter %windir%\SYSVOl\doamin\Policies\Policydefinitions - und der wird (zumindest bei mir) nicht automatisch geupdatet.
Man muss daher die Dateien manuell dorthin kopieren.
Grüße
lcer
Zitat von @lcer00:
Hallo zusammen,
auch wenn das Thema schon gelöst ist ...
Die Updates updaten die Gruppenrichtlinien-Dateien in %windir%\PolicyDefinition
Bei mir eben nicht... LeiderHallo zusammen,
auch wenn das Thema schon gelöst ist ...
Die Updates updaten die Gruppenrichtlinien-Dateien in %windir%\PolicyDefinition
Der Policy-Store (wenn man den verwendet) liegt auf dem DC unter %windir%\SYSVOl\doamin\Policies\Policydefinitions - und der wird (zumindest bei mir) nicht automatisch geupdatet.
Auch hier lag nixMan muss daher die Dateien manuell dorthin kopieren.
Grüße
lcer
Grüße
lcer
Grüße
Ketanest
Zitat von @ketanest112:
Grüße
Ketanest
Zitat von @lcer00:
Hallo zusammen,
auch wenn das Thema schon gelöst ist ...
Die Updates updaten die Gruppenrichtlinien-Dateien in %windir%\PolicyDefinition
Bei mir eben nicht... LeiderHallo zusammen,
auch wenn das Thema schon gelöst ist ...
Die Updates updaten die Gruppenrichtlinien-Dateien in %windir%\PolicyDefinition
Der Policy-Store (wenn man den verwendet) liegt auf dem DC unter %windir%\SYSVOl\doamin\Policies\Policydefinitions - und der wird (zumindest bei mir) nicht automatisch geupdatet.
Auch hier lag nixMan muss daher die Dateien manuell dorthin kopieren.
Grüße
lcer
Grüße
lcer
Grüße
Ketanest
Hab nochmal nachgeschaut. Auf dem Win11-Client, von dem aus ich das kopiert hatte lagen die adml-Dateien. Auf dem 2019er DC (1809 17763.4252) tatsächlich nicht. Das erforderliche Update ist auf dem DC installiert. https://support.microsoft.com/de-de/topic/11-april-2023-kb5025229-betrie ...
Grüße
lcer
Danke! @icer
Dann bin ich doch nicht ganz verblödet
Gruß
Ketanest
Dann bin ich doch nicht ganz verblödet
Gruß
Ketanest