none
LAPS RRS feed

  • Frage

  • Hallo,
    eine Frage zu LAPS.

    Zieht das nur für den Build In Administrator Account oder kann man z.B. auch einen oder mehrere andere Accounts definieren für den das angewendet wird?

    Danke und Gruß
    Dennis
    Donnerstag, 27. Februar 2020 09:38

Antworten

Alle Antworten

  • Ggf. hilft dieser Eintrag:
    https://www.msxfaq.de/windows/endpointsecurity/laps.htm
    Donnerstag, 27. Februar 2020 09:40
  • OK. Wenn ich die nicht Konfiguriere nimmt er den lokalen Built-In Account, sprich Administrator.
    Ich kann auch einen anderen definieren. Aber so wie ich sehe dann wirklich nur einen !!!
    Oder hat jemand andere Erfahrungen?

    Donnerstag, 27. Februar 2020 09:50
  • Nö. Kannst wirklich nur einen definieren.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert HaschkeD Donnerstag, 27. Februar 2020 09:52
    Donnerstag, 27. Februar 2020 09:52
  • Wozu würdest Du mehrere brauchen? Ein lokaler (!) Admin-Account ist nur für Notfälle, und da reicht dann einer.

    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    Samstag, 7. März 2020 17:25
    Beantworter
  • Wozu würdest Du mehrere brauchen? Ein lokaler (!) Admin-Account ist nur für Notfälle, und da reicht dann einer.
    Da gibt es diverseste Support-Konzepte ;-) Aber klar, in einer besseren Welt reicht ein lokaler Admin, von dem man weiß (oder hofft), dass man ihn nie benutzen wird.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Sonntag, 8. März 2020 08:31
  • Außer für "Rechte Maustaste"->Als Administrator ausführen;-).
    Sonntag, 8. März 2020 11:34
  • Per Default ist der Built-In Administrator ja glaube ich deaktiviert.
    Was wäre dann der Fall wenn man wirklich mal lokal per Admin zugreifen müsste?
    Montag, 9. März 2020 07:21
  • Der Builtin-Admin ist nur für eine Dialog-Anmeldung deaktiviert.
    Für die Ausführung "Als Admin" ist das dann unerheblich.

    Montag, 9. März 2020 09:25
  • OK, aber was wenn ich mal wirklich lokal mich anmelden muss mit Admin-Rechten?
    Solange der in der Domäne ist ok. Aber kann ja sein das er auch mal seine Mitgliedschaft verliert.
    Montag, 9. März 2020 09:34
  • Moin,

    in einer Domain-Umgebung entscheidest Du und steuerst es mittels Group Policy, ob das Built-In Admin-Account deaktiviert wird oder nicht. Im Prinzip geht es nur darum, ob man

    • das Built-In-Adminkonto aktiviert und das Kennwort per LAPS steuert, oder
    • das Built-In-Adminkonto deaktiviert läßt, ein neues anlegt und dessen Kennwort per LAPS steuert

    Allerdings kann man diesen neuen Account nicht per GPO anlegen, sondern es muss mit anderen Mitteln geschehen.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 9. März 2020 09:45
  • OK.
    Aber ich kann doch neue User auch mittels GPO anlegen lassen und dann in der LAPS GPO definieren das dieser Account per LAPS das Kennwort bekommt oder?
    Montag, 9. März 2020 09:50
  • Aber ich kann doch neue User auch mittels GPO anlegen lassen 
    Nein.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 9. März 2020 09:54
  • Sorry, hatte ich verwechselt mit "Gruppenmitgliedschaften ändern" :-)
    Montag, 9. März 2020 09:56
  • Hab mal versucht einen neuen User per Laps ein PW zu verpassen. Scheint aber nicht zu gehen. Gibts da irgend ne Debug Möglichkeit? GPO ist korrekt an der Teststation verknüpft. Was wäre wenn ich zwei GPOs mit einer Laps Konfiguration an eine Station binde? Eine die dem Build In Admin ein PW vergibt und eine GPO die einem anderen ein PW vergibt?
    Sonntag, 12. Juli 2020 15:02
  • Moin,

    re Logging: https://4sysops.com/archives/part-2-faqs-for-microsoft-local-administrator-password-solution-laps/

    re zwei GPOs: Es wird auch hier ein "resultant set of policy" gebildet und ausgeführt. D.h. die Einstellung, die näher an das Objekt verknüpft ist oder eine höhere Priorität hat, gewinnt.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert HaschkeD Montag, 13. Juli 2020 12:28
    Sonntag, 12. Juli 2020 16:51