Freigeben über

Erste Schritte mit Bereitstellungs- und Migrationsszenarien für Windows LAPS

  • Artikel

Es gibt viele mögliche Methoden zum Bereitstellen von Windows LAPS oder zum Migrieren von Legacy-LAPS-Lösungen zu Windows LAPS. In diesem Artikel werden die grundlegenden Szenarien sowie einige Tipps und Tricks beschrieben, die Sie kennen müssen.

Wenn Sie vorhandene hybrid eingebundene Geräte von LAPS-Legacylösungen zu Windows LAPS migrieren, können Sie entscheiden, ob Sie die Kennwörter weiterhin in Active Directory speichern oder zur Speicherung der Kennwörter in Microsoft Entra ID wechseln möchten.

Vorbereitung des Verzeichnisses

Die meisten Informationen in diesem Leitfaden gelten nicht speziell für ein bestimmtes Verzeichnis. Es sind jedoch einige Schritte erforderlich, um Ihr Verzeichnis (entweder Active Directory oder Microsoft Entra ID) auf die Unterstützung von Windows LAPS-Geräten vorzubereiten. Diese Schritte müssen zuerst ausgeführt werden, bevor Sie mit der Implementierung eines der anderen in diesem Artikel beschriebenen Szenarien fortfahren.

Vorbereiten von Windows Server Active Directory

Die folgenden Schritte müssen ausgeführt werden, bevor Sie Ihre in Active Directory eingebundenen oder hybrid eingebundenen Geräte konfigurieren, um die Kennwörter eines verwalteten Kontos in Active Directory zu sichern.

  1. Erweitern Sie Ihr AD-Schema, damit Windows LAPS unterstützt wird. Weitere Informationen finden Sie unter Aktualisieren des Windows Server Active Directory-Schemas.
  2. Wenn Sie einen zentralen GPO-Speicher verwenden, kopieren Sie die Vorlagendateien für Windows LAPS-Gruppenrichtlinien manuell in den zentralen Speicher. Weitere Informationen finden Sie unter Zentraler Speicher für Gruppenrichtlinienobjekte.
  3. Weisen Sie Geräten Berechtigungen zur Selbstverwaltung zu. Siehe Erteilen der Berechtigung für das verwaltete Gerät zum Aktualisieren des Kennworts.
  4. Analysieren, ermitteln und konfigurieren Sie geeignete AD-Berechtigungen für Kennwortablauf und Kennwortabruf. Siehe Windows Server Active Directory-Kennwörter.
  5. Analysieren und ermitteln Sie die geeigneten autorisierten Gruppen zum Entschlüsseln von Kennwörtern. Siehe Windows Server Active Directory-Kennwörter.
  6. Erstellen Sie eine neue Windows LAPS-Richtlinie für die verwalteten Geräte mit den entsprechenden Einstellungen, wie in den vorherigen Schritten festgelegt.

Tipp

Wenn Sie planen, nur Passwörter in Microsoft Entra ID zu sichern, müssen Sie keinen dieser Schritte ausführen, auch nicht die Erweiterung des AD-Schemas.

Vorbereitung von Microsoft Entra ID

Die folgenden Schritte müssen ausgeführt werden, bevor Sie Ihre in Microsoft Entra eingebundenen oder hybrid eingebundenen Geräte konfigurieren, um die Kennwörter eines verwalteten Kontos in Microsoft Entra ID zu sichern.

  1. Überprüfen Sie die Mitgliedschaft der integrierten Microsoft Entra-Rollen, die standardmäßig Zugriff auf in Microsoft Entra ID gespeicherte Windows LAPS-Kennwörter haben. Standardmäßig verfügen diese Rollen über hohe Berechtigungen, sodass es in diesem Schritt keine Überraschungen geben sollte.
  2. Richten Sie Ihren Microsoft Entra-Mandanten so ein, dass er die Windows LAPS-Kennwortsicherung unterstützt. Siehe Aktivieren von Windows LAPS mit Microsoft Entra ID.

Szenario: Installation eines neuen Betriebssystems mit einer Windows LAPS-Richtlinie

Windows LAPS ist in das Windows-Betriebssystem integriert. Es ist ein grundlegendes Windows-Sicherheitsfeature und kann nicht deinstalliert werden. Daher müssen Sie sich der Auswirkungen bewusst sein, die eine Windows LAPS-Richtlinie während der Installation eines neuen Betriebssystems haben kann.

Der wichtigste Faktor, der beachtet werden muss, ist die Tatsache, dass Windows LAPS immer aktiviert ist. Sobald eine Windows LAPS-Richtlinie auf ein Gerät angewendet wird, beginnt Windows LAPS sofort mit der Durchsetzung der Richtlinie. Dieses Verhalten kann zu Störungen führen, wenn Ihr Workflow zur Bereitstellung von Betriebssystemen an irgendeinem Punkt den Beitritt eines Geräts zu einer OE-Domäne (Organisationseinheit) mit einer aktivierten Windows LAPS-Richtlinie umfasst. Wenn die Windows LAPS-Richtlinie für dasselbe lokale Konto gilt, mit dem der Bereitstellungsworkflow angemeldet ist, führt die sofortige Änderung des Kennworts für das lokale Konto wahrscheinlich zu einer Unterbrechung des Workflows (z. B. nach einem Neustart während der automatischen Anmeldung).

Das erste Verfahren zum Beheben dieses Problems besteht darin, eine „saubere“ Organisationseinheit (OE) für das Staging zu verwenden. Eine Staging-OE ist ein temporärer Aufbewahrungsort für das Gerätekonto, in dem nur ein Mindestsatz an erforderlichen Richtlinien angewendet wird und keine Windows LAPS-Richtlinie angewendet werden darf. Erst ganz am Ende des Workflows für die Betriebssystembereitstellung wird das Gerätekonto in die endgültige Ziel-OE verschoben. Microsoft empfiehlt die Verwendung einer „sauberen“ Staging-OE als allgemeine Best Practice.

Das zweite Verfahren besteht darin, die Windows LAPS-Richtlinie so zu konfigurieren, dass sie für ein anderes Konto als das vom Workflow für die Betriebssystembereitstellung verwendete Konto gilt. Als Best Practice sollten alle lokalen Konten gelöscht werden, die am Ende des Workflows für die Betriebssystembereitstellung nicht benötigt werden.

Szenario: Installation eines neuen Betriebssystems mit einer Legacy-LAPS-Richtlinie

Für dieses Szenario gelten dieselben grundlegenden Überlegungen wie für die Installation eines neuen Betriebssystems mit einer Windows LAPS-Richtlinie, es birgt aber einige besondere Probleme in Bezug auf die Unterstützung für den Legacy-LAPS-Emulationsmodus durch Windows LAPS.

Auch hier ist der wichtigste Faktor, der beachtet werden muss, die Tatsache, dass Windows LAPS immer aktiviert ist. Sobald eine ältere LAPS-Richtlinie auf ein Gerät angewendet wird – und vorausgesetzt, dass alle Kriterien für den Legacy-LAPS-Emulationsmodus erfüllt sind –, beginnt Windows LAPS sofort mit der Durchsetzung der Richtlinie. Dieses Verhalten kann zu Störungen führen, wenn Ihr Workflow zur Bereitstellung von Betriebssystemen an irgendeinem Punkt den Beitritt eines Geräts zu einer OE-Domäne (Organisationseinheit) mit einer aktivierten Legacy-LAPS-Richtlinie umfasst. Wenn die Legacy-LAPS-Richtlinie für dasselbe lokale Konto gilt, mit dem der Bereitstellungsworkflow angemeldet ist, führt die sofortige Änderung des Kennworts für das lokale Konto wahrscheinlich zu einer Unterbrechung des Workflows (z. B. nach einem Neustart während der automatischen Anmeldung).

Das erste Verfahren zum Beheben dieses Problems besteht darin, eine „saubere“ Organisationseinheit (OE) für das Staging zu verwenden. Eine Staging-OE ist ein temporärer Aufbewahrungsort für das Gerätekonto, in dem nur ein Mindestsatz an erforderlichen Richtlinien angewendet wird und keine Legacy-LAPS-Richtlinie angewendet werden darf. Erst ganz am Ende des Workflows für die Betriebssystembereitstellung wird das Gerätekonto in die endgültige Ziel-OE verschoben. Microsoft empfiehlt die Verwendung einer „sauberen“ Staging-OE als allgemeine Best Practice.

Das zweite Verfahren besteht darin, die Legacy-LAPS-Richtlinie so zu konfigurieren, dass sie für ein anderes Konto als das vom Workflow für die Betriebssystembereitstellung verwendete Konto gilt. Als Best Practice sollten alle lokalen Konten gelöscht werden, die am Ende des Workflows für die Betriebssystembereitstellung nicht benötigt werden.

Das dritte Verfahren besteht darin, am Anfang des Workflows für die Betriebssystembereitstellung den Legacy-LAPS-Emulationsmodus zu deaktivieren und ihn am Ende (sofern erforderlich) wieder zu aktivieren.

Szenario: Koexistenz (parallele Verwendung) mit Legacy-LAPS

Es ist möglich, sowohl Windows LAPS als auch Legacy-LAPS parallel nebeneinander zu verwenden. Damit ein solches paralleles Szenario erfolgreich ist, MÜSSEN beide Richtlinien für unterschiedliche lokale Konten gelten. Ihr langfristiges Ziel sollte jedoch darin bestehen, von Legacy-LAPS zu Windows LAPS zu migrieren.

Szenarien: Migration von Legacy-LAPS zu Windows LAPS auf vorhandenen Geräten

Microsoft empfiehlt die Migration von Legacy-LAPS zu Windows LAPS. In diesem Abschnitt werden Verfahren zum Durchführen dieser Migration auf vorhandenen Geräten beschrieben.

Es gibt zwei grundlegende Ansätze, die hierfür genutzt werden können. Der erste Ansatz ist der sofortige Übergang, während der zweite Ansatz eine Koexistenzphase beinhaltet, auf die der endgültige Übergang folgt.

Ansatz des sofortigen Übergangs

Mit den folgenden Schritten können Sie eine sofortige Migration von Legacy-LAPS zu Windows LAPS auf vorhandenen Geräten ausführen:

  1. Deaktivieren/Entfernen der Legacy-LAPS-Richtlinie
  2. Erstellen und Anwenden einer Windows LAPS-Richtlinie
  3. Überwachen des verwalteten Geräts zur Bestätigung des erfolgreichen Übergangs
  4. Entfernen der Legacy-LAPS-Software

Die ersten beiden Schritte sollten gleichzeitig (oder so kurz nacheinander wie möglich) ausgeführt werden.

Der einfachste Ansatz beim Konfigurieren der Windows LAPS-Richtlinie besteht darin, sie auf dasselbe Konto anzuwenden, das zuvor in der Legacy-LAPS-Richtlinie verwendet wurde. Wenn Sie ein anderes Konto verwenden möchten, müssen Sie ein neues Konto erstellen, bevor Sie die Windows LAPS-Richtlinie anwenden. Das erste Konto sollte entfernt werden, wenn es nicht mehr benötigt wird.

Die Windows LAPS-Richtlinie kann auch mit Features (z. B. Sicherung in Microsoft Entra ID oder Aktivieren der AD-Kennwortverschlüsselung) konfiguriert werden, die in der Legacy-LAPS-Software nicht verfügbar waren.

Wenn eine Windows LAPS-Richtlinie zum ersten Mal angewendet wird, führt das verwaltete Gerät eine sofortige Rotation des Kennworts für das lokale Konto durch. Sie müssen das verwaltete Gerät überwachen, um sicherzustellen, dass der Übergang erfolgreich abgeschlossen wurde.

Nach Abschluss des Übergangs sollte der letzte Schritt darin bestehen, die Legacy-LAPS-Software vom verwalteten Gerät zu entfernen.

Ansatz der vorübergehenden Koexistenz

Möglicherweise möchten Sie die Migration von Legacy-LAPS zu Windows LAPS in mehreren Schritten ausführen. Dies sind grundlegenden Schritte für diese Art des Übergangs auf vorhandenen Geräten:

  1. Konfigurieren des verwalteten Geräts mit einem zweiten lokalen Konto
  2. Erstellen und Anwenden einer Windows LAPS-Richtlinie
  3. Überwachen des verwalteten Geräts zur Bestätigung der erfolgreichen Anwendung der Windows LAPS-Richtlinie
  4. Deaktivieren/Entfernen der Legacy-LAPS-Richtlinie
  5. Entfernen der Legacy-LAPS-Software
  6. Entfernen des zusätzlichen Kontos

Bei diesem Ansatz ist es erforderlich, ein zweites lokales Konto zu erstellen, da die Verwendung sowohl einer Windows LAPS-Richtlinie als auch einer Legacy-LAPS-Richtlinie für ein und dasselbe Konto nicht unterstützt wird.

Nachdem Sie sich vergewissert haben, dass Windows LAPS ordnungsgemäß funktioniert, können Sie das verwaltete Gerät so lange wie nötig in diesem Zustand lassen, bevor Sie die restlichen Migrationsschritte ausführen.

Überwachen des erfolgreichen Übergangs

Es gibt mehrere Ansätze für die Überwachung des erfolgreichen Übergangs, nachdem Sie ein verwaltetes Gerät auf eine Windows LAPS-Richtlinie umgestellt haben:

  • Sie können den Windows LAPS-Ereignisprotokollkanal des verwalteten Geräts auf erfolgreiche Kennwortaktualisierungsereignisse überwachen (für Microsoft Entra ID oder AD). Hier kann eine zentralisierte Lösung für die Ereignisprotokollsammlung hilfreich sein.
  • Beim Speichern von Kennwörtern in Active Directory können Sie im AD-Computerobjekt des verwalteten Geräts nach einem Attribut „Neu“ oder „Aktualisiert“ für „msLAPS-PasswordExpirationTime“ suchen. Zum Automatisieren dieser Analyse kann das PowerShell-Cmdlet Get-LapsADPassword verwendet werden.
  • Beim Speichern von Kennwörtern in Microsoft Entra ID können Sie in den Verwaltungsportalen von Microsoft Entra ID oder Intune überprüfen, ob das Kennwort des Geräts aktualisiert wurde. Zum Automatisieren dieser Analyse kann das PowerShell-Cmdlet Get-LapsAADPassword verwendet werden.

Entfernen der Legacy-LAPS-Software von einem verwalteten Gerät

Welche Schritte genau zum Entfernen der Legacy-LAPS-Software von einem verwalteten Gerät erforderlich sind, hängt davon ab, wie diese Software ursprünglich installiert wurde.

Wenn Legacy-LAPS mithilfe des MSI-Installationspakets installiert wurde

In dieser Situation können Sie die Legacy-LAPS-Software manuell über die Systemsteuerung für Ad-hoc-Verwaltungsszenarien deinstallieren.

Alternativ dazu können Sie diesen Prozess auch mit einem MSI-Befehl zum Durchführen einer unbeaufsichtigten Deinstallation auf dem verwalteten Gerät automatisieren:

C:\>msiexec.exe /q /uninstall {97E2CA7B-B657-4FF7-A6DB-30ECC73E1E28}

Wenn Legacy-LAPS durch manuelles Kopieren und Registrieren der Legacy-LAPS-CSE-DLL installiert wurde

In dieser Situation müssen Sie die Registrierung manuell aufheben und dann die Legacy-LAPS-CSE-DLL löschen:

regsvr32.exe /s /u AdmPwd.dll
delete AdmPwd.dll

Ggf. kann der Speicherort, in den die Legacy-LAPS-CSE-Binärdatei kopiert wurde, aus der Registrierung abgefragt werden. Beispiel:

C:\>reg.exe query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}" /v DllName

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}
    DllName    REG_EXPAND_SZ    C:\windows\system32\AdmPwd.dll

Siehe auch

Nächste Schritte