Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Windows Local Administrator Password Solution (Windows LAPS) hilft Ihnen, lokale Administratorkennwörter auf Windows-Geräten mit Microsoft Entra ID oder Active Directory sicher zu verwalten. In diesem Artikel wird erläutert, wie Sie von älteren Microsoft LAPS zu Windows LAPS migrieren, um die Sicherheit und Verwaltung zu verbessern.
Es ist möglich, sowohl Windows LAPS als auch Legacy-LAPS parallel nebeneinander zu verwenden. Damit das Parallelszenario erfolgreich ist, müssen beide Richtlinien auf unterschiedliche lokale Konten abzielen. Ihr langfristiges Ziel sollte jedoch darin bestehen, von Legacy-LAPS zu Windows LAPS zu migrieren.
Prerequisites
Bevor Sie mit dem Migrationsprozess beginnen, stellen Sie sicher, dass Sie Windows LAPS konfiguriert haben. Weitere Informationen finden Sie unter "Erste Schritte mit Windows LAPS und Microsoft Entra ID " oder "Erste Schritte mit Windows LAPS" und Windows Server Active Directory.
Szenarien: Migration von Legacy-LAPS zu Windows LAPS auf vorhandenen Geräten
Microsoft empfiehlt die Migration von Legacy-LAPS zu Windows LAPS. In diesem Abschnitt werden Verfahren zum Durchführen dieser Migration auf vorhandenen Geräten beschrieben.
Es gibt zwei grundlegende Ansätze, die hierfür genutzt werden können. Der erste Ansatz ist der sofortige Übergang, während der zweite Ansatz eine Koexistenzphase beinhaltet, auf die der endgültige Übergang folgt.
Ansatz des sofortigen Übergangs
Sie können mit dem folgenden Prozess von legacy LAPS zu Windows LAPS auf vorhandenen Geräten migrieren:
- Deaktivieren oder entfernen Sie die alte LAPS-Richtlinie.
- Erstellen und Anwenden einer Windows LAPS-Richtlinie.
- Überwachen Sie das verwaltete Gerät, um einen erfolgreichen Übergang zu bestätigen.
- Entfernen Sie die ältere LAPS-Software.
Die ersten beiden Schritte sollten gleichzeitig (oder so kurz nacheinander wie möglich) ausgeführt werden.
Der einfachste Ansatz beim Konfigurieren der Windows LAPS-Richtlinie besteht darin, sie auf dasselbe Konto anzuwenden, das zuvor in der Legacy-LAPS-Richtlinie verwendet wurde. Wenn Sie sich für ein anderes Konto entscheiden, müssen Sie das neue Konto erstellen, bevor Sie die Windows LAPS-Richtlinie anwenden. Das erste Konto sollte entfernt werden, wenn es nicht mehr benötigt wird.
Die Windows LAPS-Richtlinie kann auch mit Features konfiguriert werden, z. B. mit der Sicherung in Microsoft Entra ID oder der Aktivierung der Active Directory-Kennwortverschlüsselung, die mit Legacy-LAPS nicht verfügbar waren.
Wenn eine Windows LAPS-Richtlinie zum ersten Mal angewendet wird, führt das verwaltete Gerät eine sofortige Rotation des Kennworts für das lokale Konto durch. Weitere Informationen finden Sie unter Anwenden einer Windows LAPS-Richtlinie auf ein neues Clientgerät. You should monitor the managed device to ensure the transition is successful.
Sobald der Übergang abgeschlossen ist, sollte der letzte Schritt darin bestehen, die ältere LAPS-Software vom verwalteten Gerät zu entfernen.
Ansatz der vorübergehenden Koexistenz
Möglicherweise möchten Sie ein schrittweises Migrationsverfahren von älteren LAPS zu Windows LAPS implementieren. Die allgemeinen Schritte zum Ausführen dieses Übergangs auf vorhandenen Geräten lauten wie folgt:
- Konfigurieren Sie das verwaltete Gerät mit einem zweiten lokalen Konto.
- Erstellen und Anwenden einer Windows LAPS-Richtlinie.
- Überwachen Sie das verwaltete Gerät, um eine erfolgreiche Anwendung der Windows LAPS-Richtlinie zu bestätigen.
- Deaktivieren oder entfernen Sie die alte LAPS-Richtlinie.
- Entfernen Sie die ältere LAPS-Software.
- Entfernen Sie das zusätzliche Konto.
Bei diesem Ansatz müssen Sie ein zweites lokales Konto erstellen, da sowohl eine Windows LAPS-Richtlinie als auch eine ältere LAPS-Richtlinie für dasselbe Konto nicht unterstützt werden.
Nachdem Sie bestätigt haben, dass Windows LAPS ordnungsgemäß funktioniert, können Sie das verwaltete Gerät so lange wie erforderlich verlassen, bevor Sie die restlichen Migrationsschritte ausführen.
Überwachen eines erfolgreichen Übergangs
Es gibt mehrere Ansätze zur Überwachung für ein erfolgreiches Ergebnis, sobald Sie ein verwaltetes Gerät auf eine Windows LAPS-Richtlinie umstellen:
- Sie können den Windows LAPS-Ereignisprotokollkanal des verwalteten Geräts auf erfolgreiche Kennwortaktualisierungsereignisse überwachen (für Microsoft Entra ID oder AD). Eine zentrale Lösung für die Ereignisprotokollsammlung kann hier hilfreich sein.
- Beim Speichern von Kennwörtern in Active Directory können Sie nach dem Erscheinungsbild eines neuen oder aktualisierten
msLAPS-PasswordExpirationTimeAttributs im AD-Computerobjekt des verwalteten Geräts suchen. Zum Automatisieren dieser Analyse kann das PowerShell-CmdletGet-LapsADPasswordverwendet werden. - Beim Speichern von Kennwörtern in der Microsoft Entra-ID können Sie die Microsoft Entra-ID oder die Intune-Verwaltungsportale überprüfen, um sicherzustellen, dass das Gerätekennwort aktualisiert wird. Zum Automatisieren dieser Analyse kann das PowerShell-Cmdlet
Get-LapsAADPasswordverwendet werden.
Entfernen der älteren LAPS-Software von einem verwalteten Gerät
Welche Schritte genau zum Entfernen der Legacy-LAPS-Software von einem verwalteten Gerät erforderlich sind, hängt davon ab, wie diese Software ursprünglich installiert wurde.
Wenn Sie ältere LAPS mithilfe des MSI-Installationspakets installiert haben, können Sie die ältere LAPS-Software manuell von Programmen deinstallieren oder den folgenden Befehl über die Befehlszeile ausführen, die als Administrator auf dem Gerät ausgeführt wird:
msiexec.exe /q /uninstall {97E2CA7B-B657-4FF7-A6DB-30ECC73E1E28}Wenn Sie ältere LAPS installiert haben, indem Sie die ältere LAPS-CSE-Datei
AdmPwd.dllmanuell kopieren und registrieren, müssen Sie die Registrierung manuell aufheben und dann löschenAdmPwd.dll. Führen Sie den folgenden Befehl über die Befehlszeile aus, die als Administrator auf dem Gerät ausgeführt wird. Wenn Sie an einen anderen Speicherort kopiertAdmPwd.dllhaben, müssen Sie den Pfad entsprechend anpassen. Sie finden den Speicherort der Datei, indem Sie den RegistrierungsschlüsselHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}auf denDllNameWert überprüfen.regsvr32.exe /s /u AdmPwd.dll delete C:\windows\system32\AdmPwd.dll