none
Lokale Anmeldung LAPS User nach verlieren der Vertrauensstellung RRS feed

  • Frage

  • Hallo zusammen,

    wir haben vor einiger Zeit bei uns im Unternehmen (>13.000 Clients) mit LAPS ausgestattet. Generell funktioniert das auch ganz gut, gelegentlich macht es jedoch auch Probleme.

    Und zwar wenn ein Client die Vertrauensstellung zu Domäne verliert. Eine Anmeldung mit den LAPS Daten aus dem AD ist dann nicht mehr möglich. Die Fehlermeldung lautet dann sinngemäß "Kennwort falsch".

    Wenn ich das Konzept von LAPS verstehe, dann wird ein neues Kennwort nur bei bestehender AD Anbindung angepasst, sollte die nicht bestehen ändert sich das Kennwort des lokalen LAPS-Admin nicht.

    Der jetzige Lösungsansatz ist, einen zusätzlichen lokalen Admin über Powershell anzulegen. Würde aber das ganze Thema LAPS wieder hinfällig machen.

    Ist hier jemand schon einmal mit diesem Problem konfrontiert worden und hat eine Lösung dafür geschaffen?

    Viele Grüße,

    Stefan

    Dienstag, 23. April 2019 14:00

Antworten

Alle Antworten

  • Hi Stefan

    Wenn ein Client die Vertrauensstellung zur Domain verliert, also nicht mehr in der Domain ist, so nehme ich an, geht das PW aus LAPS nicht mehr. Meiner Meinung nach überprüft Client das Passwort beim Anmelden mit dem im AD gespeicherten Passwort ab. Wenn der Client nicht mehr in der Domain ist, kann dieser "Abgleich" nicht stattfinden. 

    Wir haben gleiche Probleme, lösen diese mit dem Restore des Computerkontos. Danach sollte eine Anmeldung wieder möglich sein.

    Gruss

    DaHa

    Dienstag, 23. April 2019 14:32
  • Hallo Stefan,

    Microsoft beschreibt es eigentlich so, das nur bei erfolgreicher Änderung im AD das Lokale KW geändert wird. Rein Hypothetisch wäre es möglich, das ein Gerät nach dem ändern im AD und vor dem lokalen ändern abstürzt. Diese Wahrscheinlichkeit ist aber eigentlich extrem gering. Ein möglicher Lösungsansatz, wäre einmal die Woche eine LAPS Passwortliste mit der PowerShell zu erstellen und testen ob das alte Funktioniert. Wie viele Clients Betrifft das bei dir?

    Was ich auch schon mal hatte, war ein Client der nur noch "Halb" im AD hing. Das bedeutet, das Computerkonto konnte sich noch anmelden, ein Benutzer am Computer schon nicht mehr. Hastdu mal in diese Richtung geschaut?


    Viele Grüße
    Fabian Niesen
    ---
    Infrastrukturhelden.de
    LinkedIn - Xing - Twitter
    #Iwork4Dell - Opinions and Posts are my own

    Mittwoch, 24. April 2019 05:32
  • Wir haben gleiche Probleme, lösen diese mit dem Restore des Computerkontos. Danach sollte eine Anmeldung wieder möglich sein.

    Was meinst du genau mit Restore? Das Computerkonto aus einem Backup holen?
    Mittwoch, 24. April 2019 11:14
  • Microsoft beschreibt es eigentlich so, das nur bei erfolgreicher Änderung im AD das Lokale KW geändert wird. Rein Hypothetisch wäre es möglich, das ein Gerät nach dem ändern im AD und vor dem lokalen ändern abstürzt. Diese Wahrscheinlichkeit ist aber eigentlich extrem gering. Ein möglicher Lösungsansatz, wäre einmal die Woche eine LAPS Passwortliste mit der PowerShell zu erstellen und testen ob das alte Funktioniert. Wie viele Clients Betrifft das bei dir?

    Was ich auch schon mal hatte, war ein Client der nur noch "Halb" im AD hing. Das bedeutet, das Computerkonto konnte sich noch anmelden, ein Benutzer am Computer schon nicht mehr. Hastdu mal in diese Richtung geschaut?

    Die Idee mit der Passwortliste ist eine Überlegung wert, hast du da ggf. ein Beispiel an dem ich mich orientieren kann? Bin in Powershell leider nicht so bewandert.

    Den von dir geschilderten Fall hatten wie, soweit ich das mitbekommen habe, bisher noch nicht. Werde aber unseren Service Desk mal darauf hinweisen und prüfen lassen, wenn ein ähnliches Problem auftritt.

    Mittwoch, 24. April 2019 11:16
  • Am 24.04.2019 schrieb snoop87:

    Die Idee mit der Passwortliste ist eine Überlegung wert, hast du da ggf. ein Beispiel an dem ich mich orientieren kann? Bin in Powershell leider nicht so bewandert.

    Steht in diesem Artikel weiter unten:
    https://www.faq-o-matic.net/2015/07/01/laps-lokales-admin-passwort-endlich-sicher/

    Servus
    Winfried


    WSUS Package Publisher:
    https://github.com/DCourtel/Wsus_Package_Publisher
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren:
    https://github.com/JochenKalmbach/communitybridge
    GP-PACK - PRIVACY AND TELEMETRIE: http://www.gp-pack.com/

    Mittwoch, 24. April 2019 14:21