3063370895
12.04.2023, aktualisiert am 11.05.2023
15304
11
5
Windows LAPS (LAPS 2.0) veröffentlicht
Hallo zusammen,
mit den gestrigen Updates wird das neue Windows LAPS ausgerollt. Ein lange gewünschtes Feature wird endlich in Windows integriert.
Was ist neu?
Folgende Windows-Versionen erhalten das neue LAPS:
Die neuen PolicyDefinitions finden sich nach dem Update unter C:\Windows\PolicyDefinitions.
Sollten sie fehlen, kann man sie hier runterladen
Wenn man schon LAPS benutzt, kann man unbesorgt sein, das System wurde so entwickelt, dass das neue und das alte parallel laufen können.
Es wäre jedoch nicht Microsoft, gäbe es nicht ein Szenario , bei dem das System kaputt geht:
Wenn das alte LAPS installiert wird, nachdem das gestrige Update installiert wurde, failed das System spektakulär:
Das LAPS-Passwort im AD wird aktualisiert, allerdings wird das Passwort des Kontos nicht geändert.
Dies kann zum Beispiel passieren, wenn man neue Systeme aufsetzt, und Updates installiert bevor LAPS installiert wird.
Im Event-Viewer findet sich dann folgendes:
Mehr Infos:
Blog-Post von Jay Simmons
Microsoft Docs
Reddit-Post mit wertvollen Informationen
mit den gestrigen Updates wird das neue Windows LAPS ausgerollt. Ein lange gewünschtes Feature wird endlich in Windows integriert.
- Nativ in Windows integriert
- Passwortverlauf
- Passwortverschlüsselung (Voraussetzung: DFL 2016)
- Backups von DSRM-Passwörtern
- Azure AD-Integration (im Moment in geschlossener Beta)
- Automatische Rotation wenn Passwort genutzt wurde
- "Emulation-Mode" optionale Kompatibilität zu alten LAPS-Richtlinien
Folgende Windows-Versionen erhalten das neue LAPS:
- Windows 11 Pro, EDU, and Enterprise
- Windows 10 Pro, EDU, and Enterprise
- Windows Server 2022 and Windows Server Core 2022
- Windows Server 2019
Die neuen PolicyDefinitions finden sich nach dem Update unter C:\Windows\PolicyDefinitions.
Sollten sie fehlen, kann man sie hier runterladen
Wenn man schon LAPS benutzt, kann man unbesorgt sein, das System wurde so entwickelt, dass das neue und das alte parallel laufen können.
Es wäre jedoch nicht Microsoft, gäbe es nicht ein Szenario , bei dem das System kaputt geht:
Wenn das alte LAPS installiert wird, nachdem das gestrige Update installiert wurde, failed das System spektakulär:
Das LAPS-Passwort im AD wird aktualisiert, allerdings wird das Passwort des Kontos nicht geändert.
Dies kann zum Beispiel passieren, wenn man neue Systeme aufsetzt, und Updates installiert bevor LAPS installiert wird.
Im Event-Viewer findet sich dann folgendes:
Applications and Services Logs\Microsoft\Windows\LAPS -> Operational
Event ID 10031: LAPS blocked an external request that tried to modify the password of the current managed account.Mehr Infos:
Blog-Post von Jay Simmons
Microsoft Docs
Reddit-Post mit wertvollen Informationen
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6738721217
Url: https://administrator.de/contentid/6738721217
Ausgedruckt am: 22.11.2024 um 08:11 Uhr
11 Kommentare
Neuester Kommentar
Persönliche Meinung:
Postitiv:
Negativ:
Vorschlag zur Migration von Jay Simmons, aus den Kommentaren zum Blogpost
Bei mir habe ich es so gemacht:
1) Schema erweitert mit Update-LapsADSchema
2) Neue Gruppe im AD "WindowsLAPS" mit PCs, auf denen das neue LAPS eingesetzt werden soll
3) Neue Gruppenrichtlinie mit Sicherheitsfilterung auf die eben erstellte Gruppe.
4) In dieser Gruppenrichtlinie werden
a) die Einstellungen für Windows LAPS gesetzt
b) Mit einem Powershell-oneliner als startup-skript das alte LAPS deinstalliert
5) (mein AD-Tool aktualisiert, da das neue LAPS-Kennwort in einem anderen Attribut und in einem anderen Format gespeichert wird)
Das Passwort wird jetzt in dem Attribut "msLAPS-Password" gespeichert in diesem Format:
Falls jemand ein regex für das Passwort benötigt (alternativ kann man es als JSON parsen):
Postitiv:
- Gut, dass es veröffentlicht und in Windows integriert wird
- Die neuen Features sind willkommen
Negativ:
- Keine Dokumentation (bisher) für eine Migration von legacy zu neuem LAPS
- Veröffentlichung a la "Ab sofort in Windows integriert" war erstmal ein Schock - was ist mit meinen alten LAPS-PCs?
Vorschlag zur Migration von Jay Simmons, aus den Kommentaren zum Blogpost
1) Extend your AD schema with the new Windows LAPS attributes
2) Add a new local admin account to your managed devices (call it "LapsAdmin2")
3) Enable the new Windows LAPS policies to target LapsAdmin2.
4) Run Windows LAPS and legacy LAPS side-by-side for as long as needed to gain confidence in the solution (and also update IT worker\helpdesk procedures, monitoring software, etc). Note you will have two (2) separately managed local managed accounts that you may choose to use during this time.
5) Once happy, remove the legacy LAPS CSE from your managed devices.
6) Delete the original LapsAdmin account.
7) (Optionally), purge the now defunct legacy LAPS policy registry entries.
2) Add a new local admin account to your managed devices (call it "LapsAdmin2")
3) Enable the new Windows LAPS policies to target LapsAdmin2.
4) Run Windows LAPS and legacy LAPS side-by-side for as long as needed to gain confidence in the solution (and also update IT worker\helpdesk procedures, monitoring software, etc). Note you will have two (2) separately managed local managed accounts that you may choose to use during this time.
5) Once happy, remove the legacy LAPS CSE from your managed devices.
6) Delete the original LapsAdmin account.
7) (Optionally), purge the now defunct legacy LAPS policy registry entries.
Bei mir habe ich es so gemacht:
1) Schema erweitert mit Update-LapsADSchema
2) Neue Gruppe im AD "WindowsLAPS" mit PCs, auf denen das neue LAPS eingesetzt werden soll
3) Neue Gruppenrichtlinie mit Sicherheitsfilterung auf die eben erstellte Gruppe.
4) In dieser Gruppenrichtlinie werden
a) die Einstellungen für Windows LAPS gesetzt
b) Mit einem Powershell-oneliner als startup-skript das alte LAPS deinstalliert
Start-Process MsiExec.exe -ArgumentList '/X{97E2CA7B-B657-4FF7-A6DB-30ECC73E1E28} /qn' 5) (mein AD-Tool aktualisiert, da das neue LAPS-Kennwort in einem anderen Attribut und in einem anderen Format gespeichert wird)
Das Passwort wird jetzt in dem Attribut "msLAPS-Password" gespeichert in diesem Format:
{"n":"HierStehtDerBenutzername","t":"IrgendeinCode","p":"HierStehtDasPasswort"} (?<="p":")[^"]+ 
Servas
Danke, aber kurz nachfragt, mit Windows 10 geht's wirklich? Getestet oder irgendwo anders gesehen?
Die von Dir verlinkte Microsoft Doku meint:
Danke, aber kurz nachfragt, mit Windows 10 geht's wirklich? Getestet oder irgendwo anders gesehen?
Zitat von @3063370895:
Folgende Windows-Versionen erhalten das neue LAPS:
Windows 11 Pro, EDU, and Enterprise
Windows 10 Pro, EDU, and Enterprise
Windows Server 2022 and Windows Server Core 2022
Windows Server 2019
Folgende Windows-Versionen erhalten das neue LAPS:
Windows 11 Pro, EDU, and Enterprise
Windows 10 Pro, EDU, and Enterprise
Windows Server 2022 and Windows Server Core 2022
Windows Server 2019
Die von Dir verlinkte Microsoft Doku meint:
Wichtig
Windows LAPS ist derzeit nur in Windows 11 Insider Preview Build 25145 und höher verfügbar, und das Azure Active Directory LAPS-Szenario befindet sich in der privaten Vorschau.
Windows LAPS ist derzeit nur in Windows 11 Insider Preview Build 25145 und höher verfügbar, und das Azure Active Directory LAPS-Szenario befindet sich in der privaten Vorschau.
Zitat von @Franz-Josef-II:
Die von Dir verlinkte Microsoft Doku meint:
Die von Dir verlinkte Microsoft Doku meint:
Wichtig
Windows LAPS ist derzeit nur in Windows 11 Insider Preview Build 25145 und höher verfügbar, und das Azure Active Directory LAPS-Szenario befindet sich in der privaten Vorschau.
Windows LAPS ist derzeit nur in Windows 11 Insider Preview Build 25145 und höher verfügbar, und das Azure Active Directory LAPS-Szenario befindet sich in der privaten Vorschau.
Ja, getestet mit Win 10 und 11.
In der englischen Doku sind die richtigen Versionen aufgelistet. Die deutsche ist wie so oft nutzlos und veraltet.
Ok, danke
Nachdem ich noch etwas länger mit Win 10 herumtun darf, ist mir die "Wichtig-Aussage" ins Aug gestochen ..... daher die Nachfrage.
Danke
Franz
Nachdem ich noch etwas länger mit Win 10 herumtun darf, ist mir die "Wichtig-Aussage" ins Aug gestochen ..... daher die Nachfrage.
Danke
Franz
Hi
Wie wird der Zugriff auf den Reiter eingeschränkt? Beim Microsoft Laps konnte man ja Gruppen definieren die das Passwort sehen konnten.
Mit freundlichen Grüßen Nemesis
Wie wird der Zugriff auf den Reiter eingeschränkt? Beim Microsoft Laps konnte man ja Gruppen definieren die das Passwort sehen konnten.
Mit freundlichen Grüßen Nemesis
Zitat von @nEmEsIs:
Hi
Wie wird der Zugriff auf den Reiter eingeschränkt? Beim Microsoft Laps konnte man ja Gruppen definieren die das Passwort sehen konnten.
Mit freundlichen Grüßen Nemesis
Hi
Wie wird der Zugriff auf den Reiter eingeschränkt? Beim Microsoft Laps konnte man ja Gruppen definieren die das Passwort sehen konnten.
Mit freundlichen Grüßen Nemesis
Mit
Set-LapsADReadPasswordPermission
Dass ich das noch erlebe. Hab zuletzt Dezember 22 großen Stress bei uns wegen lokaler Admin Rechte und deren Verwaltung.
Mein langer Atem hat sich dann wohl ein Stück weit bewährt.
Mein langer Atem hat sich dann wohl ein Stück weit bewährt.
Hat schon jemand das Schema Update versucht wenn die DC´s 2016er sind?
Wir haben 2012R2 und 2019 DCs. So oder so sollte es keine Probleme geben.
Das Problem ist, dass man das Schema Update wohl nicht von einem 2016er DC durchführen kann, da die Befehle nicht zur Verfügung stehen.
Habe von einem Workaround über Win11/Win10 gelesen. Vielleicht kann das doing jemand hier bestätigen.
Habe von einem Workaround über Win11/Win10 gelesen. Vielleicht kann das doing jemand hier bestätigen.
Ja du kannst das Schema von einem beliebigem Win10/11/Server 2019/2022 in der Domäne durchführen. Der Benutzer muss entsprechend Schema-Administrator sein.
