6
Powershell Skript Aufgabenplanung Server 2025 läuft nicht durch LAPS
Hallo zusammen!
Ich habe ein kleines AD in meiner Firma mit ca. 5 Client Rechnern und nutze LAPS.
Aus verschiedenen Gründen möchte ich für alle Rechner die LAPS Kennwörter regelmäßig auslesen und in einer Datei abspeichern.
Um die Sicherheit der gespeicherten Daten kümmere ich mich.
Dies erfolgt auf dem AD Controller, Server 2025.
Eingeloggt als Administrator.
Die Aufgabenplanung sollte das später ohne Anmeldung ausführen.
Hier habe ich kleines Powershell Skript erstellt, welches mir die Daten in eine CSV speichert.
Der manuelle Aufruf per Eingabe in der Powershell klappt und liefert das gewünschte Ergebnis.
Aber wie bekomme ich das in der Aufgabenplanung zum laufen?
Aufgabe erstellt. Aktion Programm starten:
Argumente:
Ausführen in:
Manuell gestartet: Liefert Error Code 2 als Ergebnis, keine Datei wird erstellt.
Danke!
Ich habe ein kleines AD in meiner Firma mit ca. 5 Client Rechnern und nutze LAPS.
Aus verschiedenen Gründen möchte ich für alle Rechner die LAPS Kennwörter regelmäßig auslesen und in einer Datei abspeichern.
Um die Sicherheit der gespeicherten Daten kümmere ich mich.
Dies erfolgt auf dem AD Controller, Server 2025.
Eingeloggt als Administrator.
Die Aufgabenplanung sollte das später ohne Anmeldung ausführen.
Hier habe ich kleines Powershell Skript erstellt, welches mir die Daten in eine CSV speichert.
Der manuelle Aufruf per Eingabe in der Powershell klappt und liefert das gewünschte Ergebnis.
C:\scripts\.\Get-LAPSPasswords.ps1 -Path "C:\temp\$(Get-Date -Format yyyyMMdd)LAPSPasswords.csv" Aber wie bekomme ich das in der Aufgabenplanung zum laufen?
Aufgabe erstellt. Aktion Programm starten:
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeArgumente:
-noprofile -nologo-executionpolicy bypass -file "C:\scripts\.\Get-LAPSPasswords.ps1 -Path "C:\temp\$(Get-Date -Format yyyyMMdd)_LAPSPasswords.csv"" Ausführen in:
leer -> Eingabe von C:\scripts hilft nicht.Manuell gestartet: Liefert Error Code 2 als Ergebnis, keine Datei wird erstellt.
Danke!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 670387
Url: https://administrator.de/forum/powershell-skript-aufgabenplanung-server-2025-laeuft-nicht-durch-laps-670387.html
Ausgedruckt am: 27.01.2025 um 16:01 Uhr
6 Kommentare
Neuester Kommentar
Moin,
und egal ob du angemeldet bist oder nicht?
wenn dem so ist, wird domain / Administrator / Passwort abgefragt!
Frank
Eingeloggt als Administrator.
ok.Die Aufgabenplanung sollte das später ohne Anmeldung ausführen.
dann muss die aufgabe auch als administrator laufen, hast du das häckchen dazu gesetzt?und egal ob du angemeldet bist oder nicht?
wenn dem so ist, wird domain / Administrator / Passwort abgefragt!
Frank
Moin,
Warum möchtest du die gut gesicherten Passwörter exportieren und an einen potentiell unsicheren Ort Sichern ?
Würde eher das „moderne LAPS“ mit der Passworthistorie nutzen.
Dein Gedankengang hat einen Fehler.
Du nutzt LAPS um nicht mit dem Dom-admin auf Servern / Clients zu arbeiten,
Willst die Kennwörter aber auf dem DC exportieren um Sie dann auf eine unbekannte Weise von dort weg zu bekommen.
Wenn du die csv in dem selben Scipt auf einen anderen Server kopiertes oder von einem Client beim DC abholst hantierst du wieder mit Dom-admin credentials auf dem falschen Tier.
Also :
Entweder modernes Laps mit der Historie nutzen und die KW nicht exportieren
Oder extra gut gesicherten User ( weiß nicht ob ein gMSA auch geht ) auf das lesen der Laps KW berechtigen und auf einer anderen Maschine ausführen
Wir haben bei uns auch lange über das Thema nachgedacht was bei einem Restore aus einem alten Backup ist.
Nutzen jetzt die Historie, falls es noch älter ist holen wie eine alte Historie aus dem Backup und wenn noch älter dann wird halt die Maschine neu gemacht.
Warum möchtest du die gut gesicherten Passwörter exportieren und an einen potentiell unsicheren Ort Sichern ?
Würde eher das „moderne LAPS“ mit der Passworthistorie nutzen.
Dein Gedankengang hat einen Fehler.
Du nutzt LAPS um nicht mit dem Dom-admin auf Servern / Clients zu arbeiten,
Willst die Kennwörter aber auf dem DC exportieren um Sie dann auf eine unbekannte Weise von dort weg zu bekommen.
Wenn du die csv in dem selben Scipt auf einen anderen Server kopiertes oder von einem Client beim DC abholst hantierst du wieder mit Dom-admin credentials auf dem falschen Tier.
Also :
Entweder modernes Laps mit der Historie nutzen und die KW nicht exportieren
Oder extra gut gesicherten User ( weiß nicht ob ein gMSA auch geht ) auf das lesen der Laps KW berechtigen und auf einer anderen Maschine ausführen
Wir haben bei uns auch lange über das Thema nachgedacht was bei einem Restore aus einem alten Backup ist.
Nutzen jetzt die Historie, falls es noch älter ist holen wie eine alte Historie aus dem Backup und wenn noch älter dann wird halt die Maschine neu gemacht.
@Vision2015
Hallo Frank,
Danke für deine Antwort.
Ich habe Bilder angehängt, soweit mir ersichtlich läuft das als Administrator.
Wenn ich die Aufgabe bearbeite und speichere muss ich auch jeweils das Administrator PW eingeben.
Alternativ werde ich es mal mit User "System" probieren.
Hast du dir mal mein "Argument" in der Aktion angesehen?
Passt das so?
Beste Grüße
Hallo Frank,
Danke für deine Antwort.
Ich habe Bilder angehängt, soweit mir ersichtlich läuft das als Administrator.
Wenn ich die Aufgabe bearbeite und speichere muss ich auch jeweils das Administrator PW eingeben.
Alternativ werde ich es mal mit User "System" probieren.
Hast du dir mal mein "Argument" in der Aktion angesehen?
Passt das so?
Beste Grüße
Hallo zusammen,
ich konnte es lösen.
Als ausführender User musste ich "Administrators" Gruppe auswählen.
Weiterhin hat die Übergabe des Pfades im Argument nicht funktioniert.
Ich habe den Pfad fest im Powershell Skript hinterlegt.
Vielen Dank für die Hilfe!
@Delta9
Aktuell läuft nur ein DomänenController.
Daher ist es möglich im Fehlerfall eben keinen Zugriff mehr auf LAPS Kennwörter zu haben.
(Aus meiner aktuellen Sicht/Konfiguration)
Ab Jan/Feb. sollte der zweite DC am Start sein,
dann werde ich auf deinen Vorschlag zurück greifen.
Ich nehme an wenn ich das MS Server 2025 native LAPS verwende ist das von dir erwähnte "moderne LAPS" gemeint?
ich konnte es lösen.
Als ausführender User musste ich "Administrators" Gruppe auswählen.
Weiterhin hat die Übergabe des Pfades im Argument nicht funktioniert.
Ich habe den Pfad fest im Powershell Skript hinterlegt.
Vielen Dank für die Hilfe!
@Delta9
Aktuell läuft nur ein DomänenController.
Daher ist es möglich im Fehlerfall eben keinen Zugriff mehr auf LAPS Kennwörter zu haben.
(Aus meiner aktuellen Sicht/Konfiguration)
Ab Jan/Feb. sollte der zweite DC am Start sein,
dann werde ich auf deinen Vorschlag zurück greifen.
Ich nehme an wenn ich das MS Server 2025 native LAPS verwende ist das von dir erwähnte "moderne LAPS" gemeint?
Hi
Mach mal zwischen dem -nologo-execute... vielleicht ein Leerzeichen ?
Deins aktuell
-noprofile -nologo-executionpolicy bypass -file...
So sollte es sein
-noprofile -nologo -executionpolicy bypass -file
Mit freundlichen Grüßen Nemesis
Mach mal zwischen dem -nologo-execute... vielleicht ein Leerzeichen ?
Deins aktuell
-noprofile -nologo-executionpolicy bypass -file...
So sollte es sein
-noprofile -nologo -executionpolicy bypass -file
Mit freundlichen Grüßen Nemesis
Ja vielen Dank, das habe ich ebenfalls mit korrigiert, es jedoch nicht mehr mit aufgeführt 
