lcer00
Goto Top

LAPS, Legacy-LAPS und Windows 11

Hallo zusammen,

Windows 11 und LAPS (Windows Local Administrator Password Solution) sorgte auf meinem neuen ARM-Surface für etwas Verwirrung. Daher als kurzer Tipp folgende Infos.

Microsoft unterscheidet zwischen "LAPS" und "Legacy LAPS". Ab 2023 soll LAPS(neu) bestandteil von Windows 11 sein. Momentan ist es bereits ab Windows 11 Insider Preview Build 25145 and later verfügbar. Das neue LAPS muss nicht separat auf dem Windows 11 PC installiert werden (wenn es im Build enthalten ist). Informationen zu LAPS (neu) gibt es hier: https://learn.microsoft.com/en-us/windows-server/identity/laps/laps-over ...

Bis zur Verfügbarkeit von LAPS (neu) dahin muss man wie bisher das (Legacy)-LAPS auf dem PC installieren. das aktuelle Erstellungsdatum der LAPS-Dateien unter https://www.microsoft.com/en-us/download/details.aspx?id=46899 ist der 5.5.2021. Enthalten ist neben der x86 und x64 Version auch eine ARM-Version (die natürlich auf dem ARM-Surface verwendet werden muss. Die x64 Version läuft da nicht). Informationen zu Legacy-LAPS gibt es hier: https://learn.microsoft.com/en-us/windows-server/identity/laps/laps-scen ...

Wenn man bisher in einem bestehenden Active Directory mit LAPS arbeitet, muss man am Active Directory nichts ändern umd Legacy-LAPS auf Windows 11 Clients zu nutzen. Die Installation von LAPS im AD hat sich für die Legacy-Version nicht geändert.

Will man (später) das neue LAPS nutzen, hält man sich an folgende Informationen: https://learn.microsoft.com/en-us/windows-server/identity/laps/laps-scen ...

Ein Mischbetrieb dürfte im AD möglich sein. Das habe ich so explizit nicht gefunden. Ein Mischbetrieb auf dem Windows 11 Client ist nicht möglich. Sobald Legacy-LAPS-Einstellungen konfiguriert sind, wird Legacy-LAPS verwendet. Siehe https://learn.microsoft.com/en-us/windows-server/identity/laps/laps-mana ... Um LAPS (neu) zu nutzen, muss kein Legacy-LAPS konfiguriert sein und Legacy-LAPS nicht auf dem Client installiert sein.

Noch eine Ergänzung zur ARM64 Version: Ich habe noch keine Möglichkeit gefunden, das per WMI-Filter zu erkennen. Deshalb muss man eventuelle Softwareverteilungs-GPOs über Delegierungen/Berechtigunen filtern.

Select * From Win32_OperatingSystem WHERE OSArchitecture = "64-bit"  
liefert leider true.

Select * From Win32_OperatingSystem WHERE OSARCHITEW6432 = "ARM64"  
liefert true und funktioniert als WMI-Filter.

Grüße

lcer

Edit: WMI-Filter

Content-Key: 4903613859

Url: https://administrator.de/contentid/4903613859

Ausgedruckt am: 28.03.2024 um 19:03 Uhr

Mitglied: 2423392070
2423392070 09.12.2022 um 11:50:48 Uhr
Goto Top
Hast Du bezüglich Windows 10 was mitbekommen, wie s weiter geht? Auch für bereits veröffentlichte Builds?
Mitglied: lcer00
lcer00 09.12.2022 um 12:12:08 Uhr
Goto Top
Hallo,

Zitat von @2423392070:

Hast Du bezüglich Windows 10 was mitbekommen, wie s weiter geht? Auch für bereits veröffentlichte Builds?
Nein, da steht nix.

nachtrag zum Thema ARM:

Select * From Win32_OperatingSystem WHERE OSARCHITEW6432 = "ARM64"  

Scheint zu funktionieren.

Grüße

lcer
Mitglied: lcer00
lcer00 17.04.2023 um 10:31:45 Uhr
Goto Top
Hallo,

das neue LAPS 2.0 ist veröffentlicht. Siehe dazu folgendes Thread: Windows LAPS (LAPS 2.0) veröffentlicht

Grüße

lcer