Microsoft Local Administrator Password Solution (LAPS)

Pirat,

aufgrund der großen Nachfrage aus den IT Camps beschreibe ich nachfolgend die Installation von Microsoft Local Administrator Password Solution (LAPS).

In erster Linie soll LAPS das noch immer häufig verwendete lokale Administratoren Passwort über welches bis heute Passwörter in Active Directory Umgebungen häufig via Group Policy Preferences (GPP) gesetzt werden, ersetzen. Dieses Verfahren wurde zwar bereits mit dem Microsoft Security Bulletin MS14-025 entfernt – allerdings gibt es immer noch Wege was jedoch ein hohes Sicherheitsrisiko darstellt, da die dort verwendeten Passwörter mit wenig Aufwand ausgelesen werden können. Zudem wird häufig der gleiche Account auf allen Geräten verwendet…

LAPS erzeugt dynamisch Passwörter für lokale Admin-Accounts mit definierter Komplexität und ändert diese auf Basis von vorgegebenen Intervallen automatisch. Ausgelesen können die Passwörter dann entweder mit der Client UI oder aus dem Active Directory Computer Objekt werden.

Darüber hinaus wird benötigt:

  • GPO Client Side Extension – auf jedem Client, der mittels LAPS verwaltet werden soll
  • Management Tools
    • Client UI – Grafisches User Interface zum Auslesen der Passwörter aus dem AD
    • PowerShell Modul zur Administration via PowerShell
    • Group Policy Template – zur Verteilung der Konfiguration auf den Client per GPO

Nach dem Download der Installationsressourcen beginnen wir mit der Installation von LAPS auf dem Management-PC

 

Auf dem Management PC benötigen wir die Management Tools bestehend aus dem

  • Fat Client UI zum späteren Auslesen der Passwörter
  • den PowerShell Modulen zur Berechtigung der jeweiligen Benutzergruppe und zur Definiton der Zielclients.
  • den GPO Templates

 

 

Wir bestätigen die Lizenzvereinbarung

 

 

Nach Abschluss der Installation erweitern wir die Gruppenrichtlinien. Hierzu kopieren wir das ADMX File:

  • AdmPwd.admx

in die “Policy Definitions” Freigabe auf dem Domain Controller. In meinem Demo Lab ist das:

C:\Windows\PolicyDefinitions

 

Auf dem Management-Server öffnen wir PowerShell und importieren das benötigte Admin Modul mit:

Import-Module admpwd.ps

Danach lassen wir uns die Commands des neu importierten Moduls anzeigen:

get-command -Module AdmPwd.PS

 

Danach führen wir die Schemaerweiterung durch:

Update-AdmPwdADSchema

 

Dieser Vorgang führt zwei Attribute ein:

  • ms-Mcs-AdmPwd – Speichert das Passwort im Klartext in einem geschützten Attribut, auf das im Standard  niemand Zugriff hat.
  • ms-Mcs-AdmPwdExpirationTime – Speichert die Vorgabe für den nächsten Reset

Danach müssen wir den Scope auf die Clients setzen, die mit LAPS verwaltet werden sollen und die “Read” und “Reset” Berechtigungen setzen für die Benutzer die LAPS später administrativ verwalten müssen. In meiner Umgebung setze ich die OU “Clients” für die zu verwaltenden Devices und die OU “Groups” bzw. die darin enthaltene Gruppe “Crew”.

 

Zuerst der Scope auf die zu verwaltenen Geräte:

Set-AdmPwdComputerSelfPermission -OrgUnit "OU=Clients,OU=ITPirate,DC=ITPirate,DC=local"

 

 

Dann die AdmPwdReadPasswordPermission die definiert, welche Benutzer die gespeicherten Passwörter auslesen können.

 

Set-AdmPwdReadPasswordPermission -OrgUnit "OU=Groups,OU=ITPirate,DC=ITPirate,DC=local" -AllowedPrincipals Administrators, Crew

 

Danach setzen wir die Berechtigung für die Gruppe(n), die das Recht erhalten sollen die Passwortablaufzeit neu zu definieren.

Set-AdmPwdResetPasswordPermission -Orgunit "OU=Groups,OU=ITPirate,DC=ITPirate,DC=local" -AllowedPrincipals Administrators, Crew

 

 

Jetzt müssen wir ein neues Group Policy Object erstellen. Navigiere zu:

Computer\Configuration\AdministrativeTemplates\LAPS

 

Hier findest du drei zu modifizierende Einträge:

  • Enable local admin password management – um LAPS zu aktivieren
  • Name of administrator account to manage – Definition des lokalen Benutzers (muss vorhanden sein)
  • Passwort Settings – Komplexität des Passworts

Der Name des Administrator- Accounts kann in der Policy selbst definiert werden:

Die Installation auf dem Client kann im Standard durch geklickt werden oder silent mit folgenden Parametern installiert werden:

msiexec /i <file location>LAPS.x86.msi /quiet
msiexec /i <file location>LAPS.x64.msi /quiet

 

Und so sieht dann das Auslesen der lokalen Benutzer aus:

aus der Client UI

 

 

aus dem jeweiligen Computer Objekt im AD unter dem Attribut:

ms-Mcs-AdmPwd

 

 

oder direkt mit PowerShell

 

 

Zum Abschluss noch eine gute Nachricht für alle ConfigMgr Admins: Es gibt eine SCCM Konsolenerweiterung die eine Möglichkeit gewährt die Passwörter aus der SCCM Konsole auszulesen.

 

 

Hier gibt’s den Link

 

Cheers and Aaaaaaaaaaaaarg!

Captain

  1. Hallo Alex,

    herzlichen Dank für die Anleitung. Alles funktioniert auf Anhieb, bis auf die Installation bei den Clients.

    msiexec /i LAPS.x86.msi /quiet

    Der Prozess msiexec wird zwar ausgeführt, allerdings rührt sich nichts und die Installation wird dementsprechend nicht durchgeführt. Locale Admin-Rechte…

    Antworten

Sende eine Antwort zu „Microsoft Local Administrator Password Solution (LAPS)“

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

© 2017 IT-Pirate