blog.icewolf.ch

Let's talk about IT!
posts - 1362, comments - 295, trackbacks - 0

My Links

Archives

Post Categories

icewolf

Tuesday, January 01, 2019

Local Admin Password Solution (LAPS)

Hallo zusammen,

In grossen Unternehmen werden die Computer automatisiert aufgesetzt. Das bedeutet also, dass eine grosse Anzahl von Client Computern mit demselben lokalen Administrator Password aufgesetzt sind. Oft ist dieses Passwort dem Helpdesk bekannt und dort gibt es meist eine grosse Fluktuation. Nach jedem Personalwechsel müsste also das Lokale Admin Passwort geändert werden. Das geschieht jedoch nicht, weil entsprechende Prozesse oder Tools fehlen.

Hier kommt nun Local Admin Password Solution (LAPS) ins Spiel. Die Software gibt es schon seit 2015 und im folgenden Blog Artikel zeige ich euch wie das funktioniert.

Local Administrator Password Solution (LAPS)
https://www.microsoft.com/en-us/download/details.aspx?id=46899

Local Administrator Password Solution
https://technet.microsoft.com/en-us/mt227395.aspx

Nach dem Herunterladen habt ihr folgende Dateien auf eurem Computer

Installation auf dem Admin Computer

Da gleich noch das Active Directory Schema aktualisiert und eine Group Policy angelegt werden muss, mache ich das auf dem Domain Controller.

Ich installiere alle Optionen

Active Directory Schema aktualisieren

Mit den folgenden Befehlen wird das Active Directory Schema aktualisiert

Import-module AdmPwd.PS
Get-Module
Update-AdmPwdADSchema

Mit dem Attribut Editor sieht man die beiden neuen Attribute

ms-Mcs-AdmPwd
ms-Mcs-AdmPwdExpirationTime

Nun muss noch den Computern das Recht erteilt werden, die Attribute selbst zu befüllen.

Set-AdmPwdComputerSelfPermission -OrgUnit "OU=Icewolf Users,DC=corp,DC=icewolf,DC=ch"

Group Policy

Nun muss noch die Group Policy erstellt werden.

Ich hatte erwartet, dass das ADMX File im Programm Verzeichnis zu finden ist.

Es befindet sich jedoch dort, wo ADMX Files hingehören.

C:\Windows\PolicyDefinitions\AdmPwd.admx
C:\Windows\PolicyDefinitions\en-US\AdmPwd.adml

Die beiden Dateien müssen nun in den PolicyDefinitions Ordner der Active Directory Domain kopiert werden.

\\corp.icewolf.ch\SYSVOL\corp.icewolf.ch\Policies\PolicyDefinitions

Nun kann eine neue Gruppenrichtlinie angelegt werden.

Client Installation

Auf dem Client muss die LAPS DLL installiert werden.

msiexec /i D:\temp\LAPS.X64.msi /quiet

Dadurch wird die AdmPwd.dll auf den Client kopiert und registriert.

Nun aktualisiere ich die GPO auf dem Client und starte den Client neu.

Resultat

Im Attribute Editor vom Acitvie Directory sieht man, dass es geklappt hat.

Den Datumswert kann man mit dem folgenden PowerShell Befehl umrechnen

Get-Date 131934998314842248 -UFormat "%D %R"

Mit dem GUI sucht man einfach nach dem Computernamen und dann wird einem das Admin Passwort und das ExpireDate angezeigt

Das ganze geht auch mit Powershell

Import-module AdmPwd.PS
Get-Module
Get-Command -Module AdmPwd.PS
Get-AdmPwdPassword -ComputerName ICE10

Delegation der AD Rechte um das Admin Passwort auszulesen

Nicht jeder soll ja das Lokale Admin Passwort auslesen können. Also delegiere ich der Helpdesk Gruppe G-IcewolfAdmin die Rechte das Passwort auszulesen.

Set-AdmPwdReadPasswordPermission -Identity:"OU=Icewolf Users,DC=corp,DC=icewolf,DC=ch" -AllowedPrincipals:CORP\G-IcewolfAdmin

Nun schaue ich mir die Rechte im Active Directroy auf der OU "corp.icewolf.ch/Icewolf Users" an

Alles klar, die Gruppe darf das Attribut lesen

Grüsse
Andres Bohren

posted @ Wednesday, January 02, 2019 8:21 PM | Filed Under [ Security Windows ]

Backup Exec 20.3 Revision 1188 Hotfix 100044342

Hallo zusammen,

Für Backup Exec 20.3 gibt es seit mitte Dezember einen Hotfix

Backup Exec 20.3 Revision 1188 Hotfix 100044342

Leider hatte ich erstmal Zuwenig freier Speicher auf mener Harddisk. By the Way: Die Updates von Veritas Update werde in folgenden Pfad heruntergeladen: C:\ProgramData\Veritas\Backup Exec\20.0\VxUpdate\Downloads

Habe dann den Speicher freigemacht und den Hotfix Manuell installiert

In der Nachfolgenden Tabelle sieht man die Neuerungen. Unter anderem sind nun Backups von Windows Server 2019 und Exchange Server 2019 möglich.

Kurze Kontrolle ob der Hotfix auch wirklich installiert ist.

Nun müssen natürlich noch die Agents aktualisiert werden.

 Der Agent kann ansonsten auch über \\BackupExecServer\C$\Program Files\Symantec\Backup Exec\Agents aktualisiert werden.

Grüsse
Andres Bohren

posted @ Wednesday, January 02, 2019 11:17 AM | Filed Under [ System Management ]

Jahresrückblick und Blogstatistik 2018

Hallo zusammen,

Erstmal wünsche ich allen Lesern dieses Blogs "Es Guets Nöis"!

Ich hoffe euch gefällt das Blog auch weiterhin. Über Feedback freue ich mich natürlich immer!

Anfangs des Jahres ist es jeweils ein guter Zeitpunkt um auf das alte Jahr zurückzuschauen. Seit nun 11 Jahren schreibe ich Blog Artikel und habe insgesamt über 1'350 Beiträge geschrieben. Im 2018 habe ich 82 Blog Artikel geschrieben, also durchschnittlich knapp 7 pro Monat - wieder ein bisschen mehr als letztes Jahr.

Im letzten Jahr habe ich rund 1'500 KM auf dem Bike zurückgelegt und bin dafür etwa 85 Stunden im Sattel gesessen. Ausserdem bin viel Gereist. Ich war in Mayrhofen, Sardinien, Hurgada und Prag. Habe in Sardinien und Hurgada zusammen 24 wunderschöne Tauchgänge absolviert.

Beruflich habe ich mich weiterhin viel mit Office 365 beschäftigt, einiges zu Azure gelernt und unsere Services in ein neues Datacenter migriert.

Im 2018 habe ich zwei Microsoft Prüfungen bestanden und somit meine 32ste Prüfung absolviert. Ich habe "70-744 Securing Windows Server 2016" und "AZ-100 Microsoft Azure Infrastructure and Deployment" bestanden. Damit bin ich zum MCSE: Cloud Plattform und Infrastructure geworden.

Die Top 10 der Blogartikel 2018

Grüsse
Andres Bohren

posted @ Tuesday, January 01, 2019 1:07 PM | Filed Under [ Web ]

Powered by:
Powered By Subtext Powered By ASP.NET