Local Administrator Password Management installieren und konfigurieren

Am 1. Mai 2015 hat Microsoft das Local Administrator Password Management veröffentlicht, mit dem lokale Administrator-Passwörter einfach verwaltet werden können. Dafür werden in AD DS zwei Attribute hinzugefügt:

  • ms-MCS-AdmPwd
  • ms-MCS-AdmPwdExpirationTime

Diese speichern das Passwort und das Ablaufdatum des Passwortes. Ist das Ablaufdatum erreicht, wird beim nächsten Gruppenrichtlinien-Update am Client das Passwort erneuert. Für die Verwaltung gibt es einen Client (LAPS UI) und ein eigenes PowerShell-Modul. Am Client selbst wird eine Client Side Extension (CSE) für die Gruppenrichtlinien installiert.

Gruppenrichtlinien-Vorlagen und das PowerShell-Modul installieren

  1. Als Administrator an DC1 anmelden
  2. Folgende Dateien von Microsoft security advisory: Local Administrator Password Solution (LAPS) now available: May 1, 2015 nach C:\Sourcen herunterladen
    1. LAPS.x86.msi
    2. LAPS.x64.msi
    3. LAPS_Datasheet.docx
    4. LAPS_OperationsGuide.docx
    5. LAPS_TechnicalSpecification.docx
  3. LAPS.x64.msi doppelklicken
  4. Local Administrator Password Solution Setup
    1. Welcome… > Next
    2. License Agreement > Accept > Next
    3. Custom Setup
      1. PowerShell module
      2. GPO Editor templates > Next
        LAPS-001
    4. Ready to install > Install
    5. Complete > Finish
  5. Zum Ordner C:\Windows\PolicyDefinitions wechseln
  6. Folgende Dateien nach \\intern\SYSVOL\intern.einfaches-netzwerk.at\Policies\PolicyDefinitions kopieren
    1. AdmPwd.admx
    2. en-US\AdmPwd.adml
      LAPS-011
  7. Alle Fenster schließen

Sicherheitsgruppe in AD erstellen und Berechtigungen konfigurieren

  1. Server Manager > Tools > Active Directory Users and Computers (ADUC)
  2. intern.einfaches-netzwerk.at/Einfaches-Netzwerk/Sicherheitsgruppen erweitern
  3. Folgende Sicherheitsgruppe erstellen
    1. PwdAdmins
  4. USER1 zur Gruppe PwdAdmins hinzufügen
    LAPS-008
  5. Fenster minimieren, nicht schließen
  6. PowerShell (Admin) starten
  7. Mit folgendem Befehl das PowerShell-Modul für das Local Administrator Password Management importieren
    Import-Module AdmPwd.PS
  8. Mit folgendem Befehl das Active Directory-Schema erweitern
    Update-AdmPwdADSchema
  9. PowerShell
    LAPS-003
  10. Mit folgendem Befehl die Benutzer und Gruppen mit erweiterten Rechten auf die OU Arbeitsstationen ermitteln
    Find-AdmPwdExtendedRights -Identity Arbeitsstationen
  11. Der Benutzer INTERN\osd_join hat erweiterte Rechte
    LAPS-004
  12. Die ADUC-Konsole wiederherstellen
  13. Die OU Arbeitsstationen rechts anklicken > Properties
  14. Auf den Reiter Security wechseln > Advanced
  15. OSD_Join markieren > Edit
    LAPS-005
  16. Permission Entry for Arbeitsstationen
    1. Applies to: This object and all descendant objects
    2. All extended rights deaktivierenLAPS-006 Weiterlesen

Teil 28f: Arbeitsordner auf Windows 7 konfigurieren

Microsoft hat Work Folders for Windows 7 – Deutsch als msu-Dateien veröffentlicht.

x86: http://www.microsoft.com/de-DE/download/details.aspx?id=42559
x64: http://www.microsoft.com/de-DE/download/details.aspx?id=42558

Die Installation kann man beim Aufsetzen mit MDT automatisieren. Wie das geht, habe bereits in mehreren Teilen hier im Blog gezeigt (z.B.: Teil 27f: DirectAccess und Windows 7-Clients konfigurieren).

Damit die Arbeitsordner auf Windows 7 funktionieren, muss mindestens Windows 7 Professional und IE9 verwendet werden. Außerdem müssen die Windows 7-Rechner Mitglied der Domäne sein. Für Heimnutzer empfiehlt der Hersteller das Upgrade auf Windows 8.1.

Arbeitsordner auf Windows 7 einsetzen – Schritte:

  • Password Autolock deaktivieren
  • WorkFolders für Windows 7 herunterladen und installieren

Password Autolock deaktivieren

  1. Als Administrator an APP1 anmelden
  2. PowerShell als Admin starten
  3. Mit folgendem Befehl Password Autolock für die Domäne deaktivieren
    Get-SyncShare -Name "Arbeitsordner Linz" `
        Set-SyncShare -PasswordAutolockExcludeDomain "intern.einfaches-netzwerk.at"
  4. PowerShell Cmdlet
    WORKFOLDERS_WIN7-001
  5. Alle Fenster schließen

WorkFolders für Windows 7 herunterladen und installieren

  1. Als User1 an CLIENT3 anmelden
  2. Die Datei Windows6.1-KB2891638-x64.msu von http://www.microsoft.com/de-DE/download/details.aspx?id=42558 nach c:\Temp herunterladen und mit einem Doppelklick installieren
  3. Rechner neu starten und wieder anmelden
  4. Start > Systemsteuerung > System und Sicherheit > Arbeitsordner
    WORKFOLDERS_WIN7-002
  5. Arbeitsordner einrichten
    WORKFOLDERS_WIN7-003
  6. Geben Sie stattdessen eine Arbeitsordner URL ein
    1. https://arbeitsordner.einfaches-netzwerk.at > Weiter
      WORKFOLDERS_WIN7-004
  7. Anmeldeinformationen eingeben
    1. Benutername: user1
    2. Passwort: Password1 > OK
      WORKFOLDERS_WIN7-006
      Weiterlesen

Teil 28e: Arbeitsordner auf dem iPad installieren und konfigurieren

Ergänzend möchte ich die App Work Folders auf dem iPad installieren und konfigurieren. Aufgrund der großen Verbreitung ist die Synchronisation gerade auf diesen Devices für Unternehmen interessant. Will man doch die Firmen-Dokumente nicht auf diversen Cloud-Speicherplätzen wiederfinden. Microsoft hat dafür die Gratis-App Work Folders veröffentlicht.

Arbeitsordner auf dem iPad installieren und konfigurieren – Schritte:

  • Arbeitsordner auf dem iPad installieren und konfigurieren

Arbeitsordner auf dem iPad installieren und konfigurieren

  1. Die Gratis-App Work Folders im App Store suchen und installierenWORKFOLDERS_IPAD (1)
  2. Work Folders starten
    Foto 2015-03-12 04.35.10 PM
  3. Bevor Sie beginnen > WeiterWORKFOLDERS_IPAD (3)
  4. Auf Stattdessen eine Arbeitsodner-URL eingeben tippen > WeiterWORKFOLDERS_IPAD (4)
  5. https://arbeitsordner.einfaches-netzwerk.atWORKFOLDERS_IPAD (5)
  6. Uups, das Serverzertifikat ist nicht vertrauenswürdig (weil keine öffentlichen Zertifikate verwendet wurden)WORKFOLDERS_IPAD (6)
  7. Mit dem Safari den Link http://pki.einfaches-ntzwerk.at/CertEnroll aufrufenWORKFOLDERS_IPAD (7)
  8. Das Zertifikat der Root CA und SubCA1 (crt-Dateien) antippen und die Profile installierenWORKFOLDERS_IPAD (8)WORKFOLDERS_IPAD (9)
    Weiterlesen