Am 1. Mai 2015 hat Microsoft das Local Administrator Password Management veröffentlicht, mit dem lokale Administrator-Passwörter einfach verwaltet werden können. Dafür werden in AD DS zwei Attribute hinzugefügt:

• ms-MCS-AdmPwd
• ms-MCS-AdmPwdExpirationTime

Diese speichern das Passwort und das Ablaufdatum des Passwortes. Ist das Ablaufdatum erreicht, wird beim nächsten Gruppenrichtlinien-Update am Client das Passwort erneuert. Für die Verwaltung gibt es einen Client (LAPS UI) und ein eigenes PowerShell-Modul. Am Client selbst wird eine Client Side Extension (CSE) für die Gruppenrichtlinien installiert.

Gruppenrichtlinien-Vorlagen und das PowerShell-Modul installieren

1. Als Administrator an DC1 anmelden
2. Folgende Dateien von Microsoft security advisory: Local Administrator Password Solution (LAPS) now available: May 1, 2015 nach C:\Sourcen herunterladen
   1. LAPS.x86.msi
   2. LAPS.x64.msi
   3. LAPS_Datasheet.docx
   4. LAPS_OperationsGuide.docx
   5. LAPS_TechnicalSpecification.docx
3. LAPS.x64.msi doppelklicken
4. Local Administrator Password Solution Setup
   1. Welcome… > Next
   2. License Agreement > Accept > Next
   3. Custom Setup
      1. PowerShell module
      2. GPO Editor templates > Next
         
   4. Ready to install > Install
   5. Complete > Finish
5. Zum Ordner C:\Windows\PolicyDefinitions wechseln
6. Folgende Dateien nach \\intern\SYSVOL\intern.einfaches-netzwerk.at\Policies\PolicyDefinitions kopieren
   1. AdmPwd.admx
   2. en-US\AdmPwd.adml
      
7. Alle Fenster schließen

Sicherheitsgruppe in AD erstellen und Berechtigungen konfigurieren

1. Server Manager > Tools > Active Directory Users and Computers (ADUC)
2. intern.einfaches-netzwerk.at/Einfaches-Netzwerk/Sicherheitsgruppen erweitern
3. Folgende Sicherheitsgruppe erstellen
   1. PwdAdmins
4. USER1 zur Gruppe PwdAdmins hinzufügen
   
5. Fenster minimieren, nicht schließen
6. PowerShell (Admin) starten
7. Mit folgendem Befehl das PowerShell-Modul für das Local Administrator Password Management importieren

   Import-Module AdmPwd.PS

8. Mit folgendem Befehl das Active Directory-Schema erweitern

   Update-AdmPwdADSchema

9. PowerShell
   
10. Mit folgendem Befehl die Benutzer und Gruppen mit erweiterten Rechten auf die OU Arbeitsstationen ermitteln

    Find-AdmPwdExtendedRights -Identity Arbeitsstationen

11. Der Benutzer INTERN\osd_join hat erweiterte Rechte
    
12. Die ADUC-Konsole wiederherstellen
13. Die OU Arbeitsstationen rechts anklicken > Properties
14. Auf den Reiter Security wechseln > Advanced
15. OSD_Join markieren > Edit
    
16. Permission Entry for Arbeitsstationen
    1. Applies to: This object and all descendant objects
    2. All extended rights deaktivieren Weiterlesen →