Health Report erstellen für Local Administrator Password Solution (LAPS)

    Local Administrator Password Solution (LAPS)Bei LAPS handelt es sich um ein kosten­loses Tool von Microsoft, das für lokale Admin-Konten auf jedem PC ein zufäl­liges Pass­wort erzeugt. Aller­dings kann man nicht so ein­fach erkennen, ob der Mecha­nismus auf jedem Rechner funk­tioniert. Abhilfe schafft hier ein PowerShell-Script, das einen Health-Report erstellt.

    LAPS soll verhindern, dass Admini­stratoren aus Bequemlichkeit auf allen Workstations oder Servern für privilegierte lokale Konten das gleiche Passwort vergeben. Das Tool generiert stattdessen für jeden Client ein zufälliges Kennwort, das regelmäßig erneuert wird.

    Dazu benötigt die Local Administrator Password Solution ihre eigene Client Side Extension für die Gruppen­richtlinien, ein ADMX-Template, ein AD-Attribut zum Speichern der Kennwörter sowie ein PowerShell-Modul (siehe dazu: Lokale Administrator-Passwörter zentral verwalten mit LAPS).

    In Umgebungen mit vielen Rechnern können Admins nicht für jeden PC manuell prüfen, ob LAPS reibungslos funktioniert. Der Microsoft-Programmierer, der LAPS entwickelt hat, legte daher nun ein PowerShell-Script nach, das einen Health-Report erzeugt.

    Beispielbericht für LAPS, erzeugt vom PowerShell-Script

    Dieses erfordert seinerseits erst die Installation des Moduls S.DS.P und setzt voraus, dass es von einem Benutzer ausgeführt wird, der Lesezugriff auf die AD-Attribute ms-Mcs-AdmPwd und ms-Mcs-AdmPwdExpirationTime hat.

    Das Script ist nicht allzu umfangreich und kann von diesem TechNet-Blog kopiert werden. Bevor man es ausführt, sollte man die Pfade und den Domänen­namen für seine Umgebung anpassen. Trägt man einen gültigen SMTP-Server ein, dann kann man sich den Report per Mail zuschicken lassen.

    Keine Kommentare