Erste Schritte mit Windows LAPS und Windows Server Active Directory

• Gilt für::

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows 11, ✅ Windows 10

Erfahren Sie mehr zu den ersten Schritten mit Windows Local Administrator Password Solution (Windows LAPS) und Windows Server Active Directory. In diesem Artikel werden die grundlegenden Verfahren für die Verwendung von Windows LAPS zum Sichern von Kennwörtern in Windows Server Active Directory und zum Abrufen dieser Kennwörter beschrieben.

Domänenfunktionsebene und Versionsanforderungen für Domänencontroller

Wenn Ihre Domäne für eine Domänenfunktionsebene (Domain Functional Level, DFL) unter 2016 konfiguriert ist, können Sie den Windows LAPS-Kennwortverschlüsselungszeitraum nicht aktivieren. Ohne Kennwortverschlüsselung können Clients nur zum Speichern von Kennwörtern in Klartext (durch Active Directory-ACLs geschützt) konfiguriert werden, und Domänencontroller können nicht für die Verwaltung des lokalen DSRM-Kontos konfiguriert werden.

Sobald Ihre Domäne die Domänenfunktionsebene 2016 erreicht, können Sie die Windows LAPS-Kennwortverschlüsselung aktivieren. Falls Sie jedoch weiterhin Windows Server 2016-Domänencontroller ausführen, müssen Sie beachten, dass diese Domänencontroller Windows LAPS nicht unterstützen und daher das DSRM-Kontoverwaltungsfeature nicht verwenden können.

Sie können unterstützte Betriebssysteme vor Windows Server 2016 auf Ihren Domänencontrollern verwenden, müssen sich aber dieser Einschränkungen bewusst sein.

In der folgenden Tabelle sind die verschiedenen unterstützten oder nicht unterstützten Szenarien zusammengefasst:

Domänendetails	Speicherung von Klartextkennwörtern unterstützt	Speicherung von verschlüsselten Kennwörtern unterstützt (für in die Domäne eingebundene Clients)	DSRM-Kontoverwaltung unterstützt (für Domänencontroller)
Vor Domänenfunktionsebene 2016	Ja	Nr.	Nein
Domänenfunktionsebene 2016 mit mindestens einem Windows Server 2016-Domänencontroller	Ja	Ja	Ja, aber nur für Domänencontroller mit Windows Server 2019 und höher
Domänenfunktionsebene 2016 nur mit Windows Server 2019-Domänencontrollern und höher	Ja	Ja	Ja

Microsoft empfiehlt Kund*innen dringend, Clients, Server und Domänencontroller auf das neueste verfügbare Betriebssystem zu aktualisieren, damit sie die aktuellen Features und Sicherheitsverbesserungen nutzen können.

Aktualisieren des Windows Server Active Directory-Schemas

Das Windows Server Active Directory-Schema muss vor der Verwendung von Windows LAPS aktualisiert werden. Dies erfolgt mithilfe des Cmdlets Update-LapsADSchema. Es handelt sich um einen einmaligen Vorgang für die gesamte Gesamtstruktur. Das Cmdlet Update-LapsADSchema kann lokal auf einem mit Windows LAPS aktualisierten Windows Server 2022- oder Windows Server 2019-Domänencontroller, aber auch auf Computern, die keine Domänencontroller sind, ausgeführt werden, sofern diese das PowerShell-Modul von Windows LAPS unterstützen.

PS C:\> Update-LapsADSchema

Tipp

Übergeben Sie den Parameter -Verbose, um detaillierte Informationen über die Aktivitäten des Cmdlets Update-LapsADSchema (oder jedes anderen Cmdlets im PowerShell-Modul LAPS) anzuzeigen.

Erteilen der Berechtigung für das verwaltete Gerät zum Aktualisieren des Kennworts

Dem verwalteten Gerät muss die Berechtigung zum Aktualisieren seines Kennworts erteilt werden. Diese Aktion erfolgt, indem vererbbare Berechtigungen für die Organisationseinheit des Geräts festgelegt werden. Set-LapsADComputerSelfPermission wird für diesen Zweck verwendet, z. B.:

PS C:\> Set-LapsADComputerSelfPermission -Identity NewLaps

Name    DistinguishedName
----    -----------------
NewLAPS OU=NewLAPS,DC=laps,DC=com

Tipp

Wenn Sie die vererbbaren Berechtigungen für den Stamm der Domäne festlegen möchten, können Sie dazu den gesamten Domänenstamm mithilfe der DN-Syntax angeben. Geben Sie beispielsweise „DC=laps,DC=com“ für den Parameter „-Identity“ an.

Berechtigungen zur Abfrage von Extended Rights (erweiterte Rechte)

Einigen Benutzern oder Gruppen wurde möglicherweise bereits die Berechtigung „Erweiterte Rechte“ für die Organisationseinheit des verwalteten Geräts erteilt. Diese Berechtigung ist problematisch, da sie das Lesen vertraulicher Attribute ermöglicht (alle Windows LAPS-Kennwortattribute sind als vertraulich gekennzeichnet). Eine Möglichkeit zum Prüfen, wem diese Berechtigungen erteilt wurden, ist das Cmdlet Find-LapsADExtendedRights. Beispiel:

PS C:\> Find-LapsADExtendedRights -Identity newlaps

ObjectDN                  ExtendedRightHolders
--------                  --------------------
OU=NewLAPS,DC=laps,DC=com {NT AUTHORITY\SYSTEM, LAPS\Domain Admins}

In der Ausgabe in diesem Beispiel verfügen nur vertrauenswürdige Entitäten (SYSTEM und Domänenadministratoren) über die Berechtigung. Es ist keine andere Aktion erforderlich.

Konfigurieren der Geräterichtlinie

Führen Sie einige Schritte aus, um die Geräterichtlinie zu konfigurieren.

Wählen eines Mechanismus zur Richtlinienbereitstellung

Der erste Schritt ist die Wahl, wie die Richtlinie auf Ihre Geräte angewendet werden soll.

Die meisten Umgebungen verwenden Windows LAPS-Gruppenrichtlinie, um die erforderlichen Einstellungen auf ihren in eine Windows Server Active Directory-Domäne eingebundenen Geräten bereitzustellen.

Wenn Ihre Geräte auch hybrid in Microsoft Entra ID eingebunden sind, können Sie die Richtlinie mithilfe von Microsoft Intune mit dem Windows LAPS-Konfigurationsdienstanbieter (Configuration Service Provider, CSP) bereitstellen.

Konfigurieren bestimmter Richtlinien

Sie müssen mindestens die Einstellung BackupDirectory mit dem Wert 2 (Kennwörter in Windows Server Active Directory sichern) konfigurieren.

Wenn Sie die Einstellung AdministratorAccountName nicht konfigurieren, verwaltet Windows LAPS standardmäßig das integrierte lokale Administratorkonto. Dieses integrierte Konto wird automatisch anhand seiner bekannten relativen ID (RID) identifiziert und sollte niemals mithilfe seines Namens identifiziert werden. Der Name des integrierten lokalen Administratorkontos hängt vom Standardgebietsschema des Geräts ab.

Wenn Sie ein benutzerdefiniertes lokales Administratorkonto konfigurieren möchten, sollten Sie die Einstellung AdministratorAccountName mit dem Namen dieses Kontos konfigurieren.

Wichtig

Wenn Sie Windows LAPS zum Verwalten eines benutzerdefinierten lokalen Administratorkontos konfigurieren, müssen Sie sicherstellen, dass das Konto erstellt wird. Windows LAPS erstellt das Konto nicht. Es wird empfohlen, zum Erstellen des Kontos den CSP RestrictedGroups zu verwenden.

Sie können andere Einstellungen, z. B. PasswordLength, nach Bedarf für Ihre Organisation konfigurieren.

Wenn Sie keine bestimmte Einstellung konfigurieren, wird der Standardwert angewendet. Sie sollten diese Standardwerte verstehen. Wenn Sie beispielsweise die Kennwortverschlüsselung aktivieren, die Einstellung ADPasswordEncryptionPrincipal aber nicht konfigurieren, wird das Kennwort verschlüsselt, sodass es nur von Domänen-Administratoren entschlüsselt werden kann. Sie können ADPasswordEncryptionPrincipal mit einer anderen Einstellung konfigurieren, wenn Sie möchten, dass es auch von anderen als den Domänen-Administratoren entschlüsselt werden kann.

Aktualisieren eines Kennworts in Windows Server Active Directory

Windows LAPS verarbeitet die derzeit aktive Richtlinie regelmäßig (stündlich) und reagiert auf Änderungsbenachrichtigungen von Gruppenrichtlinie. Die Reaktion erfolgt basierend auf den Richtlinien- und Änderungsbenachrichtigungen.

Um zu überprüfen, ob das Kennwort in Windows Server Active Directory erfolgreich aktualisiert wurde, suchen Sie im Ereignisprotokoll nach dem Ereignis 10018:

Um Wartezeit nach Anwenden der Richtlinie zu vermeiden, können Sie das PowerShell-Cmdlet Invoke-LapsPolicyProcessing ausführen.

Abrufen eines Kennworts aus Windows Server Active Directory

Mit dem Cmdlet Get-LapsADPassword können Sie Kennwörter aus Windows Server Active Directory abrufen. Beispiel:

PS C:\> Get-LapsADPassword -Identity lapsAD2 -AsPlainText

ComputerName        : LAPSAD2
DistinguishedName   : CN=LAPSAD2,OU=NewLAPS,DC=laps,DC=com
Account             : Administrator
Password            : Zlh+lzC[0e0/VU
PasswordUpdateTime  : 7/1/2022 1:23:19 PM
ExpirationTimestamp : 7/31/2022 1:23:19 PM
Source              : EncryptedPassword
DecryptionStatus    : Success
AuthorizedDecryptor : LAPS\Domain Admins

Dieses Ausgabeergebnis gibt an, dass die Kennwortverschlüsselung aktiviert ist (siehe Source). Die Kennwortverschlüsselung erfordert, dass Ihre Domäne mindestens für die Domänenfunktionsebene „Windows Server 2016“ konfiguriert ist.

Rotieren des Kennworts

Windows LAPS liest die Kennwortablaufzeit während jedes Richtlinienverarbeitungszyklus aus Windows Server Active Directory. Wenn das Kennwort abgelaufen ist, wird sofort ein neues Kennwort generiert und gespeichert.

In einigen Fällen (z. B. nach einer Sicherheitsverletzung oder für Ad-hoc-Tests) können Sie das Kennwort frühzeitig rotieren. Mit dem Cmdlet Reset-LapsPassword können Sie eine manuelle Kennwortrotation erzwingen.

Mit dem Cmdlet Set-LapsADPasswordExpirationTime können Sie die geplante Ablaufzeit des Kennworts so festlegen, wie sie in Windows Server Active Directory gespeichert ist. Beispiel:

PS C:\> Set-LapsADPasswordExpirationTime -Identity lapsAD2

DistinguishedName                           Status
-----------------                           ------
CN=LAPSAD2,OU=NewLAPS,DC=laps,DC=com PasswordReset

Bei der nächsten Aktivierung von Windows LAPS zur Verarbeitung der aktuellen Richtlinie wird die geänderte Ablaufzeit des Kennworts angezeigt und das Kennwort rotiert. Wenn Sie nicht warten möchten, können Sie das Cmdlet Invoke-LapsPolicyProcessing ausführen.

Mit dem Cmdlet Reset-LapsPassword können Sie lokal eine sofortige Rotation des Kennworts erzwingen.

Abrufen von Kennwörtern in AD-Disaster-Recovery-Szenarien

Die Wiederherstellung von Windows LAPS-Kennwörtern (einschließlich DSRM-Kennwörtern) setzt normalerweise voraus, dass mindestens ein Active Directory-Domänencontroller verfügbar ist. Berücksichtigen Sie jedoch ein Katastrophenszenario, in dem alle Domänencontroller in einer Domäne ausgefallen sind. Wie können Sie in dieser Situation Kennwörter wiederherstellen?

Bewährte Verfahren der Active Directory-Verwaltung empfehlen, regelmäßig Sicherungen von allen Domänencontrollern zu speichern. Windows LAPS-Kennwörter, die in einer bereitgestellten AD-Datenbank gespeichert sind, können mithilfe des Get-LapsADPassword PowerShell-Cmdlets abgefragt werden, indem sie den -Port Parameter angeben. Das Get-LapsADPassword Cmdlet wurde kürzlich verbessert, sodass die Kennwortwiederherstellung erfolgreich war, wenn beide -Port -RecoveryMode angegeben werden, keine Verbindung mit einem Domänencontroller erforderlich ist. Außerdem unterstützt Get-LapsADPassword jetzt das Ausführen in diesem Modus auf einem Arbeitsgruppen-Computer (ohne Domänenangehörigkeit).

Tipp

Das hilfsprogramm dsamain.exe wird zum Bereitstellen eines AD-Sicherungsmediums und zum Abfragen über LDAP verwendet. Dsamain.exe ist standardmäßig nicht installiert, sodass sie hinzugefügt werden muss. Eine Möglichkeit hierzu ist die Verwendung des Enable-WindowsOptionalFeature Cmdlets. Auf Windows-Clientcomputern können Sie ausführen Enable-WindowsOptionalFeature -Online -FeatureName DirectoryServices-ADAM-Client. Auf einem Windows Server-Computer, den Sie ausführen können Enable-WindowsOptionalFeature -Online -FeatureName DirectoryServices-ADAM

Das folgende Beispiel geht davon aus, dass eine AD-Sicherungsdatenbank lokal auf Port 50000 gemountet ist:

PS C:\> Get-LapsADPassword -Identity lapsDC -AsPlainText -Port 50000 -RecoveryMode

ComputerName        : LAPSDC
DistinguishedName   : CN=LAPSDC,OU=Domain Controllers,DC=laps,DC=com
Account             : Administrator
Password            : ArrowheadArdentlyJustifyingKryptonVixen
PasswordUpdateTime  : 8/15/2024 10:31:51 AM
ExpirationTimestamp : 9/14/2024 10:31:51 AM
Source              : EncryptedDSRMPassword
DecryptionStatus    : Success
AuthorizedDecryptor : S-1-5-21-2127521184-1604012920-1887927527-35197

Wichtig

Wenn verschlüsselte Windows LAPS-Kennwörter aus einer AD-Sicherungsdatenbank abgerufen werden, die auf einem Arbeitsgruppen-Computer gemountet ist, wird das Feld AuthorizedDecryptor immer im Raw-SID-Format angezeigt, da der Arbeitsgruppen-Computer nicht in der Lage ist, diese SID in einen Anzeigenamen zu übersetzen.

Wichtig

Die verbesserten Funktionalitäten zum Abrufen von Kennwörtern mit Get-LapsADPassword werden ab Windows Insider Build 27695 sowohl für Client- als auch für Server-Betriebssysteme unterstützt.

Siehe auch

• Einführung von Windows Local Administrator Password Solution in Microsoft Entra ID
• Windows Local Administrator Password Solution in Microsoft Entra ID
• CSP RestrictedGroups
• Microsoft Intune
• Microsoft Intune-Unterstützung für Windows LAPS
• Windows LAPS CSP
• Windows LAPS Troubleshooting Guidance (Leitfaden zur Problembehandlung für Windows LAPS)

Nächste Schritte

• Konfigurieren von Windows LAPS-Richtlinieneinstellungen
• Verwenden von Windows LAPS-Ereignisprotokollen
• Verwenden von Windows LAPS PowerShell-Cmdlets
• Wichtige Konzepte in Windows LAPS