Sehen Sie sich das von LAPS generierte Passwort an
Da unsere Computer nun ein anderes Passwort haben, werden wir sehen, wie wir das Passwort wiederherstellen können.
Aus dem Active Directory
Die Anzeige erweiterter Funktionen muss aktiviert sein.
Öffnen Sie in der Konsole „Active Directory-Benutzer und -Computer“ die Computereigenschaften, wechseln Sie zur Registerkarte „Attributeditor“ 1 und suchen Sie nach dem Attribut „ms-Mcs-AdmPwd“ 2.
Mit dem LAPS-Kunden
Bei der Installation von LAPS auf dem Server wurden alle Komponenten installiert. Ein Client ist über das Startmenü verfügbar. Geben Sie nach dem Start den Computernamen 1 ein und klicken Sie dann auf Suchen 2, um das Passwort 3 sowie das Ablaufdatum 4 anzuzeigen.
Es ist möglich, das Ablaufdatum des Passworts zu ändern. Klicken Sie nach der Konfiguration auf „Festlegen“. Die Passwortänderung wird wirksam, wenn Gruppenrichtlinien auf dem Computer angewendet werden.
Erlauben Sie der Anzeige von Passwörtern für eine AD-Gruppe
Standardmäßig kann die Gruppe „Domänenadministratoren“ das Attribut sehen, das das Kennwort für das lokale Administratorkonto der Arbeitsstation enthält. Es kann erforderlich sein, anderen Personen den Passwortzugriff zu gewähren, beispielsweise Personen aus dem Support-Team, wenn diese nicht Mitglieder der Gruppe „Domänen-Administratoren“ sind.
Um das Passwort sehen zu können, muss der Client-Teil von LAPS auf dem Computer installiert sein.
Öffnen Sie auf dem Domänencontroller die ADSI-Änderungskonsole, klicken Sie mit der rechten Maustaste auf ADSI-Änderung 1 und klicken Sie auf Verbindung 2.
Wählen Sie „Standardzuweisungskontext“ 1 und klicken Sie auf „OK“ 2.
Sobald die Verbindung hergestellt ist, öffnen Sie die Eigenschaften der Organisationseinheit, in der LAPS konfiguriert wurde.
Gehen Sie zur Registerkarte Sicherheit 1 und klicken Sie auf die Schaltfläche Erweitert 2.
Klicken Sie auf 1 hinzufügen.
Wählen Sie die Gruppe 1 aus und geben Sie Folgendes ein: Zulassen 2. Überprüfen Sie die Berechtigung Alle erweiterten Rechte 3 und bestätigen Sie, indem Sie auf OK 4 klicken.
Die Berechtigungen wurden der Organisationseinheit hinzugefügt. Klicken Sie zur Bestätigung auf „Anwenden“ 1 und dann auf „OK“ 2. Dann schließen Sie die Fenster.
Mit dem folgenden Befehl ist es möglich, dasselbe in PowerShell zu tun:
Set-AdmPwdReadPasswordPermission -OrgUnit Computers -AllowedPrincipals SupportSI
Es ist möglich, den Zugriff in PowerShell mit dem folgenden Befehl zu überprüfen:
Import-Module AdmPwd.PS
Find-AdmPwdExtendedRights -Identity Computers | Format-Table ExtendedRightHolders
ExtendedRightHolders
--------------------
{AUTORITE NT\Système, LAB\Admins du domaine, LAB\SupportSI}Benutzer in der SupportSI-Gruppe haben jetzt die Möglichkeit, das Passwort des lokalen Administratorkontos anzuzeigen.
Geben Sie den folgenden PowerShell-Befehl ein, um der SupportSI-Gruppe die Berechtigung zu erteilen, das Ablaufdatum des Kennworts zu ändern:
Set-AdmPwdResetPasswordPermission -OrgUnit Computers -AllowedPrincipals SupportSI