Windows Admin-Kennwort mit LAPS zentral verwalten

Installation LAPS

Der Einsatz von lokalen Administrationskonten auf Client Computern oder Servern ist heute noch in vielen Unternehmensumgebungen notwendig. Viele dieser Konten werden einfachheitshalber immer mit demselben Kennwort festgelegt und in den meisten Fällen nie geändert. Dadurch werden Unternehmensnetzwerke einem massiven Risiko ausgesetzt. Microsoft hat mit dem kostenfreien Tool „Local Administrator Password Solution“ (LAPS) eine einfache und sichere Lösung bereitgestellt, um die lokalen Adminkonten in einer Active Directory Umgebung besser abzusichern. Das Tool erzeugt auf jedem Computer ein eigenes Kennwort für den Built-In Administrator, ändert dieses regelmäßig ab und wird anschließend zentral in Active Directory gespeichert.

Installation von LAPS

Das Installationspaket von LAPS enthält unterschiedliche Module zur Installation. Das Modul Client Side Extension (CSE) wird auf den verwalteten Computern benötigt. Das Modul erzeugt später die lokalen Passwörter und trägt diese in eine Datenbank ein.

Auf dem Management Computer werden hingegen die Module „Fat Client GUI“, die „PowerShell Module“ und die „GPO Editor Templates“ benötigt. Die Management-Tools können auch auf einem Domain Controller installiert werden.

Die Fat Client GUI dient zum Abfragen des Passworts und dem Setzen eines individuellen Ablaufdatums. Um das Active Directory für LAPS zu konfigurieren, wird das PowerShell-Modul benötigt. Dies bringt die notwendigen Cmdlets für die Konfiguration mit. Das GPO Template Modul enthält die notwendige Gruppenrichtlinienvorlage (AdmPwd.admx und AdmPwd.adml), welche die Optionen zum Konfigurieren von LAPS mitbringt.

Wird die MSI unbeaufsichtigt auf den Clients installiert, wird standartmäßig die Clint Side Extension installiert.

msiexec /i <Pfad>\LAPS.x86.msi /quiet
msiexec /i <Pfad>\LAPS.x64.msi /quiet

Active Directory Schema erweitern

Sind die Computer vorbereitet, kann das AD-Schema erweitert werden. Dazu die PowerShell mit einem Mitglied der Gruppe „Schema-Admins“ öffnen und das LAPS-Modul importieren.

Import-module AdmPwd.ps

Nun kann mit dem Befehl das AD-Schema erweitert werden.

Update-AdmPwdADSchema

Nach der Aktualisierung des Active-Directory-Schemas sollte mit dem Befehl überprüft werden, ob nur autorisierte Benutzer und Gruppen die dort gespeicherten Kennwörter anzeigen können.

Find-AdmPwdExtendedRights –Identity "Workstations"

Der Identitäts-Wert „Workstation“ bezieht sich hier auf die Organisations-Einheit, in den alle Computer verwaltet werden. Standartmäßig haben Domain-Admins und Enterprise-Admins Zugriff auf diese. Werden zusätzliche Lese-Berechtigungen auf die Passwörter benötigt, können die Zugriffe anhand von AD-Gruppen mit dem folgenden Befehl delegiert werden.

Set-AdmPwdReadPasswordPermission –Identity "Workstations" –AllowedPrincipals "Help Desk"

Der Wert „Help Desk“ ist in dem Fall eine AD-Sicherheitsgruppe, welche das Recht zum Auslesen der Kennwörter erhält.

Als letztes müssen die Computer berechtigt werden, die zwei neuen Attribute „ms-Mcs-AdmPwd“ und „ms-Mcs-AdmPwdExpirationTime“ zu aktualisieren.

Set-AdmPwdComputerSelfPermission –Identity "Workstations"

Gruppenrichtlinie konfigurieren

Nachdem die CSE auf allen Clients installiert und das Active Directory für LAPS vorbereitet wurde, kann die Gruppenrichtlinie konfiguriert werden.

LAPS Gruppenrichtlinie
LAPS Gruppenrichtlinie

Aktiviert wird LAPS mit der Richtlinie „Enable local admin password Management“, indem diese aktiv gesetzt wird. Die Richtlinie „Password Settings“ steuert die Komplexität und das Alter des zu erzeugenden Passwortes und kann individuell angepasst werden.

LAPS Passwortrichtlinie
LAPS Passwortrichtlinie

LAPS erkennt das lokale Administrationskonto automatisch auf den Computern. Sind weitere lokale Administrationskonten auf den Systemen vorhanden, können diese mit der Richtlinie „Name of administrator account to manage“ mit LAPS verwaltet werden.

Eine ausführliche Anleitung zur Einrichtung von LAPS wird im Operations Guide beschrieben.