LAPS konfigurieren
Hinzufügen von Berechtigungen im Active Directory
LAPS wird von UO auf der Active Directory-Ebene konfiguriert. In diesem Tutorial wenden wir die Passwortrichtlinie auf die UO-Computer 1 an, die sich im UO LAB befinden.
Bevor Sie die Gruppenrichtlinie konfigurieren, müssen Sie Computerobjekten die Rechte zum Ändern ihrer Attribute erteilen. Öffnen Sie eine PowerShell-Eingabeaufforderung.
Laden Sie das Modul:
Import-Module AdmPwd.PS
Fall 1: Es gibt eine einzelne Organisationseinheit mit dem Namen Computer:
Set-AdmPwdComputerSelfPermission -OrgUnit "Computers"
Fall 2: Mehrere Organisationseinheiten werden Computer genannt:
Set-AdmPwdComputerSelfPermission -OrgUnit "OU=Computers,OU=LAB,DC=lab,DC=intra"
Befehlsergebnis:
Name DistinguishedName Status ---- ----------------- ------ Computers OU=Computers,OU=LAB,DC=lab,DC=intra Delegated
Wenn mehrere OUs den gleichen Namen haben und Sie den Befehl in Fall 1 anwenden, wird die Delegation auf alle OUs angewendet. Der Befehl gibt außerdem einen Fehler zurück.
GPO zum Anwenden von Einstellungen auf Computer
Da Computer nun ihre Attribute ändern können, müssen Sie eine Gruppenrichtlinie erstellen. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole, klicken Sie mit der rechten Maustaste auf OR 1, wo angewendet werden soll, und klicken Sie auf „GPO in dieser Domäne erstellen“ und verknüpfen Sie es hier 2.
Benennen Sie die Strategie 1 und klicken Sie auf OK 2.
Nachdem die Richtlinie erstellt wurde, konfigurieren wir sie. Klicken Sie mit der rechten Maustaste darauf 1 und klicken Sie auf „Ändern“ 2.
Gehen Sie zu Computerkonfiguration / Richtlinien / Administrative Vorlagen / LAPS 1. Dieser Speicherort enthält die verschiedenen Konfigurationsparameter. Öffnen Sie die Passworteinstellungen 2, um das Passwort zu konfigurieren.
Aktivieren Sie die Einstellungen 1 und konfigurieren Sie dann die Passwortkomplexität 2 mithilfe der verschiedenen Einstellungen. Klicken Sie auf Übernehmen 3 und auf OK 4.
Öffnen Sie den Parameter Lokale Admin-Passwortverwaltung aktivieren, aktivieren Sie 1, klicken Sie dann auf Übernehmen 2 und OK 3. Um die Passwortverwaltung zu aktivieren, muss diese Einstellung aktiviert werden.
Wenn Sie das lokale Administratorkonto geändert und ein neues erstellt haben, können Sie dies mit dem Parameter Name des zu verwaltenden Administratorkontos angeben.
Zusammenfassung der Gruppenrichtlinieneinstellungen:
Nachdem die Gruppenrichtlinie nun fertig ist, erzwingen Sie deren Aktualisierung, damit die Computer die Einstellungen wiederherstellen und ein Kennwort für das lokale Administratorkonto generieren.