Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sie können Windows lokale Administratorkennwortlösung (Windows LAPS) verwenden, um die Kennwörter lokaler Administratorkonten und Domänencontroller-Verzeichnisdienste-Wiederherstellungsmodus-Konten (DsRM) zu verwalten. In diesem Artikel erfahren Sie, wie Sie mit Windows LAPS und Windows Server Active Directory beginnen. Es beschreibt grundlegende Verfahren für die Verwendung von Windows LAPS zum Sichern von Kennwörtern zu Windows Server Active Directory und zum Abrufen dieser Kennwörter.
Anforderungen an die Domänenfunktionsebene und Betriebssystemversion des Domänencontrollers
Wenn Ihre Domänenfunktionsebene (DFL) älter als 2016 ist, können Sie Windows LAPS-Kennwortverschlüsselung nicht aktivieren. Diese Einschränkung bedeutet:
- Sie können Clients so konfigurieren, dass Kennwörter nur in Klartext gespeichert werden, gesichert durch Windows Server Active Directory Zugriffssteuerungslisten (ACCESS Control Lists, ACLs).
- Sie können Domänencontroller nicht konfigurieren, um ihr lokales DSRM-Konto zu verwalten.
Wenn Ihre Domäne eine DFL von 2016 oder höher verwendet, können Sie Windows LAPS-Kennwortverschlüsselung aktivieren. Alle Windows Server 2016 und früheren Domänencontroller, die Sie ausführen, unterstützen jedoch nicht Windows LAPS. Daher können diese Domänencontroller das DsRM-Kontoverwaltungsfeature nicht verwenden.
Es ist in Ordnung, Windows Server 2016 und frühere unterstützte Betriebssysteme auf Ihren Domänencontrollern zu verwenden, solange Sie diese Einschränkungen kennen.
In der folgenden Tabelle sind die funktionen zusammengefasst, die in verschiedenen Szenarien unterstützt werden:
| Domänendetails | Speicherung von Klartextkennwörtern unterstützt | Speicherung von verschlüsselten Kennwörtern unterstützt (für in die Domäne eingebundene Clients) | Unterstützte DSRM-Kontoverwaltung (für Domänencontroller) |
|---|---|---|---|
| DFL vor 2016 | Ja | Nein | Nein |
| DFL 2016 mit einem oder mehreren Windows Server 2016 oder früheren Domänencontrollern | Ja | Ja | Ja, aber nur für Windows Server 2019 und spätere Domänencontroller |
| DFL 2016 mit nur Windows Server 2019 und später Domänencontrollern | Ja | Ja | Ja |
Es wird dringend empfohlen, ein Upgrade auf das neueste verfügbare Betriebssystem auf Clients, Servern und Domänencontrollern durchzuführen, um die neuesten Features und Sicherheitsverbesserungen nutzen zu können.
Active Directory vorbereiten
Führen Sie die folgenden Schritte aus, bevor Sie Ihre Active Directory-verbundenen oder hybrid-verbundenen Geräte konfigurieren, um die Kennwörter eines verwalteten Kontos in Active Directory zu sichern.
Hinweis
Wenn Sie planen, nur Kennwörter für Microsoft Entra ID zu sichern, müssen Sie keine dieser Schritte ausführen, einschließlich der Erweiterung des AD-Schemas.
- Wenn Sie den zentralen Gruppenrichtlinienspeicher verwenden, kopieren Sie die Windows LAPS-Gruppenrichtlinienvorlagendateien manuell in den zentralen Speicher. Weitere Informationen finden Sie unter Configure-Richtlinieneinstellungen für Windows LAPS.
- Analysieren, ermitteln und konfigurieren Sie die entsprechenden AD-Berechtigungen für den Passwortablauf und das Abrufen von Passwörtern. Siehe Windows Server Active Directory Kennwörter.
- Analysieren und ermitteln Sie die geeigneten autorisierten Gruppen zum Entschlüsseln von Kennwörtern. Siehe Windows Server Active Directory Kennwörter.
- Erstellen Sie eine neue Windows LAPS-Richtlinie, die auf die verwalteten Geräte mit den entsprechenden Einstellungen ausgerichtet ist, wie in den vorherigen Schritten festgelegt.
Aktualisieren des Windows Server Active Directory-Schemas
Bevor Sie Windows LAPS verwenden können, müssen Sie das Windows Server Active Directory Schema aktualisieren. Sie können diese Aktion mithilfe des Cmdlets Update-LapsADSchema ausführen. Es handelt sich um einen einmaligen Vorgang für die gesamte Gesamtstruktur. Sie können das Cmdlet Update-LapsADSchema lokal auf einem Windows Server 2019 oder höher aktualisierten Domänencontroller mit Windows LAPS ausführen. Sie können dieses Cmdlet aber auch auf einem Server ausführen, der kein Domänencontroller ist, solange der Server das Windows LAPS PowerShell-Modul unterstützt.
PS C:\> Update-LapsADSchema
Tipp
Fügen Sie den -Verbose Parameter in die Befehlszeile ein, um detaillierte Informationen zum Fortschritt des Cmdlets während der Verarbeitung anzuzeigen. Sie können den -Verbose Parameter mit einem beliebigen Cmdlet im LAPS PowerShell-Modul verwenden.
Erteilen der Berechtigung zum Aktualisieren des Kennworts für das verwaltete Gerät
Wenn Sie Windows LAPS zum Verwalten eines Kennworts auf einem Gerät verwenden, muss diesem verwalteten Gerät die Berechtigung zum Aktualisieren des Kennworts erteilt werden. Sie können diese Aktion ausführen, indem Sie vererbbare Berechtigungen für die Organisationseinheit (OU) festlegen, die das Gerät enthält. Sie können das Set-LapsADComputerSelfPermission Cmdlet für diesen Zweck verwenden, wie im folgenden Code gezeigt:
PS C:\> Set-LapsADComputerSelfPermission -Identity NewLaps
Name DistinguishedName
---- -----------------
NewLAPS OU=NewLAPS,DC=laps,DC=com
Tipp
Wenn Sie die vererbbaren Berechtigungen für den Stamm der Domäne festlegen möchten, können Sie den gesamten Domänenstamm mithilfe des DN-Eingabeformats (Distinguished Name) angeben. Sie können z. B. den -Identity-Parameter mit einem Argument von DC=laps,DC=com verwenden.
Erteilen von Kennwortabfrageberechtigungen
Benutzern muss die Berechtigung erteilt werden, um die Kennwörter von Active Directory abzufragen. Sie können diese Aktion ausführen, indem Sie vererbbare Berechtigungen für die Organisationseinheit (OU) festlegen, die das Gerät enthält. Sie können das Set-LapsADReadPasswordPermission Cmdlet für diesen Zweck verwenden, wie im folgenden Code gezeigt:
PS C:\> Set-LapsADReadPasswordPermission -Identity NewLAPS -AllowedPrincipals @("laps\LapsPasswordReadersGroup")
Name DistinguishedName
---- -----------------
NewLAPS OU=NewLAPS,DC=laps,DC=com
Tipp
Mitglieder der Gruppe "Domänenadministratoren" verfügen standardmäßig bereits über kennwortabfrageberechtigungen.
Tipp
Wenn einem Benutzer die Berechtigung zum Abfragen eines Kennworts von Active Directory erteilt wird, bedeutet dies nicht automatisch, dass der Benutzer über die Berechtigung zum Entschlüsseln eines verschlüsselten Kennworts verfügt. Die Berechtigung zum Entschlüsseln eines verschlüsselten Kennworts wird mithilfe der Richtlinieneinstellung ADPasswordEncryptionPrincipal zum Zeitpunkt der Speicherung des Kennworts auf dem Gerät in Active Directory konfiguriert. Die Standardrichtlinieneinstellung für ADPasswordEncryptionPrincipal ist die Gruppe "Domänenadministratoren".
Erteilen von Kennwortablaufberechtigungen
Benutzern muss die Berechtigung erteilt werden, um die Ablaufzeit von Kennwörtern festzulegen, die in Active Directory gespeichert sind. Wenn ein Kennwort in Active Directory als abgelaufen markiert ist, dreht das Gerät das Kennwort im nächsten Verarbeitungszyklus. Benutzer können diesen Mechanismus verwenden, um die verbleibende Zeit bis zur nächsten erwarteten Kennwortänderung zu verkürzen (oder zu verlängern).
Sie können diese Aktion ausführen, indem Sie vererbbare Berechtigungen für die Organisationseinheit (OU) festlegen, die das Gerät enthält. Sie können das Set-LapsADResetPasswordPermission Cmdlet für diesen Zweck verwenden, wie im folgenden Code gezeigt:
PS C:\> Set-LapsADResetPasswordPermission -Identity NewLAPS -AllowedPrincipals @("laps\LapsPasswordExpirersGroup")
Name DistinguishedName
---- -----------------
NewLAPS OU=NewLAPS,DC=laps,DC=com
Tipp
Mitglieder der Gruppe "Domänenadministratoren" verfügen standardmäßig bereits über die Kennwortablaufberechtigung.
Tipp
Das Cmdlet Set-LapsADPasswordExpirationTime kann verwendet werden, um die Kennwortablaufzeit für ein bestimmtes Gerät in Active Directory festzulegen, sobald Berechtigungen erteilt wurden.
Erweiterte Berechtigungen abfragen
Einige Benutzer oder Gruppen verfügen möglicherweise über die Berechtigung für erweiterte Rechte auf der Organisationseinheit des verwalteten Geräts. Diese Situation ist problematisch, da Benutzer, die über diese Berechtigung verfügen, vertrauliche Attribute lesen können, und alle Windows LAPS-Kennwortattribute als vertraulich gekennzeichnet sind.
Sie können das Find-LapsADExtendedRights Cmdlet verwenden, um zu sehen, wer über diese Berechtigung verfügt, wie im folgenden Code gezeigt:
PS C:\> Find-LapsADExtendedRights -Identity newlaps
ObjectDN ExtendedRightHolders
-------- --------------------
OU=NewLAPS,DC=laps,DC=com {NT AUTHORITY\SYSTEM, LAPS\Domain Admins}
In der Ausgabe verfügen nur die vertrauenswürdigen Entitäten SYSTEM- und Domänenadministratoren über die Berechtigung. In diesem Fall ist keine andere Aktion erforderlich.
Konfigurieren der Geräterichtlinie
In den folgenden Abschnitten erfahren Sie, wie Sie die Geräterichtlinie konfigurieren.
Wählen eines Mechanismus zur Richtlinienbereitstellung
Der erste Schritt ist die Wahl, wie die Richtlinie auf Ihre Geräte angewendet werden soll.
In den meisten Umgebungen werden Windows LAPS-Gruppenrichtlinie verwendet, um die erforderlichen Einstellungen auf ihren in die Windows Server Active Directory Domäne eingebundenen Geräten bereitzustellen.
Wenn Ihre Geräte auch mit Microsoft Entra ID hybrid verbunden sind, können Sie richtlinien mithilfe von Microsoft Intune mit dem Windows LAPS-Konfigurationsdienstanbieter (CSP) bereitstellen.
Konfigurieren bestimmter Richtlinien
Sie müssen die BackupDirectory Einstellung mindestens konfigurieren, indem Sie sie dem Wert 2zuweisen. Dieser Wert wird verwendet, um Kennwörter für Windows Server Active Directory zu sichern.
Wenn Sie die Einstellung AdministratorAccountName nicht konfigurieren, verwaltet Windows LAPS standardmäßig das integrierte lokale Administratorkonto. Dieses integrierte Konto wird automatisch anhand seines bekannten relativen Bezeichners (RID) identifiziert. Sie sollte niemals anhand ihres Namens identifiziert werden. Der Name des integrierten lokalen Administratorkontos hängt vom Standardgebietsschema des Geräts ab.
Wenn Sie ein benutzerdefiniertes lokales Administratorkonto konfigurieren möchten, sollten Sie die AdministratorAccountName Einstellung mit dem Namen dieses Kontos konfigurieren.
Wichtig
Wenn Sie Windows LAPS konfigurieren, um ein benutzerdefiniertes lokales Administratorkonto zu verwalten, müssen Sie sicherstellen, dass das Konto erstellt wird. Windows LAPS erstellt das Konto nicht. Es wird empfohlen, zum Erstellen des Kontos den CSP RestrictedGroups zu verwenden.
Sie können andere Einstellungen konfigurieren, wie z. B. PasswordLength, je nach Bedarf für Ihre Organisation.
Wenn Sie keine bestimmte Einstellung konfigurieren, wird der Standardwert angewendet. Stellen Sie sicher, dass Sie die Standardwerte von Einstellungen verstehen. Wenn Sie beispielsweise die Kennwortverschlüsselung aktivieren, die ADPasswordEncryptionPrincipal Einstellung jedoch nicht konfigurieren, wird das Kennwort verschlüsselt, sodass nur Domänenadministratoren es entschlüsseln können. Sie können ADPasswordEncryptionPrincipal mit einer anderen Einstellung konfigurieren, wenn auch Benutzer außer den Domänenadministratoren es entschlüsseln können sollen.
Aktualisieren eines Kennworts in Windows Server Active Directory
Windows LAPS verarbeitet die aktive Richtlinie jede Stunde. Sie können den Verarbeitungszyklus auch manuell starten, da Windows LAPS auf Änderungsbenachrichtigungen für Gruppenrichtlinien reagiert.
Um zu überprüfen, ob ein Kennwort in Windows Server Active Directory erfolgreich aktualisiert wurde, suchen Sie im Ereignisprotokoll nach einem Ereignis mit der ID 10018:
Um zu vermeiden, dass Sie nach der Anwendung der Richtlinie warten, können Sie das Invoke-LapsPolicyProcessing PowerShell-Cmdlet ausführen, um die Richtlinie sofort zu verarbeiten.
Abrufen eines Kennworts aus Windows Server Active Directory
Sie können das Cmdlet Get-LapsADPassword verwenden, um Kennwörter aus Windows Server Active Directory abzurufen, wie im folgenden Code gezeigt:
PS C:\> Get-LapsADPassword -Identity lapsAD2 -AsPlainText
ComputerName : LAPSAD2
DistinguishedName : CN=LAPSAD2,OU=NewLAPS,DC=laps,DC=com
Account : Administrator
Password : <password>
PasswordUpdateTime : 7/1/2022 1:23:19 PM
ExpirationTimestamp : 7/31/2022 1:23:19 PM
Source : EncryptedPassword
DecryptionStatus : Success
AuthorizedDecryptor : LAPS\Domain Admins
In dieser Ausgabe gibt die Zeile an, dass die Source Kennwortverschlüsselung aktiviert ist. Die Kennwortverschlüsselung erfordert, dass Ihre Domäne für eine Windows Server 2016 oder höher-DFL konfiguriert ist.
Falls Ihnen der Zugriff zum Abfragen des Kennworts verweigert wird, können Sie die Berechtigungen zum Lesen des Kennworts anpassen. Siehe Erteilen von Kennwortabfrageberechtigungen.
Ändern eines Kennworts
Windows LAPS liest die Kennwortablaufzeit während jedes Richtlinienverarbeitungszyklus von Windows Server Active Directory vor. Wenn das Kennwort abgelaufen ist, wird sofort ein neues Kennwort generiert und gespeichert.
In einigen Situationen möchten Sie das Kennwort möglicherweise frühzeitig drehen, z. B. nach einer Sicherheitsverletzung oder während des spontanen Tests. Mit dem Cmdlet Reset-LapsPassword können Sie eine manuelle Kennwortrotation erzwingen.
Sie können das Cmdlet Set-LapsADPasswordExpirationTime verwenden, um die in Windows Server Active Directory gespeicherte geplante Kennwortablaufzeit festzulegen. Der folgende Code legt die Ablaufzeit auf die aktuelle Uhrzeit fest:
PS C:\> Set-LapsADPasswordExpirationTime -Identity lapsAD2
DistinguishedName Status
----------------- ------
CN=LAPSAD2,OU=NewLAPS,DC=laps,DC=com PasswordReset
Wenn Windows LAPS das nächste Mal die aktuelle Richtlinie verarbeitet, erkennt es die geänderte Kennwortablaufzeit und aktualisiert das Kennwort. Wenn Sie nicht auf den nächsten Verarbeitungszyklus warten möchten, können Sie das Invoke-LapsPolicyProcessing Cmdlet ausführen, um die Richtlinie sofort zu verarbeiten.
Mit dem Cmdlet Reset-LapsPassword können Sie lokal eine sofortige Rotation des Kennworts erzwingen.
Abrufen von Kennwörtern während Windows Server Active Directory Notfallwiederherstellungsszenarien
Um Windows LAPS-Kennwörter (einschließlich DSRM-Kennwörtern) abzurufen, benötigen Sie normalerweise, dass mindestens ein Windows Server Active Directory-Domänencontroller verfügbar ist. In einem katastrophalen Szenario sind möglicherweise alle Domänencontroller in einer Domäne ausgefallen. Wie können Sie in dieser Situation Kennwörter wiederherstellen?
Bewährte Methoden für die Verwaltung von Windows Server Active Directory empfehlen, regelmäßig alle Domänencontroller zu sichern. Sie können Windows LAPS-Kennwörter abfragen, die in einer bereitgestellten Sicherungsdatenbank Windows Server Active Directory Datenbank gespeichert sind, indem Sie das PowerShell-Cmdlet Get-LapsADPassword verwenden und den Parameter -Port angeben.
In Windows Insider Build 27695 und höher bietet das Cmdlet Get-LapsADPassword verbesserte Kennwortabruffunktionen. Wenn Sie das Get-LapsADPassword-Cmdlet verwenden und sowohl die -Port- als auch die -RecoveryMode-Parameter angeben, erfolgt die Kennwortwiederherstellung erfolgreich, ohne dass ein Domänencontroller kontaktiert werden muss. Zudem können Sie Get-LapsADPassword in diesem Modus auf einem Arbeitsgruppencomputer (nicht in die Domäne eingebunden) ausführen. Diese Funktionalität ist in Client- und Serverbetriebssystemen verfügbar.
Tipp
Sie können das Hilfsprogramm dsamain.exe verwenden, um Windows Server Active Directory Sicherungsmedien zu mounten und sie über das Lightweight Directory Access Protocol (LDAP) abzufragen. Das dsamain.exe Tool ist standardmäßig nicht installiert, daher muss es hinzugefügt werden. Sie können das Enable-WindowsOptionalFeature Cmdlet verwenden, um es zu aktivieren.
- Auf Windows Clientcomputern können Sie
Enable-WindowsOptionalFeature -Online -FeatureName DirectoryServices-ADAM-Clientausführen. - Auf einem Windows Server Computer können Sie
Enable-WindowsOptionalFeature -Online -FeatureName DirectoryServices-ADAMausführen.
Der folgende Code fragt Windows LAPS-Kennwörter ab, die in einer Windows Server Active Directory Sicherungsdatenbank gespeichert sind, die lokal auf Port 50000 bereitgestellt wird:
PS C:\> Get-LapsADPassword -Identity lapsDC -AsPlainText -Port 50000 -RecoveryMode
ComputerName : LAPSDC
DistinguishedName : CN=LAPSDC,OU=Domain Controllers,DC=laps,DC=com
Account : Administrator
Password : <password>
PasswordUpdateTime : 8/15/2024 10:31:51 AM
ExpirationTimestamp : 9/14/2024 10:31:51 AM
Source : EncryptedDSRMPassword
DecryptionStatus : Success
AuthorizedDecryptor : S-1-5-21-2127521184-1604012920-1887927527-35197
Wichtig
Wenn verschlüsselte Windows LAPS-Kennwörter aus einer Windows Server Active Directory-Sicherungsdatenbank abgerufen werden, die auf einem Arbeitsgruppencomputer bereitgestellt wird, wird das Feld AuthorizedDecryptor immer im rohen Sicherheits-ID (SID)-Format angezeigt. Die Arbeitsgruppenmaschine kann die SID nicht in einen benutzerfreundlichen Namen übersetzen.
Weitere Informationen
- Einführung der Windows-Lösung für lokale Administratorpasswörter mit Microsoft Entra ID (Azure AD)
- Windows Lokale Administratorkennwortlösung in Microsoft Entra ID
- CSP RestrictedGroups
- Microsoft Intune
- Microsoft Intune Unterstützung für Windows LAPS
- Windows LAPS CSP
- Windows LAPS-Anleitung zur Problembehandlung