[English]Microsoft hat mit dem April 2023-Patchday (11. April 2023) seine Local Administrator Password Solution (LAPS) direkt ins Windows Betriebssystem integriert. Ich hatte über Probleme berichtet, die dieser Schritt Microsofts bei nicht englischen Windows-Systemen bringt. Gerade bin ich auf einen Blog-Beitrag gestoßen, der die Schritte, um ein Windows Server Active Directory-Schema für die aktuell Windows LAPS-Version aktualisieren, skizziert.
Anzeige
LAPS nun in Windows integriert
Windows Local Administrator Password Solution (Windows LAPS) ist ein Windows-Feature, mit dem das Kennwort eines lokalen Administratorkontos auf den in Azure Active Directory oder Windows Server Active Directory eingebundenen Geräten automatisch verwaltet und gesichert werden kann. Diese lokale Administratorkennwortlösung (Local Administrator Password Solution, LAPS) von Microsoft stellt die Verwaltung der Kennwörter lokaler Administratorkonten für in eine Domäne eingebundenen Computer bereit.
Zum 11. April 2023 wurde dann der LAPS-Client automatisch mit den kumulativen Sicherheitsupdates auf alle unterstützten Windows-Systeme ausgerollt (siehe die am Artikelende verlinkte Beiträge zu den Sicherheitsupdates für Windows 10 und Windows 11/Sever 2022). Laut dem Techcommunity-Beitrag By popular demand: Windows LAPS available now! ist LAPS nun in folgenden Betriebssystemen integriert.
- Windows 11 Pro, EDU und Enterprise
- Windows 10 Pro, EDU und Enterprise
- Windows Server 2022 und Windows Server Core 2022
- Windows Server 2019
Damit wollte Microsoft den Administratoren das Leben erleichtern. Administratoren eines deutschsprachigen Windows laufen aber in Probleme, sofern ein alter LAPS-Client installiert ist (siehe mein Blog-Beitrag LAPS-Integration per April 2023-Update in Windows – Ärger für Administratoren). Es ist also etwas Vorbereitung erforderlich.
Windows Server AD-Schema für LAPS aktualisieren
Ich bin gerade über nachfolgenden Tweet auf den Blog-Beitrag How to Update the Windows Server Active Directory Schema for the Latest Version of Windows LAPS gestoßen, der die Schritte beschreibt, um ein Windows Server Active Directory-Schema für die aktuelle Windows LAPS-Version zu aktualisieren.
Beachtet aber unbedingt die Hinweise von Mark Heitbrink, der für deutschsprachige Leser den Beitrag Migration LAPS Legacy zu LAPS native veröffentlicht hat. Der Beitrag beschreibt, was bei der Integration des LAPS-Clients in Windows für Probleme bereitet, wenn LAPS bereits in der Unternehmensumgebung bereits eingesetzt wird.
Ähnliche Artikel:
Microsoft Security Update Summary (11. April 2023)
Patchday: Windows 10-Updates (11. April 2023)
Patchday: Windows 11/Server 2022-Updates (11. April 2023)
Windows 7/Server 2008 R2; Server 2012 R2: Updates (11. April 2023)
Patchday: Microsoft Office Updates (11. April 2023)
Microsoft April 2023 Patchday-Nachlese
LAPS-Integration per April 2023-Update in Windows – Ärger für Administratoren
2015
Hallo, was ist denn mit Server 2016 (und 2012)? Muss man hierfür zweigleisig fahren, und altes und neues LAPS parallel unterstützen? Die 2016er sind ja noch bis 2027 im Support, also noch 4 Jahre.
ja. 2 Richtlinien. entweder anhand der OU oder per WMI filtern.
So wie ich das bisher verstanden habe, ja
2016 und 2012 haben nur noch security update support, aber keinen Mainstream support, weshalb das LAPS feature dort nicht mehr ausgerollt wird.
Das ist eigentlich auch gut so. Man sollte sowieso erst anfangen ein Microsoft System zu benutzen, wenn der Mainstream Support beendet ist. Dann ist wenigstens halbwegs garantiert, dass ein System mit irgendwelchen Updates nicht kaputt gefeatured wird. Bleibt zwar immer noch die "Angst" vor Security-Update-Fehlern, aber die ist dann geringer als sonst so…
Hallo kann mir einer sagen wie ich das Schema Update machen kann, wenn ich als DCs Server2016 habe? Ich würde schon gerne das neue LAPS für meine Clients nutzen. Außerdem habe ich schon sehr viele 2019/2022 Server für die das auch genutzt werden soll. Bisher habe ich ein Schema Update immer direkt auf dem Schemamaster durchgeführt. Aber die Server 2016 bekommen ja das LAPS Update nicht und ich kann deshalb diesen Weg nicht gehen. Hat einer schon mal ein Schema Update von einem anderen Server durchgeführt?
Hallo Frank,
wenn du doch bereits viele 2019/2022 Server hast, wäre es nicht am sinnvollsten dann die DCs auf 2019 oder 2022 hochzuziehen oder eine neue VM auf Basis 2019/2022 als DC hochzustufen?
Gruß
Das wäre sicher Sinnvoll. Aber du weist ja wie das ist mit den Aufgaben und der vorhandenen Zeit. Neue DCs erfordern durchaus auch einige Nacharbeit. Evtl. wäre ein in Place Update noch eine Option.
Kann das Schema Update für LAPS von einem DC 2019 ausgeführt werden, wenn alle anderen DCs noch auf OS 2016 sind?
Ja, das sollte ausführbar sein. Man kann das Schema Update auch von einem normalen Server 2019 ausführen, wenn die DCs auf 2016 und DFL-2016 sind
Hmm bei uns wurde nur die Root-Domäne aktualisiert. Die untergeordneten nicht. Dort sehe ich die neuen Attribute auch nicht. Aber Microsoft schreibt ganz klar:
The Windows Server Active Directory schema must be updated prior to using Windows LAPS. This action is performed by using the Update-LapsADSchema cmdlet. It's a one-time operation for the entire forest.
Hat sich nach einem Tag erledigt. Die Replikation in die anderen Domänen hatte vermutlich länger gedauert.
Kann mir jemand sagen, von wo dieser Command ausgeführt werden muss?
Set-LapsADComputerSelfPermission -Identity "OU=meinecomputer,DC=test,DC=com"
Ich habe das auf allen notwendigen OUs ausgeführt, und zwar von einem Memberserver aus, der AD Rechte hat. Und damit klappt es nicht, der Client kann kein Reset-LapsPassword (auf dem client als admin)
Reset-LapsPassword : 2147945104 failed with hr:0x80070A90
In Zeile:1 Zeichen:1
+ Reset-LapsPassword
+ ~~~~~~~~~~~~~~~~~~
+ CategoryInfo : InvalidOperation: (:) [Reset-LapsPassword], LapsPowershellException
+ FullyQualifiedErrorId : 2147945104 failed with hr:0x80070A90,Microsoft.Windows.LAPS.ResetLapsPassword
Fehler gefunden: ich habe beim Testen die Kennwortkomplexität nicht eingehalten. Kaum war das behoben, läuft das neue LAPS auch brav.
Wir verwenden 2016er DCs und haben seit einigen Jahren das alte LAPSs auf unsere Windows10-Clients ausgerollt. Bis die Server auf 2019 oder höher laufen, kann das Setup so weiter verwendet werden, oder übersehe ich da was?
Viele Grüße
du hast derzeit noch das Problem (BUG) dass wenn die Legacy Laps Installation nach dem cumu Windows Update 04/2023 (NATIVE LAPS) installiert wird gar kein LAPS mehr funktioniert. Die Installation des Legacy Client macht beide LAPS kaputt!
Du musst schauen dass der Legay LAPS CLient vor dem Windows Update installiert wird. Dann funktioniert es.
Reihenfolge beachten.
Die Frage ist noch nicht abschließend beantwortet:
Kann das neue LAPS auch mit Win Srv 2016 DC´s gesteuert werden?
Als Nachtrag: Es müsste das AD Schema über einen DC 2016 erweitert werden. Klappt das?
Die Verwaltung der neuen ADMX Files sollte ja kein Problem sein.
So wie ich es gelesen habe können zwar keine Win 2016 Server mit LAPS arbeiten, aber es geht ja um die Schemaerweiterung und dass der neue Reiter auch im AD Manager sichtbar wird.
Hat das schon jemand probiert?
Nein funktioniert nicht, weil die notwendigen PowerShell Module dort nicht verfügbar sind. Wurde auch hier in den Kommentaren beantwortet: https://techcommunity.microsoft.com/t5/windows-it-pro-blog/by-popular-demand-windows-laps-available-now/
Der Reiter "LAPS" ist im AD auf Server 2019/2022 bereits sichtbar (Domainlevel und ein DC noch 2016), auch die Befehle stehen bereit (check mit: Get-Command -Module laps). Habe mich noch nicht getraut es zu aktivieren (nächste Woche dann…).
Wenn auf 2019/2022 LAPS UI installiert ist, werden die PW dort nicht mehr angezeigt, nur das Ablaufdatum. In den Attributes im AD steht das PW.
Auf 2016 zeigt das Tool noch alles an.
Hat alles reibungslos funktioniert.
Das Alte lässt sich gut automatisiert deinstallieren, gleichzeitig die neue GPO gepushed, auch ohne Reboot wird direkt ins neue LAPS geschrieben.
Im alten Tool wird dann kein PW und kein Ablaufdatum mehr angezeigt.
Eines verstehe ich allerdings noch nicht – googeln bringt mich nicht weiter:
Wie soll diese Passworthistorie funktionieren?