2. Lösung für lokale Administratorkennworte (LAPS)
Local Administrator Password Solution (LAPS) ist eine Lösung von Microsoft zur Verwaltung von Kennwörtern für lokale Administratorkonten auf Computern, die mit der Domäne verbunden sind. LAPS generiert automatisch ein eindeutiges, zufälliges Kennwort für jedes lokale Administratorkonto auf jedem Computer in der Domäne und speichert es dann sicher in Active Directory (AD). Wenn Administratoren Zugriff benötigen, können sie Passwörter aus AD abrufen, wodurch das Risiko verringert wird, dass dasselbe Passwort auf mehreren Geräten verwendet wird.
Vorteile der Verwendung von LAPS für die Passwortverwaltung
Die Verwendung von LAPS hat mehrere Vorteile, darunter:
- Mit unterschiedlichen Passwörtern für jedes Gerät wird das Risiko von Cyberangriffen reduziert. Wenn ein Passwort kompromittiert wird, ist nur ein Gerät betroffen.
- LAPS automatisiert die Passwortverwaltung und reduziert die Notwendigkeit, Passwörter manuell zu speichern oder weiterzugeben.
- LAPS ermöglicht es Administratoren, Passwortänderungen und den Zugriff darauf zu überwachen, was die Transparenz und Verantwortlichkeit erhöht.
Schritte zum Konfigurieren von LAPS über Gruppenrichtlinien
Hier sind die Schritte zum Einrichten von LAPS über Gruppenrichtlinien:
1. LAPS-Installation:
- Laden Sie LAPS herunter und installieren Sie es auf Ihrem Verwaltungscomputer.
- Stellen Sie sicher, dass der LAPS-Agent auf allen Clientcomputern installiert ist.
2. Konfiguration der Gruppenrichtlinie:
- Öffnen Sie Group Policy Management Console (GPMC).
- Erstellen oder bearbeiten Sie eine neue Gruppenrichtlinienrichtlinie.
- Navigieren Sie zu Computer Configuration > Policies > Administrative Templates > LAPS.
- Legen Sie Optionen fest wie:
- Enable local admin password management: Aktivieren Sie die Kennwortverwaltung für lokale Administratorkonten.
- Password settings: Geben Sie die minimale Länge, Komplexität und maximale Gültigkeitsdauer des Passworts an.
3. Umsetzung der Politik:
- Nachdem die Richtlinie eingerichtet ist, stellen Sie sicher, dass die Richtlinie auf die entsprechende Organisationseinheit angewendet wird.
- Verwenden Sie den Befehl gpupdate /force auf dem Client, um die Richtlinie sofort anzuwenden.
4. Passwort-Zugang:
Administratoren können die LAPS-Benutzeroberfläche verwenden, um nach bestimmten Computern zu suchen und das lokale Kennwort des Administrators abzurufen oder das nächste Ablaufdatum zu ändern.