3063370895
Goto Top

Windows LAPS (LAPS 2.0) veröffentlicht

Hallo zusammen,

mit den gestrigen Updates wird das neue Windows LAPS ausgerollt. Ein lange gewünschtes Feature wird endlich in Windows integriert.
yyfiispagx
Was ist neu?

  • Nativ in Windows integriert
  • Passwortverlauf
  • Passwortverschlüsselung (Voraussetzung: DFL 2016)
  • Backups von DSRM-Passwörtern
  • Azure AD-Integration (im Moment in geschlossener Beta)
  • Automatische Rotation wenn Passwort genutzt wurde
  • "Emulation-Mode" optionale Kompatibilität zu alten LAPS-Richtlinien


Folgende Windows-Versionen erhalten das neue LAPS:

  • Windows 11 Pro, EDU, and Enterprise
  • Windows 10 Pro, EDU, and Enterprise
  • Windows Server 2022 and Windows Server Core 2022
  • Windows Server 2019

Die neuen PolicyDefinitions finden sich nach dem Update unter C:\Windows\PolicyDefinitions.
Sollten sie fehlen, kann man sie hier runterladen
Wenn man schon LAPS benutzt, kann man unbesorgt sein, das System wurde so entwickelt, dass das neue und das alte parallel laufen können.

Es wäre jedoch nicht Microsoft, gäbe es nicht ein Szenario , bei dem das System kaputt geht:

Wenn das alte LAPS installiert wird, nachdem das gestrige Update installiert wurde, failed das System spektakulär:
Das LAPS-Passwort im AD wird aktualisiert, allerdings wird das Passwort des Kontos nicht geändert.
Dies kann zum Beispiel passieren, wenn man neue Systeme aufsetzt, und Updates installiert bevor LAPS installiert wird.

Im Event-Viewer findet sich dann folgendes:

Applications and Services Logs\Microsoft\Windows\LAPS -> Operational
Event ID 10031: LAPS blocked an external request that tried to modify the password of the current managed account.


Mehr Infos:
Blog-Post von Jay Simmons
Microsoft Docs
Reddit-Post mit wertvollen Informationen

Content-ID: 6738721217

Url: https://administrator.de/knowledge/windows-laps-laps-2-0-veroeffentlicht-6738721217.html

Ausgedruckt am: 24.12.2024 um 01:12 Uhr

3063370895
3063370895 12.04.2023, aktualisiert am 13.04.2023 um 11:31:47 Uhr
Goto Top
Persönliche Meinung:

Postitiv:
  • Gut, dass es veröffentlicht und in Windows integriert wird
  • Die neuen Features sind willkommen

Negativ:
  • Keine Dokumentation (bisher) für eine Migration von legacy zu neuem LAPS
  • Veröffentlichung a la "Ab sofort in Windows integriert" war erstmal ein Schock - was ist mit meinen alten LAPS-PCs?


Vorschlag zur Migration von Jay Simmons, aus den Kommentaren zum Blogpost

1) Extend your AD schema with the new Windows LAPS attributes
2) Add a new local admin account to your managed devices (call it "LapsAdmin2")
3) Enable the new Windows LAPS policies to target LapsAdmin2.
4) Run Windows LAPS and legacy LAPS side-by-side for as long as needed to gain confidence in the solution (and also update IT worker\helpdesk procedures, monitoring software, etc). Note you will have two (2) separately managed local managed accounts that you may choose to use during this time.
5) Once happy, remove the legacy LAPS CSE from your managed devices.
6) Delete the original LapsAdmin account.
7) (Optionally), purge the now defunct legacy LAPS policy registry entries.

Bei mir habe ich es so gemacht:

1) Schema erweitert mit Update-LapsADSchema

2) Neue Gruppe im AD "WindowsLAPS" mit PCs, auf denen das neue LAPS eingesetzt werden soll

3) Neue Gruppenrichtlinie mit Sicherheitsfilterung auf die eben erstellte Gruppe.

4) In dieser Gruppenrichtlinie werden
a) die Einstellungen für Windows LAPS gesetzt
b) Mit einem Powershell-oneliner als startup-skript das alte LAPS deinstalliert
 Start-Process MsiExec.exe -ArgumentList '/X{97E2CA7B-B657-4FF7-A6DB-30ECC73E1E28} /qn'  

5) (mein AD-Tool aktualisiert, da das neue LAPS-Kennwort in einem anderen Attribut und in einem anderen Format gespeichert wird)
Das Passwort wird jetzt in dem Attribut "msLAPS-Password" gespeichert in diesem Format:
{"n":"HierStehtDerBenutzername","t":"IrgendeinCode","p":"HierStehtDasPasswort"}  
Falls jemand ein regex für das Passwort benötigt (alternativ kann man es als JSON parsen):
(?<="p":")[^"]+  
Franz-Josef-II
Franz-Josef-II 12.04.2023 aktualisiert um 12:04:07 Uhr
Goto Top
Servas


Danke, aber kurz nachfragt, mit Windows 10 geht's wirklich? Getestet oder irgendwo anders gesehen?


Zitat von @3063370895:

Folgende Windows-Versionen erhalten das neue LAPS:

Windows 11 Pro, EDU, and Enterprise
Windows 10 Pro, EDU, and Enterprise
Windows Server 2022 and Windows Server Core 2022
Windows Server 2019

Die von Dir verlinkte Microsoft Doku meint:

Wichtig

Windows LAPS ist derzeit nur in Windows 11 Insider Preview Build 25145 und höher verfügbar, und das Azure Active Directory LAPS-Szenario befindet sich in der privaten Vorschau.
3063370895
3063370895 12.04.2023 aktualisiert um 12:41:21 Uhr
Goto Top
Zitat von @Franz-Josef-II:
Die von Dir verlinkte Microsoft Doku meint:

Wichtig

Windows LAPS ist derzeit nur in Windows 11 Insider Preview Build 25145 und höher verfügbar, und das Azure Active Directory LAPS-Szenario befindet sich in der privaten Vorschau.

Ja, getestet mit Win 10 und 11.
In der englischen Doku sind die richtigen Versionen aufgelistet. Die deutsche ist wie so oft nutzlos und veraltet.
Franz-Josef-II
Franz-Josef-II 12.04.2023 um 12:41:12 Uhr
Goto Top
Ok, danke

Nachdem ich noch etwas länger mit Win 10 herumtun darf, ist mir die "Wichtig-Aussage" ins Aug gestochen ..... daher die Nachfrage.

Danke
Franz
nEmEsIs
nEmEsIs 12.04.2023 um 12:51:35 Uhr
Goto Top
Hi

Wie wird der Zugriff auf den Reiter eingeschränkt? Beim Microsoft Laps konnte man ja Gruppen definieren die das Passwort sehen konnten.

Mit freundlichen Grüßen Nemesis
3063370895
3063370895 12.04.2023 um 13:03:38 Uhr
Goto Top
Zitat von @nEmEsIs:

Hi

Wie wird der Zugriff auf den Reiter eingeschränkt? Beim Microsoft Laps konnte man ja Gruppen definieren die das Passwort sehen konnten.

Mit freundlichen Grüßen Nemesis

Mit
Set-LapsADReadPasswordPermission
gibst du einer Gruppe das Recht die LAPS-Passwörter einer OU auszulesen. Wenn jemand das Recht nicht hat und den LAPS-Reiter öffnet sieht er so aus:
r8tkwppfjb
2423392070
2423392070 12.04.2023 um 13:11:31 Uhr
Goto Top
Dass ich das noch erlebe. Hab zuletzt Dezember 22 großen Stress bei uns wegen lokaler Admin Rechte und deren Verwaltung.

Mein langer Atem hat sich dann wohl ein Stück weit bewährt.
Getthat
Getthat 11.05.2023 um 10:10:57 Uhr
Goto Top
Hat schon jemand das Schema Update versucht wenn die DC´s 2016er sind?
3063370895
3063370895 11.05.2023 um 10:45:04 Uhr
Goto Top
Zitat von @Getthat:

Hat schon jemand das Schema Update versucht wenn die DC´s 2016er sind?

Wir haben 2012R2 und 2019 DCs. So oder so sollte es keine Probleme geben.
Getthat
Getthat 11.05.2023 um 12:51:59 Uhr
Goto Top
Das Problem ist, dass man das Schema Update wohl nicht von einem 2016er DC durchführen kann, da die Befehle nicht zur Verfügung stehen.
Habe von einem Workaround über Win11/Win10 gelesen. Vielleicht kann das doing jemand hier bestätigen.
3063370895
3063370895 11.05.2023 um 12:54:47 Uhr
Goto Top
Ja du kannst das Schema von einem beliebigem Win10/11/Server 2019/2022 in der Domäne durchführen. Der Benutzer muss entsprechend Schema-Administrator sein.