andrew 15 Geschrieben 22. August 2023 Melden Teilen Geschrieben 22. August 2023 Hallo zusammen Ich habe in meiner Testumgebung gemäss diesem Artikel hier LAPS eingerichtet. Im Gegensatz zum Artikel hat ich beim Berechtigen der Gruppen beim Parameter -AllowedPrincipals die Gruppe so angegeben"GL-LAPS_ServerAdmin_W" und nicht "NetbiosnameDerDomain\GL-LAPS_ServerAdmin_W" Wenn ich dann gemäss diesem Artikel hier mit dem Befehl wie in diesem Beispiel hier Find-LapsADExtendedRights -Identity "OU=Devices,DC=Contoso,DC=com" prüfe, welcher User bzw. AD Gruppe auf der OU Computers berechtigt ist, das Default Beuilt-In Administrator Passwort auszulesen, wird mir nicht die konfigurierte AD Gruppe, welche ich brerechtigt habe, angezeigt, sondern: {NT AUTHORITY\SYSTEM, IT-NetX\Domain Admins} Daraus muss ich schliessen, dass die Konfiguration nicht greift? Auch zu erwähnen ist, als ich auf meinem DC mit Server 2022 (ich habe 2 DCs mit Server 2022) das ganze gemäss dem oben erwähnten Blog durchgespielt hatte und dann merkte, dass das Auslesen des Windows integrierten, lokalen Administrator Passworts nicht funktioniert, verwendete ich auch den Befehl gemäss diesem Beispiel hier Find-LapsADExtendedRights -Identity "OU=Devices,DC=Contoso,DC=com" und erhielt dann in PowerShell eine Fehlermeldung mit dem Hinweis, ob ich den bereits den Befehl Update-LapsADSchema bereits ausgeführt hätte? Nun, in dem Artikel hier fand ich diesen Befehl nicht, da war die Rede von Update-AdmPwsADSchema Hat Jemand eine Idee, was bei mir schief läuft? cheers Andrew Zitieren Link zu diesem Kommentar
cj_berlin 1.315 Geschrieben 23. August 2023 Melden Teilen Geschrieben 23. August 2023 Moin, alles, was *Laps* heißt, bezieht sich auf das neue LAPS, das nur. Bestandteil von Windows ist. Musst oder möchtest Du das Legacy Laps nutzen, sind *AdmPwd* Cmdlets Deine Freunde. Zitieren Link zu diesem Kommentar
andrew 15 Geschrieben 23. August 2023 Autor Melden Teilen Geschrieben 23. August 2023 Was ich will ist, dass die lokalen Administrator Passwörter immer nach einem bestimmten Zeitraum geändert werden und in das AD geschrieben werden. Dan fand ich heraus, dass LAPS folgendes heisst: Local Administrator Password Solution und genau das tönt ja, nachdem wo ich suche? darum habe ich im Internet die neuste LAPS MSI Datei heruntergeladen und gemäss Artikel wie ich schon erwähnte, LAPS versucht einzurichten. wie weiter? cheers André Zitieren Link zu diesem Kommentar
testperson 1.677 Geschrieben 23. August 2023 Melden Teilen Geschrieben 23. August 2023 Hi, dann entscheide dich doch als nächstes, ob du das "neue", native LAPS oder das alte, legacy LAPS (AdmPWD) einsetzen möchtest (Windows LAPS overview | Microsoft Learn). Vermutlich wird es bei dir dann auf das native LAPS rauslaufen. Gruß Jan 1 Zitieren Link zu diesem Kommentar
andrew 15 Geschrieben 26. August 2023 Autor Melden Teilen Geschrieben 26. August 2023 (bearbeitet) Hallo Jan Ich habe mich für die LAPS native Variante/ Version entschieden. Folglich habe ich sowohl auf dem Windows 11 22H2 und auf dem Server 2022 21H2 das zuvor heruntergeladene und installierte LAPS msi Paket wieder deinstalliert. Danach hatte ich alle Powershell Befehle nochmals erneut ausgeführt, weil ich merkte, dass das LAPS Powershell Befehl Set in der native Variante nicht das gleiche ist, wie bei der LAPS Legacy Variante, soweit, so gut. Das heisst, ich habe meine Umgebung so konfiguriert, wie in diesem Artikel hier mit dem Unterschied, dass ich die im Artikel verwendeten Befehl durch die PS Befehle für die nativ Variante ersetzte. Kurz: in meiner Tetumgebung habe eine AD Gruppe, welche ich für Clients verwende (um das lokale Buil-In Administrator Passwort auf den Clients auslesen, reseten und überwachen zu können) und eine AD Gruppe, mit welcher ich das PW des lokalen Administrator Passworts auf den Servern auslesen könnte. Was ich aber nicht verstehe ist folgende Situation: Find-LapsADExtendedRights -Identity "OU=Computers,OU=IT-NetX,DC=corp,DC=it-netx,DC=ch"| fl Ausgabe ObjectDN : OU=Computers,OU=IT-NetX,DC=corp,DC=it-netx,DC=ch ExtendedRightHolders : {NT AUTHORITY\SYSTEM, IT-NetX\Domain Admins, IT-NetX\GL-LAPS_ClientAdmin_R, IT-NetX\GL-LAPS_ClientAdmin_W} Soweit, so gut. Nun wollte ich auf meinem Windows 11 PC testen, ob ich für den lokalen, installierten, Built-In Administrator das Passwort auslesen kann und startete Powershell zuerst mit lokalen Administratoren Rechten (mit einem zweiten User, welcher auch lokale Administratoren Rechte auf meinem NB hat) Dann setze ich folgende Zeilen ab $CredLAPS_Client = Get-Credential Get-LapsADPassword -Identity PRO-NB02 -Credential $credLAPS_Client Ausgabe ComputerName : PRO-NB02 DistinguishedName : CN=PRO-NB02,OU=Computers,OU=IT-NetX,DC=corp,DC=it-netx,DC=ch Account : Password : PasswordUpdateTime : 24.08.2023 20:49:49 ExpirationTimestamp : 31.08.2023 20:49:49 Source : EncryptedPassword DecryptionStatus : Unauthorized AuthorizedDecryptor : IT-NetX\Domain Admins PS C:\> Anhand dieser Ausgabe stellt man fest, dass meine, zuvor gesetzte Konfiguration nicht funktioniert hat, verstehe nicht, wieso? Auch wenn ich nun auf meinem DC via Powershell (ausgeführt mit Administratoren Rechte) folgende Zeile eingebe, also nochmals explizit via Powershell definierte, dass auf der OU Computers ich explizit die AD Gruppe IT-NetX\GL-LAPS_ClientAdmin_R zum Auslesen des lokalen Administrator Passworts konfiguriere und wieder erneut prüfe, ob die Vergabe der Berechtigung klappte, stehe ich am gleichen Punkt. Mit dieser PS Zeile hatte ich das Auslesen für die Client AD Gruppe erneut konfiguriert Set-LapsADReadPasswordPermission -Identity "OU=Computers,OU=IT-NetX,DC=corp,DC=it-netx,DC=ch" -AllowedPrincipals "IT-NetX\GL-LAPS_ClientAdmin_R" Ausgabe Name DistinguishedName ---- ----------------- Computers OU=Computers,OU=IT-NetX,DC=corp,DC=it-netx,DC=ch Danach die Berechtigungen prüfen Get-LapsADPassword -Identity PRO-NB02 -Credential $credLAPS_Client Ausgabe ComputerName : PRO-NB02 DistinguishedName : CN=PRO-NB02,OU=Computers,OU=IT-NetX,DC=corp,DC=it-netx,DC=ch Account : Password : PasswordUpdateTime : 24.08.2023 20:49:49 ExpirationTimestamp : 31.08.2023 20:49:49 Source : EncryptedPassword DecryptionStatus : Unauthorized AuthorizedDecryptor : IT-NetX\Domain Admins PS C:\> Bemerkung In der AD Gruppe IT-NetX\GL-LAPS_ClientAdmin_R ist der AD User mit dem Namen LAPS_Client Diesen hatte ich nach der Eingabe von $credLAPS_Client = Get-Credential beim Fenster, welches aufgepoppt ist und mich aufforderte, einen Benutzernamen anzugeben, auch in der Form IT-NetX\LAPS_Client und dem dazugehörenden PW eingeben. Der Befehl hier Get-LapsADPassword -Identity PRO-NB02 -Credential $credLAPS_Client macht auch eine Ausgabe, aber eben, der Punkt AuthorizedDecryptor: IT-NetX\Domain Admins sollte ja nun durch meine Konfiguration ergänzt worden sein und die Ausgabe sollte mir doch anzeigen, dass auch die AD Gruppe IT-NetX\LAPS_Client das Recht hat, das PW auslesen zu dürfen, was aber anscheinend nicht so ist, was läuft hier schief? :-( bearbeitet 26. August 2023 von andrew Zitieren Link zu diesem Kommentar
cj_berlin 1.315 Geschrieben 26. August 2023 Melden Teilen Geschrieben 26. August 2023 Moin, Du schreibst nichts zu der Gruppenrichtlinie, die Dein LAPS steuern soll. Magst Du diese mal, am besten mit Screenshots, skizzieren, und auch, ob sie auch laut GPRESULT auf den betreffenden Rechner angewandt worden ist? Zitieren Link zu diesem Kommentar
andrew 15 Geschrieben 26. August 2023 Autor Melden Teilen Geschrieben 26. August 2023 Saludos cj_Berlin Aber gerne doch. Anbei ein paar Screenshots - wie gewünscht. So, die nächsten Screenshots folgen gleich und gpresult /r auf meinem NB (von welchem ich prüfen möchte, ob ich das lokale Passwort auslesen kann) lautet Zitieren Link zu diesem Kommentar
andrew 15 Geschrieben 26. August 2023 Autor Melden Teilen Geschrieben 26. August 2023 (bearbeitet) Wie weiter oben beschrieben, wollte ich mit diesem User hier > LAPS_Client das AD PW des lokalen Administrators auf meinem NB auslesen. Die Variable $CredLAPS_Client hatte ich wie weiter oben bereits beschrieben, eben mit diesem AD User hier abgefüllt. bearbeitet 26. August 2023 von andrew Zitieren Link zu diesem Kommentar
cj_berlin 1.315 Geschrieben 26. August 2023 Melden Teilen Geschrieben 26. August 2023 Moin, wenn Du "enable password encryption" einschaltest und "configure authorized decryptors" nicht konfigurierst, welches Verhalten erwartest Du zu sehen? Zitieren Link zu diesem Kommentar
andrew 15 Geschrieben 26. August 2023 Autor Melden Teilen Geschrieben 26. August 2023 Ja, ich verstehe Nun habe ich diese AD Gruppe hinterlegt, gpupdate /force ausgeführt plus nochmals den PS Skript zur Kontrolle angestossen, das Resultat ist hier Zitieren Link zu diesem Kommentar
Gipsy 13 Geschrieben 27. August 2023 Melden Teilen Geschrieben 27. August 2023 Welchen Update-Stand haben die Clients und Server? Gibt es im Eventviewer bei weitere Anwendungen einen LAPS Ordner? Falls nicht dann fehlen die Updates. Falls ja was steht dort? Grüße Gipsy Zitieren Link zu diesem Kommentar
andrew 15 Geschrieben 27. August 2023 Autor Melden Teilen Geschrieben 27. August 2023 Hallo Gipsy Soll ich immer noch auf deine Frage versuchen, die Antworten liefern zu können? Guckst du zuerst diese Infos hier ;) Denn ich fand heraus, dass ich grundsätzlich via Powershell das PW auslesen kann, sobald ich einfach Powershell direkt mit den Userrechten aufrufen, welche das Recht haben, das Passwort auslesen zu dürfen. Das PW auslesen kann ich dann nicht, wenn ich Powershell mit irgend einem User starte und den PS Befehl eingebe mit dem Paramter -Credential und auf diese Weise den berechtigen User zum Auslesen des lokalen Administrator Passworts angebe, auf diese Weise funktioniert das Auslesen nicht, warum auch immer. Zitieren Link zu diesem Kommentar
Gipsy 13 Geschrieben 27. August 2023 Melden Teilen Geschrieben 27. August 2023 Aso entschuldige - ich habe nicht alles gelesen. aus deinem letzten Beitrag war das nicht direkt ersichtlich... Zitieren Link zu diesem Kommentar
cj_berlin 1.315 Geschrieben 28. August 2023 Melden Teilen Geschrieben 28. August 2023 vor 16 Stunden schrieb andrew: Denn ich fand heraus, dass ich grundsätzlich via Powershell das PW auslesen kann, sobald ich einfach Powershell direkt mit den Userrechten aufrufen, welche das Recht haben, das Passwort auslesen zu dürfen. Das PW auslesen kann ich dann nicht, wenn ich Powershell mit irgend einem User starte und den PS Befehl eingebe mit dem Paramter -Credential und auf diese Weise den berechtigen User zum Auslesen des lokalen Administrator Passworts angebe, auf diese Weise funktioniert das Auslesen nicht, warum auch immer. Ein typischer Fall von RTFM, würde ich sagen: Zitieren Link zu diesem Kommentar
andrew 15 Geschrieben 29. August 2023 Autor Melden Teilen Geschrieben 29. August 2023 Am 28.8.2023 um 08:02 schrieb cj_berlin: Ein typischer Fall von RTFM, würde ich sagen Was meinst Du damit? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.