CoolAce 17 Geschrieben 2. Juni 2020 Melden Teilen Geschrieben 2. Juni 2020 Hallo zusammen, ich habe mich mit dem Thema beschäftigt da ein Kunde mit ca. 100 Clients das wünscht. Ich habe hierzu eine Installation auf einer Testumgebung durchgeführt, durch MS Anleitung kein Problem 1 ) Muss ich LAPS auf dem DC installieren oder geht es auch auf dem Memberserver ? 2 In dem Threat hab ich super Infos gefunden Ich habe hierzu den Befehl ausgeführt Find-AdmPwdExtendedrights -identity server2 ExtendedRightHolders -------------------- {NT-AUTORITÄT\SYSTEM, COLA\Domänen-Admins, COLA\gruppein} Das bedeutet, es dürfe ja nur die Domänan Admins und die Gruppe gruppein die Passwörter sehen ? Gruß Coolace Ach ja, als DC hab ich 2019 im Einsatz als Client Win10 Zitieren Link zu diesem Kommentar
NilsK 2.940 Geschrieben 2. Juni 2020 Melden Teilen Geschrieben 2. Juni 2020 (bearbeitet) Moin, LAPS "installierst" du nicht, du richtest es ein. Es handelt sich ja nicht um eine laufende Serversoftware, sondern eher um eine Infrastruktur. Die eigentliche Arbeit machen die Clients, auf denen du eine Erweiterung für die Gruppenrichtlinien installierst. Dann brauchst du im Wesentlichen nur noch "einen" Adminrechner, der gerade kein DC sein sollte (auf einem DC administriert man ja nicht), sondern auch ein Client sein kann. Und du brauchst zwei AD-Schema-Erweiterungen, die du aber nur einmalig von einem Adminrechner aus einrichtest. Vielleicht liest du dir das Konzept noch mal richtig durch? Hier ist ein hübscher Einstieg dafür: [LAPS – lokales Admin-Passwort endlich sicher | faq-o-matic.net]https://www.faq-o-matic.net/2015/07/01/laps-lokales-admin-passwort-endlich-sicher/ Gruß, Nils PS. die Vorbehalte, die ich in dem von dir genannten Thread gegenüber LAPS geäußert habe, habe ich immer noch. LAPS ist okay, wenn man weiß, was man tut und wenn man es richtig - also sorgfältig - umsetzt. Wenn nicht, dann nicht. bearbeitet 2. Juni 2020 von NilsK Zitieren Link zu diesem Kommentar
CoolAce 17 Geschrieben 2. Juni 2020 Autor Melden Teilen Geschrieben 2. Juni 2020 Hallo Nils, vielen Dank für den Link, ich glaube mir ist das jetzt klarer. Mein Plan. Installation auf dem DC ohne diese GUI um die Erweiterungen zu machen. Installation der Software auf den Clients und auf den HelpDesk Clients mit der Option FatClientUI . Das sollte so passen oder habe ich hier etwas übersehen Gruß CoolAce Zitieren Link zu diesem Kommentar
NilsK 2.940 Geschrieben 2. Juni 2020 Melden Teilen Geschrieben 2. Juni 2020 Moin, hm, was soll ich darauf antworten? Ja, du hast etwas übersehen - weil du möglicherweise nicht verstanden hast, was ich dir schrieb. Du installierst bei LAPS nichts auf dem DC. Und wenn dir die Sicherheit der Umgebung irgendwie wichtig ist, administrierst du auch nichts auf dem DC. Was würdest du denn überhaupt "installieren" wollen? Gruß, Nils Zitieren Link zu diesem Kommentar
NorbertFe 2.050 Geschrieben 2. Juni 2020 Melden Teilen Geschrieben 2. Juni 2020 Na laps ;) ohne alles. Zitieren Link zu diesem Kommentar
CoolAce 17 Geschrieben 2. Juni 2020 Autor Melden Teilen Geschrieben 2. Juni 2020 Hallo Nils, es stimmt , es sein kann das ich es falsch verstanden habe. Dein Text LAPS "installierst" du nicht, du richtest es ein. Es handelt sich ja nicht um eine laufende Serversoftware, sondern eher um eine Infrastruktur. Aus dem Text und dem Link habe ich geschlossen das ich es auf dem DC installieren muss , weil dort die Erweiterung des Schemas passiert mit den Befehlen und die GPO Erweiterungen angelegt werden. Das geht also auch auf einer Admin WS ? Gruß Coolace Zitieren Link zu diesem Kommentar
Beste Lösung NilsK 2.940 Geschrieben 2. Juni 2020 Beste Lösung Melden Teilen Geschrieben 2. Juni 2020 Moin, vor 1 Minute schrieb CoolAce: [NilsK] LAPS "installierst" du nicht ... [CoolAce] Aus dem Text ... habe ich geschlossen das ich es auf dem DC installieren muss nimm es mir nicht übel - aber das erstaunt mich etwas. Aber sei's drum. Vermutlich stolperst du über die "Installation" der Management-Tools. Die nimmt man auf einem Admin-PC vor. Nicht auf einem DC. (Den Artikel bei faq-o-matic.net habe ich jetzt noch mal angepasst, um das deutlicher zu machen.) Von diesem Admin-PC aus machst du dann auch einmalig das Schema-Update, indem du dich dort einmalig mit einem Account anmeldest, der Schema-Admin ist. Auf keinem der DCs läuft bei LAPS ein zusätzliches Stück Software. Nur auf den Clients, deren Kennwörtern per LAPS verwaltet wird, ist das der Fall, und da ist es eine GPO-Erweiterung. Auch auf dem Admin-PC läuft nicht dauerhaft irgendwas, sondern dort startest du nur bei Bedarf eins der Tools, um zu administrieren. Das ist alles. Ganz ehrlich: Um LAPS sinnvoll zu betreiben, brauchst du mehr Sorgfalt bei der Vorbereitung und im Betrieb, als du bisher anscheinend aufgebracht hast. Gruß, Nils Zitieren Link zu diesem Kommentar
CoolAce 17 Geschrieben 2. Juni 2020 Autor Melden Teilen Geschrieben 2. Juni 2020 ich nehme es dir nicht übel. Manchmal stehe ich da auf dem Schlauch Da hast du Recht, ich stolpere über die die "Installation" der Management-Tools. Dann passt es für mich, ich installiere das Tool auf dem AdminPC und steuere den Zugriff auf die Passwörter über eine AD Gruppe aus da diese ja im Klartext im AD drin stehen. Die Befehle zum Abfragen stehen in den MS-Dokus. Da alle PCs in einer OU sind ist auch das gut aussteuerbar. Gruß Coolace Zitieren Link zu diesem Kommentar
NilsK 2.940 Geschrieben 2. Juni 2020 Melden Teilen Geschrieben 2. Juni 2020 Moin, ja, so sollte es passen. Viel Erfolg. Gruß, Nils Zitieren Link zu diesem Kommentar
CoolAce 17 Geschrieben 2. Juni 2020 Autor Melden Teilen Geschrieben 2. Juni 2020 @Nilsk Danke für die Geduld und ausführlichen Erklärungen Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.