none
LAPS Local Administrator Password Solution RRS feed

  • Frage

  • Hallo,

    ich teste gerade die Umsetzung von LAPS. Durch GPO werden auf den jeweiligen Client Computern lokale Benutzer Admin in Admin_%Computername% umbenannt und durch eine weitere GPO in die Gruppe der Lokalen Administratoren eingetragen.

    Mein Problem bei der anzuwenden LAPS GPO ist, wenn ich den Namen Administrator Account Name Admin_%COMPUTERNAME% eintrage, bekomme ich auf dem jeweiligen Clienten in der Ereignis Anzeige Anwendungen den Fehler: Could not get local Administrator account. Error: 0x80070534

    Wird von der Laps CSE die Variable %Computername% nicht unterstützt?

    VG, Karsten.

    Dienstag, 8. September 2020 13:28

Antworten

  • Naja, dann setz den Account-Namen halt nicht über Administrative Vorlagen, sondern direkt per GPP Registry. Da kannst %computername% problemlos verwenden, wird beim Schreiben des Werts dann aufgelöst.

    HKLM\Software\Policies\Microsoft Services\AdmPwd: AdminAccountName


    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    • Als Antwort markiert Kwacker Donnerstag, 10. September 2020 07:05
    Mittwoch, 9. September 2020 08:25
    Beantworter

Alle Antworten

  • LAPS ist nicht Open Source, das weiß zunächst also nur der Entwickler. Und da das C++ ist und kein C#, kann man auch nicht einfach mal kurz reinschauen...

    Aber warum auch immer sollte der lokale Admin je nach Computer individuell benamst sein? Das individuelle Kennwort reicht völlig.


    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    Dienstag, 8. September 2020 13:45
    Beantworter
  • Zu bedenken ist auch, dass der Account "Administrator" seit Windows 8 intern bereits vergeben ist. Dies ist der Account, der beim Verwenden "Als Administrator ausführen" benutzt wird. Diesen kann man auch nicht ändern oder ersetzen. Man kann ihn nur aktivieren (was man unterlassen sollte) und ein Kennwort vergeben, was bei der Ausführung als Admin dann zusätzlich ein Kennwort erfordert.
    Dienstag, 8. September 2020 13:54
  • Zu bedenken ist auch, dass der Account "Administrator" seit Windows 8 intern bereits vergeben ist.

    Wohl eher seit NT ;-)

    Dies ist der Account, der beim Verwenden "Als Administrator ausführen" benutzt wird.

    Aber nur, wenn man auch als dieser Account angemeldet ist. Sonst wird der "elevated token" des eigenen Accounts verwendet.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Dienstag, 8. September 2020 18:20
  • Aber warum auch immer sollte der lokale Admin je nach Computer individuell benamst sein? Das individuelle Kennwort reicht völlig.

    ...zumal der vermeintlich individuelle Name ja nicht schwer abzuleiten ist ;-)

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Dienstag, 8. September 2020 18:21
  • Hallo,

    danke für die Antworten. Bin bei euch bei den Richtlinien für den lokalen Administrator.

    Aber das derzeitige Konzept bzw. die IT Richtlinien werden in dieser Umgebung halt nicht so einfach geändert werden. Es befinden sich AD Rechnerobjekte im hohen 6stelligen Bereich in dieser Umgebung und die Struktur hat sich über ganz viele Jahre so entwickelt;-)

    Ich hatte hier die Hoffnung, dass dieses Szenario in ähnlicher Form schon mal umgesetzt worden ist. 

    VG, Karsten.

    Mittwoch, 9. September 2020 07:43
  • Naja, dann setz den Account-Namen halt nicht über Administrative Vorlagen, sondern direkt per GPP Registry. Da kannst %computername% problemlos verwenden, wird beim Schreiben des Werts dann aufgelöst.

    HKLM\Software\Policies\Microsoft Services\AdmPwd: AdminAccountName


    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    • Als Antwort markiert Kwacker Donnerstag, 10. September 2020 07:05
    Mittwoch, 9. September 2020 08:25
    Beantworter
  • Hallo,

    Großartig! Vielen Dank. Gerade erfolgreich getestet.


    Donnerstag, 10. September 2020 07:05