Tags: Rechteverwaltung, Active Directory, Gruppenrichtlinien, Troubleshooting
Bei LAPS handelt es sich um ein kostenloses Tool von Microsoft, das für lokale Admin-Konten auf jedem PC ein zufälliges Passwort erzeugt. Allerdings kann man nicht so einfach erkennen, ob der Mechanismus auf jedem Rechner funktioniert. Abhilfe schafft hier ein PowerShell-Script, das einen Health-Report erstellt.
LAPS soll verhindern, dass Administratoren aus Bequemlichkeit auf allen Workstations oder Servern für privilegierte lokale Konten das gleiche Passwort vergeben. Das Tool generiert stattdessen für jeden Client ein zufälliges Kennwort, das regelmäßig erneuert wird.
Dazu benötigt die Local Administrator Password Solution ihre eigene Client Side Extension für die Gruppenrichtlinien, ein ADMX-Template, ein AD-Attribut zum Speichern der Kennwörter sowie ein PowerShell-Modul (siehe dazu: Lokale Administrator-Passwörter zentral verwalten mit LAPS).
In Umgebungen mit vielen Rechnern können Admins nicht für jeden PC manuell prüfen, ob LAPS reibungslos funktioniert. Der Microsoft-Programmierer, der LAPS entwickelt hat, legte daher nun ein PowerShell-Script nach, das einen Health-Report erzeugt.
Dieses erfordert seinerseits erst die Installation des Moduls S.DS.P und setzt voraus, dass es von einem Benutzer ausgeführt wird, der Lesezugriff auf die AD-Attribute ms-Mcs-AdmPwd und ms-Mcs-AdmPwdExpirationTime hat.
Das Script ist nicht allzu umfangreich und kann von diesem TechNet-Blog kopiert werden. Bevor man es ausführt, sollte man die Pfade und den Domänennamen für seine Umgebung anpassen. Trägt man einen gültigen SMTP-Server ein, dann kann man sich den Report per Mail zuschicken lassen.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
Weitere Links