gelöst Remote-Powershell mit LAPS bzw lokalem Admin

Mitglied: systonia

systonia (Level 1) - Jetzt verbinden

15.09.2020 um 15:06 Uhr, 441 Aufrufe, 18 Kommentare, 1 Danke

Hallo zusammen,

ich habe bei uns seit einer Weile LAPS auf allen Clients ausgerollt, was soweit auch super funktioniert. Leider muss ich weiterhin einen Domänenuser als lokalen Admin überall eingetragen haben, weil ich es einfach nicht hinbekomme mit Powershell remote auf die Clients per LAPS-Admin zu verbinden.
Das Problem ist ja, das Powershell zur authentifizierung Kerberos verwendet und damit ein lokaler User ausscheidet. Wenn man liest, steht überall, das man dann die TrustedHosts Liste pflegen soll, damit man von da aus auch ohne Kerberos sich authentifizieren kann. Da habe ich meinen Server eingetragen und auch testweise mal einfach ein * eingetragen, aber ich darf weiterhin nicht verbinden.

Meine GPO zum aktivieren von PSRemote sieht also momentan so aus (+Service automatisch starten)
psremote1 - Klicke auf das Bild, um es zu vergrößern

Führe ich am Server den Befehl
aus und gebe da als Benutzer CLIENT\lapsadmin + das PW ein, erhalte ich den Fehler
Nutze ich den Domänenbenutzer der lokaler Admin ist, geht das Problemlos.

Hat jemand eine Idee was ich hier falsch mache ?

Danke für eure Hilfe !
Mitglied: DerWoWusste
15.09.2020 um 15:14 Uhr
Hi.

Würde es Dich interessieren, ein Konzept zu haben, das ermöglicht, eine PS mit einem Domänennutzer, der remote lokaler Admin ist, zu sehen?
Man kann mein hier als Wissensbeitrag verfügbares Konzept derart umbauen: https://administrator.de/tutorial/sicherer-umgang-supportkonten-262066.h ...
Bitte warten ..
Mitglied: systonia
15.09.2020 um 16:00 Uhr
Durchaus ein interessantes Konzept wenn es "nur" um die direkte Supportrolle geht.
Wir setzen allerdings Laps unter anderem auch für Aussendienstler und andere Offliner ein. Da würde das schon mal nicht klappen. Auch die Replikationszeit in andere Standorte und Domänen sind so ein Thema. Liese sich sicher mit entsprechendem Aufwand lösen, aber wir sind so weit mit LAPS glücklich
Bitte warten ..
Mitglied: Dani
LÖSUNG 15.09.2020 um 16:13 Uhr
Moin,
es dürfe daran liegen, dass du einen lokalen Benutzerkonto nutzen möchest, bei dem es sich nicht um dem BUILTIN\Administrator Konto handelt.

Führe einmal auf dem betroffenen Computer folgenden Befehl aus:
den obligatorischen Neustart nicht vergessen.


Gruß,
Dani
Bitte warten ..
Mitglied: erikro
15.09.2020 um 21:36 Uhr
Moin,

Zitat von systonia:
Das Problem ist ja, das Powershell zur authentifizierung Kerberos verwendet und damit ein lokaler User ausscheidet. Wenn man liest, steht überall, das man dann die TrustedHosts Liste pflegen soll, damit man von da aus auch ohne Kerberos sich authentifizieren kann. Da habe ich meinen Server eingetragen und auch testweise mal einfach ein * eingetragen, aber ich darf weiterhin nicht verbinden.

Irgendwie verstehe ich den letzten Satz so, als machtest Du es falsch. Du musst auf dem Client, auf dem das Skript ausgeführt wird, den Client, den Du per remote ansprechen willst, als trusted host eintragen.

hth

Erik
Bitte warten ..
Mitglied: DerWoWusste
15.09.2020 um 21:54 Uhr
Wir setzen allerdings Laps unter anderem auch für Aussendienstler und andere Offliner ein. Da würde das schon mal nicht klappen
Verstehe nicht, was da nicht klappen soll. Meiner Ansicht nach problemlos.
Auch die Replikationszeit in andere Standorte und Domänen sind so ein Thema.
Ja, wenn alles "sofort" klappen soll, dann muss die Replikationszeit eben so eingerichtet werden, dass sie sehr kurz ist. Ist es denn so häufig nötig, dass Du mal schnell rauf musst? Wozu in dem Fall?
Bitte warten ..
Mitglied: erikro
15.09.2020 um 22:06 Uhr
Moin,

Zitat von DerWoWusste:

Wir setzen allerdings Laps unter anderem auch für Aussendienstler und andere Offliner ein. Da würde das schon mal nicht klappen
Verstehe nicht, was da nicht klappen soll. Meiner Ansicht nach problemlos.

Na die Außendienstler und anderen Offliner haben sich evtl. noch nie an dem Rechner gegen die Domain angemeldet und deshalb sind auch keine Creds zwischengespeichert. Evtl. sind es auch Dienstleister, die gar eine Domainmitglieder sind. Druckerdienstleister z. B., die vor Ort die Drucker installieren sollen.

Auch die Replikationszeit in andere Standorte und Domänen sind so ein Thema.

Oder das.

Ja, wenn alles "sofort" klappen soll, dann muss die Replikationszeit eben so eingerichtet werden, dass sie sehr kurz ist. Ist es denn so häufig nötig, dass Du mal schnell rauf musst? Wozu in dem Fall?

Wenn das bei verteilten Standorten immer so einfach wäre. Aber da gibt das selbst in Hamburg noch Ecken, wo man mit unterirdisch langsamen Leitungen arbeiten muss. Also ich kann das Ansinnen durchaus verstehen.

Liebe Grüße

Erik
Bitte warten ..
Mitglied: DerWoWusste
15.09.2020 um 22:15 Uhr
Danke erikro, dass Du für Ihn antwortest.
Na die Außendienstler und anderen Offliner haben sich evtl. noch nie an dem Rechner gegen die Domain angemeldet und deshalb sind auch keine Creds zwischengespeichert.
Es braucht keine zwischengespeichetren Credentials. Du hast nicht verstanden, was ich verlinkt habe.
Bitte warten ..
Mitglied: erikro
15.09.2020 um 22:35 Uhr
Zitat von DerWoWusste:
Na die Außendienstler und anderen Offliner haben sich evtl. noch nie an dem Rechner gegen die Domain angemeldet und deshalb sind auch keine Creds zwischengespeichert.
Es braucht keine zwischengespeichetren Credentials. Du hast nicht verstanden, was ich verlinkt habe.

Und wie meldet er sich vor Ort gegen die Domain an, um die Creds zu kriegen, um das Skript ausführen zu dürfen, wenn die Domain nicht erreichbar ist?
Bitte warten ..
Mitglied: DerWoWusste
15.09.2020 um 22:46 Uhr
Also... wenn jetzt wirklich der Fall betrachtet werden soll: "Internetverbindung steht, aber Domäne nicht erreichbar", dann brauchen wir uns nicht über die Verwendung von Domänenkonten unterhalten, keine Frage. Ist das so, systonia?
Bitte warten ..
Mitglied: systonia
16.09.2020 um 08:08 Uhr
Zitat von Dani:
Wow! Das ist das Problem. Danke!

Jetzt will ich das aber eigentlich nicht abschalten. Hat ja durchaus seine Berechtigung. Auf die schnelle habe ich jetzt nichts gefunden, was mir es ermöglichen würde diesen einen lokalen admin eben doch zuzulassen. Ist da vielleicht noch jemandem was bekannt?
Bitte warten ..
Mitglied: DerWoWusste
16.09.2020 um 09:01 Uhr
Nein, diese Einstellung ("RemoteUAC"/Localaccountokenfilterpolicy) ist immer nur systemweit setzbar.
Sicherheitstechnisch ist es nur dann kritisch, wenn Du davon ausgehst, dass die Admincredentials in falsche Hände geraten sind, sonst nicht.
Bitte warten ..
Mitglied: systonia
16.09.2020 um 10:09 Uhr
Zitat von DerWoWusste:

Also... wenn jetzt wirklich der Fall betrachtet werden soll: "Internetverbindung steht, aber Domäne nicht erreichbar", dann brauchen wir uns nicht über die Verwendung von Domänenkonten unterhalten, keine Frage. Ist das so, systonia?

Zitat von DerWoWusste:

Also... wenn jetzt wirklich der Fall betrachtet werden soll: "Internetverbindung steht, aber Domäne nicht erreichbar", dann brauchen wir uns nicht über die Verwendung von Domänenkonten unterhalten, keine Frage. Ist das so, systonia?
Ja die User sind halt oft in irgendeiner Montagehalle ohne Wlan oder Mobilfunknetz. Jetzt müssen die da halt eine Software von irgendeiner maschine installieren oder im Gerätemanager was umkonfigurieren etc. Entsprechend brauchen die das Kennwort von einem Admin und das muss halt dann auch funktionieren. Nicht erst VPN starten und hoffen das der User dann wirklich freigeschaltet wurde etc. LAPS ist da halt perfekt, weil das Kennwort so lange gültig ist bis der Rechner wieder Kontakt zur Domäne hatte und das Kennwort ändert.
Das wäre mit deiner Lösung nicht möglich, weil da der User ja grundsätzlich deaktiviert ist.

Aber egal, darum gehts hier ja nicht Trotzdem eine schöne Lösung!
Bitte warten ..
Mitglied: systonia
16.09.2020 um 10:12 Uhr
Zitat von DerWoWusste:

Nein, diese Einstellung ("RemoteUAC"/Localaccountokenfilterpolicy) ist immer nur systemweit setzbar.
Sicherheitstechnisch ist es nur dann kritisch, wenn Du davon ausgehst, dass die Admincredentials in falsche Hände geraten sind, sonst nicht.
Wenn ich sicherstelle das der Default Administrator überall deaktiviert ist und keine anderen "Standard-Lokale-Adminkonten" existieren ausser dem LAPS Admin, dann sollte das eigentlich passen oder?
Irgendwie bescheuert das man für eine ordentliche Nutzung von LAPS das Sicherheitskonzept erst mal aushebeln muss Aber ist halt so
Bitte warten ..
Mitglied: DerWoWusste
16.09.2020, aktualisiert um 10:39 Uhr
Irgendwie bescheuert das man für eine ordentliche Nutzung von LAPS das Sicherheitskonzept erst mal aushebeln muss
Du übertreibst stark. Es wird dadurch nicht unsicher. Ein lokaler Admin gehört immer geschützt, entweder deaktiviert, oder eben nur von remote benutzt, wie hier. Kein wirkliches Sicherheitsproblem.

Noch ein Tipp zur Nutzung lokaler Admins: wenn deine lokalen offline-Nutzer eh das Adminkennwort haben, dann kannst Du es auch weglassen und ein leeres Kennwort konfigurieren (und weitere Schritte). Das klingt zunächst nach einem Fall von "wie bitte!?", aber schau es dir zumindest einmal an: https://administrator.de/wissen/tipp-uac-nutzung-264771.html
Bitte warten ..
Mitglied: erikro
16.09.2020 um 20:02 Uhr
Zitat von DerWoWusste:

Also... wenn jetzt wirklich der Fall betrachtet werden soll: "Internetverbindung steht, aber Domäne nicht erreichbar",

So hatte ich den TO verstanden. Deine Lösung ist an sich genial.
Bitte warten ..
Mitglied: erikro
16.09.2020 um 20:11 Uhr
Moin,

Zitat von DerWoWusste:
Noch ein Tipp zur Nutzung lokaler Admins: wenn deine lokalen offline-Nutzer eh das Adminkennwort haben, dann kannst Du es auch weglassen und ein leeres Kennwort konfigurieren (und weitere Schritte). Das klingt zunächst nach einem Fall von "wie bitte!?", aber schau es dir zumindest einmal an: https://administrator.de/wissen/tipp-uac-nutzung-264771.html

Auch nicht schlecht. Der Thread hat sich richtig gelohnt. Vielen Dank für die Mühe. Der Tipp löst eins meiner Probleme. Das ist ja quasi wie die sudoers unter Linux mit root ohne Recht sich anzumelden. Jetzt muss ich nur noch meinen Datenschutzbeauftragten davon überzeugen, dass das wirklich sicher ist.

Liebe Grüße

Erik
Bitte warten ..
Mitglied: SeaStorm
16.09.2020 um 23:34 Uhr
Zitat von DerWoWusste:
Noch ein Tipp zur Nutzung lokaler Admins: wenn deine lokalen offline-Nutzer eh das Adminkennwort haben, dann kannst Du es auch weglassen und ein leeres Kennwort konfigurieren (und weitere Schritte). Das klingt zunächst nach einem Fall von "wie bitte!?", aber schau es dir zumindest einmal an: https://administrator.de/wissen/tipp-uac-nutzung-264771.html
:mind_blown_gif:
Das ist grandios! Das ist tatsächlich die perfekte Lösung für so Techniker-Notebooks. Die haben wir hier auch mit lokalen Konten und individuellem Kennwort etc. Verständlicherweise mag das keiner von denen.
Das wird ein paar Menschen glücklich machen !
Bitte warten ..
Mitglied: DerWoWusste
17.09.2020 um 07:52 Uhr
Das freut mich doch von euch zu hören.
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung

LAPS- Lokal Admin Password Solution per GPO verteilen

Frage von hukahu23489Windows Userverwaltung8 Kommentare

Moin zusammen, ich habe vor ca. zwei Wochen LAPS in einer MS Server 2012 Umgebung erfolgreich "teilweise" implementiert. Alle ...

Microsoft

PowerShell script für LAPS

Ticker von kgbornMicrosoft5 Kommentare

Kurzer Hinweis für Admins im AD-Umfeld. Ich bin die Tage auf das PowerShell Script der Woche “Local Administrator Password ...

Windows Tools

Microsoft LAPS

gelöst Frage von xbast1xWindows Tools7 Kommentare

Hallo zusammen, ich bin gerade dabei LAPS für die lokale PW Verwaltung zu testen. Soweit funktioniert das Tool sehr ...

Windows Tools

LAPS Pw Anzeige

Frage von Adnan88Windows Tools2 Kommentare

Hallo, ich habe bei mir soeben LAPS auf dem DC installiert, nun habe ich aber folgendes Problem wenn ich ...

Windows Server

Active-Directory: Lokale Admin-Passworte via GPO ohne LAPS setzen

gelöst Frage von Der-PhilWindows Server6 Kommentare

Hallo! Ich habe hier gerade folgendes Projekt: - Auf jedem Rechner einer OU soll es ein lokales Admin-Passwort geben. ...

Windows Server

Windows LAPS leider ein paar Fragen

Frage von HomayounWindows Server6 Kommentare

Hallo, Ich weiß dass hier viele Fragen wegen Windows LAPS gestellt worden sind aber ich brauche hier noch eine ...

Heiß diskutierte Inhalte
Notebook & Zubehör
Macbook oder Surface Book 3?
gelöst Frage von FamousDex089Notebook & Zubehör36 Kommentare

Hallo Zusammen :-), ich bin komplett neu in der IT Admin schiene und neu in diesem Forum. Ich habe ...

Switche und Hubs
Kaufberatung (10G) Switche für Unternehmensnetzwerk
Frage von ipzipzapSwitche und Hubs27 Kommentare

Moin, unsere Firma zieht um und am neu renovierten Standort muss/soll alles neu. Auf drei Etagen stehen Racks, in ...

Humor (lol)
So eine Art Jobangebot
Frage von Melvin.van.HorneHumor (lol)21 Kommentare

Moin, ich habe eben eine Zeit damit zugebracht eine GPO für eine Gruppe von Clients zu erstellen. Egal was ...

Windows Server
AD (virtualisiert) und alle angeschlossenen Clients fahren ungeplant herunter
Frage von tobitobsnWindows Server19 Kommentare

Ich habe aktuell ein Problem, dass ein frisch aufgesetzer Hyper-V mit einem virtualisierten AD regelmäßig 1x die Woche herunterfährt ...

Drucker und Scanner
Vorlage Endlospapier Nadeldrucker
Frage von Hanspeter82Drucker und Scanner13 Kommentare

Hallo, hab die Aufagbe bekommen, eine Vorlage zuerstellen bzgl. Druck auf Endlos Papier über einen Nadeldrucker. Habe allerdings kein ...

Windows 10
FritzBox 7590 VPN
Frage von christian295Windows 1013 Kommentare

Hallo Zusammen, wir haben seit einigen Tagen eine neue FritzBox 7590 und wollen mit ShrewSoft 2.2.2 auf Win 10 ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT