Wo und wie sichert ihr die LAPS Passwörter außerhalb vom AD?
Hallo,
wir überlegen LAPS auf Server einzuführen. Leider ist es heutzutage nicht so abwegig, dass evtl. das Active Directory nicht mehr zur Verfügung steht und wir es dann auch nicht mehr aus dem Backup bekommen könnten. Das ist zwar sehr unwahrscheinlich, trotzdem evtl. möglich. Hatte mir überlegt, die Passörter täglich in unser Passworttool zu importieren.
Wie habt ihr das Problem gelöst oder ist es für euch keine Überlegung wert, weil dieser Zustand nicht eintritt?
VG
Peter
wir überlegen LAPS auf Server einzuführen. Leider ist es heutzutage nicht so abwegig, dass evtl. das Active Directory nicht mehr zur Verfügung steht und wir es dann auch nicht mehr aus dem Backup bekommen könnten. Das ist zwar sehr unwahrscheinlich, trotzdem evtl. möglich. Hatte mir überlegt, die Passörter täglich in unser Passworttool zu importieren.
Wie habt ihr das Problem gelöst oder ist es für euch keine Überlegung wert, weil dieser Zustand nicht eintritt?
VG
Peter
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 82280082385
Url: https://administrator.de/forum/wo-und-wie-sichert-ihr-die-laps-passwoerter-ausserhalb-vom-ad-82280082385.html
Ausgedruckt am: 22.12.2024 um 17:12 Uhr
22 Kommentare
Neuester Kommentar
Wenn man Microsoft 365 Premium hat, kann man dort die LAPS Passwoerter bei den Geraeten eintragen lassen.
Server mit LAPS ist schon schoen... aber wehe es streikt mal das AD und die Schluessel sind alle gerade gewechselt worden. Ich wuerde die Server vom Laps nicht kontrollieren lassen. Ein kompliziertes Passwort in einen Briefumschlag in einen Tresor den man auch ohne Strom erreichen kann...
Server mit LAPS ist schon schoen... aber wehe es streikt mal das AD und die Schluessel sind alle gerade gewechselt worden. Ich wuerde die Server vom Laps nicht kontrollieren lassen. Ein kompliziertes Passwort in einen Briefumschlag in einen Tresor den man auch ohne Strom erreichen kann...
Moin!
Veeam sichert die Attribute der AD Computer-Objekte regelmäßig mit.
Also auch die LAPS Passwörter zu den jeweiligen Zeitpunkten eines eventuellen Restores.
Zweite Möglichkeit wäre die Passwörter per Skript auszulesen und sichern.
Diese müssten dann aber auch unverschlüsselt gespeichert werden.
Kann man per GPO festlegen.
Veeam sichert die Attribute der AD Computer-Objekte regelmäßig mit.
Also auch die LAPS Passwörter zu den jeweiligen Zeitpunkten eines eventuellen Restores.
Zweite Möglichkeit wäre die Passwörter per Skript auszulesen und sichern.
Diese müssten dann aber auch unverschlüsselt gespeichert werden.
Kann man per GPO festlegen.
Moin,
Inzwischen nutzen dafür ein PAM System. Sprich dort sehe ich sowohl das aktuelle Passwort sowie mit entsprechender Berechtigungen auch vorherige Passwörter. Somit eine WIN-WIN Situation. Wird aber vermutlich für euch keine Option sein. Sowohl personell als auch von den Kosten her (ist eine reine Vermutung)! Weil wenn ihr keinen DR Plan für AD habt, wie wollt ihr dann einen für ein PAM aufbauen?!
Gruß,
Dani
wir überlegen LAPS auf Server einzuführen.
von wie vielen Servern sprechen wir denn?Leider ist es heutzutage nicht so abwegig, dass evtl. das Active Directory nicht mehr zur Verfügung steht und wir es dann auch nicht mehr aus dem Backup bekommen könnten. Das ist zwar sehr unwahrscheinlich, trotzdem evtl. möglich.
Aber das ist doch Broken by Design. DAs höchste Gut ist das Active Directory. Sprich muss sowohl im Backup als Disaster Recovery (DR) Plan die höchste Priorität haben. Die Szenarien aufzeigen und Lösungen dokumentieren.Hatte mir überlegt, die Passörter täglich in unser Passworttool zu importieren.
Wie habt ihr das Problem gelöst oder ist es für euch keine Überlegung wert, weil dieser Zustand nicht eintritt?
Wir haben LAPS lange auf Clients und Servern genutzt. Allerdings hatten wir wie du das Problem, dass bei einem Restore einer VM von vor 3 Wochen, 5 Monate, 2 Jahre, etc. die Passwörter nicht mehr stimmen. Der Umweg über das Backup hat immer funktioniert. War aber ein Zeit Fresser. Zumal wir in den letzten Jahren unser Tiering Architektur überarbeitet haben und damit das Backup für solche Zwecke nicht mehr zur Verfügung stand.Inzwischen nutzen dafür ein PAM System. Sprich dort sehe ich sowohl das aktuelle Passwort sowie mit entsprechender Berechtigungen auch vorherige Passwörter. Somit eine WIN-WIN Situation. Wird aber vermutlich für euch keine Option sein. Sowohl personell als auch von den Kosten her (ist eine reine Vermutung)! Weil wenn ihr keinen DR Plan für AD habt, wie wollt ihr dann einen für ein PAM aufbauen?!
wir haben Veeam im Einsatz und sind am Überlegen, die Server aus der Domäne zu nehmen.
Was ist der Vorteil, wenn du die Server aus der Domäne nimmst? Weil du verlierst damit die zentrale Steuerung via GPO, zentraler Benutzerverwaltung, zentrale Berechtigungsverwaltung, etc.Gruß,
Dani
Moin,
Ich lese die Passwörter aller Geräte aus die LAPS nutzen und synchronisiere die Daten in einer sharepoint Liste per powershell.
Zusätzlich haben wir noch eine powerapp die auf die Liste zugreift, damit wir die Passwörter sowohl über sharepoint am PC und am Handy einsehen können.
Muss das Script noch aktualisieren, weil wir das neue LAPS mittlerweile nutzen.
Liste und powerapp ist nur für die IT nutzbar
Ist nice, dem helpdesk vorallem hilft es sehr wenn Sie vor Ort support geben
Man kann natürlich auch eine Passwort historie mit einbauen damit man auch nach einem restore die Passwörter nutzen kann. Haben wir nicht, sollte ich mir evtl. Nochmal überlegen ob das nicht sinnvoll wäre
Vg
Ich lese die Passwörter aller Geräte aus die LAPS nutzen und synchronisiere die Daten in einer sharepoint Liste per powershell.
Zusätzlich haben wir noch eine powerapp die auf die Liste zugreift, damit wir die Passwörter sowohl über sharepoint am PC und am Handy einsehen können.
Muss das Script noch aktualisieren, weil wir das neue LAPS mittlerweile nutzen.
Liste und powerapp ist nur für die IT nutzbar
Ist nice, dem helpdesk vorallem hilft es sehr wenn Sie vor Ort support geben
Man kann natürlich auch eine Passwort historie mit einbauen damit man auch nach einem restore die Passwörter nutzen kann. Haben wir nicht, sollte ich mir evtl. Nochmal überlegen ob das nicht sinnvoll wäre
Vg
Moin,
Gruß,
Dani
Weltweit haben wir knapp 1000 VM's und 30 Child-Domains. Ein DR Plan haben wir bereits. Nichts desto trotz könnte ich besser schlafen, wenn die Passwörter für die VM's sicher hinterlegt wären.
war aus deiner Frage nicht abzuleiten. Bei der Anzahl ist ein PAM eigentlich heutzutage Pflicht. Damit erledigst du auch gleich Themen wie Protokollierung, Rechte Management, Passwort History, Passwort Change, etc. Wir verwalten damit ein paar Kisten mehr als ihr habt - Windows, Linux, teilweise Appliance, etc. Server - Clients - Kassensysteme, etc.Wenn das Passwort eines privilegierten Accounts gehackt wurde, kann dieser dann auch auf die Backup Server und das Backup verschlüsseln.
In der Regel, gibt es nicht viele Konten welche auf ein Tier 1 System (Backup Server) zugreifen darf. In der Regel geht dieser noch über einen Jump Host, welcher mit 2FA gesichert ist. Zudem ist die Anmeldung grundsätzlich auf die betroffenen Systemen eingegrenzt ist.Dass dann eine zentrale Verwaltung nicht mehr funktioniert, ist bekannt.
Ein PAM funktioniert (wenn es richtig designed wurde), auch ohne Domäne. DR Plan. Wir haben knapp 1 Mio. Einträge drin. Was glaubst du was bei uns los wäre, wenn wir da nicht dran kämen?!Gruß,
Dani
Moin,
Wo ist das Problem? Wenn das AD nicht mehr zur Verfügung steht, also alle DCs abgeschmiert sind und alles kaputt ist, habe ich ein ganz anderes Problem als lokale Admin-Passwörter. In dem Szenario muss ich erst einmal dafür Sorge tragen, dass das AD wieder geht. Geht es wieder, dann kann ich auch wieder LAPS benutzen. Wenn das im AD hinterlegte PW nicht stimmen sollte, dann setzt man halt einfach ein
ab und der Rechner bekommt ein neues, das dann wieder im AD steht.
IMHO konterkariert das Vorhaben, die PWs noch einmal irgendwo zu speichern, das Konzept der LAPS.
my 2 cents
Erik
Zitat von @BPeter:
Hallo,
wir überlegen LAPS auf Server einzuführen. Leider ist es heutzutage nicht so abwegig, dass evtl. das Active Directory nicht mehr zur Verfügung steht und wir es dann auch nicht mehr aus dem Backup bekommen könnten. Das ist zwar sehr unwahrscheinlich, trotzdem evtl. möglich. Hatte mir überlegt, die Passörter täglich in unser Passworttool zu importieren.
Hallo,
wir überlegen LAPS auf Server einzuführen. Leider ist es heutzutage nicht so abwegig, dass evtl. das Active Directory nicht mehr zur Verfügung steht und wir es dann auch nicht mehr aus dem Backup bekommen könnten. Das ist zwar sehr unwahrscheinlich, trotzdem evtl. möglich. Hatte mir überlegt, die Passörter täglich in unser Passworttool zu importieren.
Wo ist das Problem? Wenn das AD nicht mehr zur Verfügung steht, also alle DCs abgeschmiert sind und alles kaputt ist, habe ich ein ganz anderes Problem als lokale Admin-Passwörter. In dem Szenario muss ich erst einmal dafür Sorge tragen, dass das AD wieder geht. Geht es wieder, dann kann ich auch wieder LAPS benutzen. Wenn das im AD hinterlegte PW nicht stimmen sollte, dann setzt man halt einfach ein
Reset-AdmPwdPassword -ComputerName "hostname"
ab und der Rechner bekommt ein neues, das dann wieder im AD steht.
IMHO konterkariert das Vorhaben, die PWs noch einmal irgendwo zu speichern, das Konzept der LAPS.
my 2 cents
Erik
Zitat von @Starmanager:
Dazu muss man aber erst mal die Geraete wieder ins AD integrieren. Das geht dann aber auch nur mit dem Admin Passwort oder?
Dazu muss man aber erst mal die Geraete wieder ins AD integrieren. Das geht dann aber auch nur mit dem Admin Passwort oder?
Also wenn das AD so kaputt ist, dass ich es komplett neu aufsetzen muss, dann habe ich was ganz grundsätzlich falsch gemacht. Das ist mir bisher nur einmal untergekommen. Da stand der DC ohne Redundanz in einer Besenkammer bei einer Raumtemperatur von gemessenen 75°C. Nein, es war nicht meine Idee, die Besenkammer zum Serverraum zu machen.
Zitat von @BPeter:
Da hast du grundsätzlich Recht. Zu 100% wirst du mir nicht sagen können, dass du dein AD unter allen Umständen dieser Welt wieder zum Laufen bekommst.
Da hast du grundsätzlich Recht. Zu 100% wirst du mir nicht sagen können, dass du dein AD unter allen Umständen dieser Welt wieder zum Laufen bekommst.
Warum sollte ich das nicht können? Gut, wenn der Atomkrieg ausbricht und die Bombe meine Server und die Bank mit den Backup-Bändern vaporisiert hat, dann vielleicht nicht. Aber das wäre dann auch egal. Ansonsten fällt mir kein Szenario ein, bei dem das AD so kaputt geht, dass es nicht wiederherstellbar ist. Nenne mir doch mal eins. Selbst bei dem abgerauchten Server war das AD nach ein paar Tagen wieder online. Es musste halt Ersatzhardware beschafft werden, auf die man dann das Backup spielen konnte. Danach war (fast) alles wieder gut.
Moin,
@erikro
Bei solch einer Größe wissen in der Regel die AD Admins was sie tun. Solch eine Struktur betreut sich nicht von alleine. Da hast du ganz andere Herausforderungen und Probleme.
Bei Letzteren wird sicherlich nicht "blind" probiert, sondern Microsoft Support zur Hilfe gerufen. Weil da kann es schnell um die Existent eines Unternehmen gehen. Je nach Microsoft Vertrag erfolgt auch regelmäßig ein Check der Umgebung mit AD Experten. Was hingegen bei einem KMU sicherlich nicht der Fall sein wird. Da wird gerne mal "Live" getestet ohne Rücksicht auf Verluste.
Gruß,
Dani
das funktioniert nur, wenn du das kompromittierte AD zum Laufen bekommst. Wenn du ein neues AD installieren musst, kannst du auch noch die 1000 VM's neu aufsetzen.
das eine bringt automatisch das andere mit sich. Wenn ein AD übernommen worden ist, muss entweder das Backup wiederhergestellt werden. Und zwar nicht nur die DCs, sondern von allem was indirekt davon betroffen ist. Oder alternativ eine Neuinstallation durchführen.Kein Problem. Wir bauen gerade PAM bei uns weiter aus und daher kommt auch meine Frage.
Warum die Passwörter dann in einem Passwort Manager überführen oder/und die Server aus der Domäne nehmen? Macht für mich beides keinen logischen Sinn an Hand der Faken und Informationsgrundlage.Genau das, würde ich gerne vermeiden.
Was möchtest du vermeiden, das PAM einzuführen oder für ein PAM ein DR Plan erstellen?Ich gehe davon aus, dass du deine Backupserver nicht durch LAPS konfiguriert hast, sondern ,mit lokalem Account mit sehr langem Passwort, das du in einem Passworttool gespeichert hast. Das Passworttool ist auch offline verfügbar.
Nein, steht ebenfalls im PAM.@erikro
Ansonsten fällt mir kein Szenario ein, bei dem das AD so kaputt geht, dass es nicht wiederherstellbar ist. Nenne mir doch mal eins.
Soweit würde ich gar nicht gehen wollen. Man hat alles richtig gemacht, trotzdem spinnt die Software. Sehr unwahrscheinlich, aber meiner Meinung nach nicht 100% abwegig.Bei Letzteren wird sicherlich nicht "blind" probiert, sondern Microsoft Support zur Hilfe gerufen. Weil da kann es schnell um die Existent eines Unternehmen gehen. Je nach Microsoft Vertrag erfolgt auch regelmäßig ein Check der Umgebung mit AD Experten. Was hingegen bei einem KMU sicherlich nicht der Fall sein wird. Da wird gerne mal "Live" getestet ohne Rücksicht auf Verluste.
Gruß,
Dani
Moin,
Eben. Deshalb fällt mir auch kein Szenario ein und der TO kann auch keins nennen. Man kann ja viel über MS meckern, aber das AD ist wirklich ausgereift und stabil. Wenn man das vernünftig aufbaut und gut pflegt, dann läuft das ohne Probleme. BTW: Das größte AD, mit dem ich je gearbeitet habe, umfasste ca. 50.000 User und ca. 30.000 Maschinen. Da hatte man dann wirklich auch >1.000 VMs.
Liebe Grüße
Erik
Zitat von @Dani:
@eriko
Bei solch einer Größe wissen in der Regel die AD Admins was sie tun. Solch eine Struktur betreut sich nicht von alleine. Da hast du ganz andere Herausforderungen und Probleme.
@eriko
Ansonsten fällt mir kein Szenario ein, bei dem das AD so kaputt geht, dass es nicht wiederherstellbar ist. Nenne mir doch mal eins.
Soweit würde ich gar nicht gehen wollen. Man hat alles richtig gemacht, trotzdem spinnt die Software. Sehr unwahrscheinlich, aber meiner Meinung nach nicht 100% abwegig.Eben. Deshalb fällt mir auch kein Szenario ein und der TO kann auch keins nennen. Man kann ja viel über MS meckern, aber das AD ist wirklich ausgereift und stabil. Wenn man das vernünftig aufbaut und gut pflegt, dann läuft das ohne Probleme. BTW: Das größte AD, mit dem ich je gearbeitet habe, umfasste ca. 50.000 User und ca. 30.000 Maschinen. Da hatte man dann wirklich auch >1.000 VMs.
Liebe Grüße
Erik