Die Gewährleistung maximaler Sicherheit ist das Ziel in einer Unternehmensumgebung. Wenn wir mit Windows Server 2016 arbeiten, bieten zahlreiche Konfigurationen die Möglichkeit, diese Sicherheitsstufen sowohl auf Serverebene als auch auf Clientcomputern zu erhöhen .
Heute werden wir über ein spezielles Tool sprechen, das nur sehr wenige Administratoren kennen und das LAPS- Dienstprogramm ist .
Wir werden im Detail analysieren, wie LAPS in Windows Server 2016 implementiert wird, und wir werden dessen Funktionalität und Umfang kennen.
Dieses Tool speichert zentral die Passwörter der Administratoren und legt fest, welche Benutzer diese Passwörter lesen können, wodurch ein hohes Maß an Sicherheit und Datenschutz gewährleistet wird.
- Generieren Sie eindeutige Passwörter
- Speichern Sie sie sicher im Active Directory.
- Legen Sie die Passwörter nach dem Zufallsprinzip fest.
- Überprüfen Sie, ob das Kennwort des lokalen Administrators abgelaufen ist , um die Erneuerung fortzusetzen.
- Melden Sie dem Administrator den Status des Kennworts.
- Definieren Sie Passworteigenschaften wie Größe, Komplexität usw.
- Schützt vor versehentlichem Löschen von Client-Computern.
- Einfache Implementierung
- In Active Directory integriertes Sicherheitsmodell.
- Behalten Sie die Geschichte der Passwörter.
- Ermöglicht zusätzliche Verschlüsselungssysteme.
- Die von LAPS generierten Passwörter werden vom Kerberos-System geschützt , wodurch hohe Sicherheitsstandards garantiert werden.
- Aktivieren Sie die Active Directory- oder Active Directory-Rolle.
- Habe .NET Framework 4.0
- PowerShell 2.0
- Unterstützt alle Editionen von Windows auf Client- und Serverebene.
1. So installieren Sie LAPS in Windows Server 2016
Das LAPS- Tool kann über den folgenden Link heruntergeladen werden. Dort wählen wir die herunterzuladende Edition aus, 32 oder 64 Bit. In diesem Lernprogramm wird 64-Bit-Windows Server 2016 verwendet.
Sobald der Installer von unserem Team heruntergeladen wurde, führen wir ihn aus und das folgende Fenster wird angezeigt. Dort klicken wir auf Weiter und im nächsten Fenster akzeptieren wir die Lizenzbedingungen.
Klicken Sie erneut auf Weiter und wählen Sie dann zusätzliche LAPS-Funktionen aus oder nicht. Die erste Option, die uns die Verwaltung aller Computer in der Domäne ermöglicht, ist die AdmPwd-GPO-Erweiterung . Um eine dieser Funktionen zu aktivieren, klicken Sie darauf und wählen Sie die Option “Die gesamte Funktion wird auf der lokalen Festplatte installiert”.
Sobald diese Parameter definiert sind, klicken Sie auf Weiter und wir sind bereit für den Installationsprozess von LAPS in Windows Server 2016.
Klicken Sie auf die Schaltfläche Installieren , um den Vorgang zu starten, der nur sehr kurze Zeit dauert. Klicken Sie abschließend auf Fertig stellen , um den Assistenten zu beenden.
2. Erstellen von Verwaltungsgruppen in Windows Server 2016
Es ist die Idee, dass wir innerhalb unserer Struktur bestimmte Gruppen des Lesens und Schreibens in den Maschinen der Domäne haben.
Dazu greifen wir auf den Server-Manager zu und gehen dort zu Tools / Active Directory-Benutzer und -Computer. Dort werden wir in der Organisationseinheit TechnoWikis folgende Gruppen anlegen:
- LAPS PC R: Ermöglicht Lesezugriff.
- LAPS PC RW: Ermöglicht den Schreibzugriff.
- LAPS-Server: Hiermit können wir gegebenenfalls Server verwalten.
Der nächste Schritt ist das Erteilen von Berechtigungen für jede Gruppe . Dafür gibt es zwei Gruppen, die als Entwurf und Verwaltung bezeichnet werden. In der LAPS PC R-Gruppe werden beide Gruppen hinzugefügt:
In der LAPS PC RW-Gruppe wird nur die Verwaltungsgruppe hinzugefügt, die Änderungen vornehmen kann . Der Prozess der Bildung der Gruppen und der Hinzufügung von Mitgliedern ist allen bereits bekannt, weshalb wir nicht weiter darauf eingehen.
3. So erweitern Sie das Active Director-Schema in Windows Server 2016
Der nächste Schritt besteht darin, das Serverschema zu erweitern, damit die LAPS-Funktionen optimal und mit der Domäne kompatibel sind.
Um diese Aufgabe ausführen zu können, muss der Benutzer Mitglied der Gruppe der Schemaadministratoren sein. Nun muss eine Windows PowerShell-Konsole als Administrator geöffnet und der folgende Befehl eingegeben werden:
Update-AdmPwdADSchema
Wir erhalten das folgende Ergebnis: Auf diese Weise haben wir unser Schema im Active Directory erweitert. 
Import-Modul AdmPwd.PS
Der nächste Schritt besteht darin, den in den Organisationseinheiten untergebrachten Teams die Berechtigung zu erteilen, ihr Kennwort in Active Directory zu aktualisieren . Dazu führen wir das folgende Cmdlet aus:
Set-AdmPwdComputerSelfPermission -OrgUnit (Name OU)
Nachdem dies definiert wurde, müssen den erstellten Gruppen Berechtigungen zum Lesen oder Schreiben erteilt werden . Dafür verwenden wir das folgende Cmdlet:
Set-AdmPwdReadPasswordPermission -OrgUnit (OU-Name) -AllowedPrincipals "group"
In diesem Fall haben wir die beiden erstellten Gruppen hinzugefügt, und dieses Cmdlet gewährt Leseberechtigungen . Jetzt erteilen wir der LAPS PC RW-Gruppe Schreibberechtigungen, indem Sie das folgende Cmdlet eingeben. Wir sehen, dass die erforderlichen Genehmigungen erteilt wurden.
Set-AdmPwdResetPasswordPermission -OrgUnit TechnoWikis-AllowedPrincipals "LAPS PC RW"
4. Konfigurieren der Gruppenrichtlinie für die Verwaltung von Computern in Windows Server 2016
Als Nächstes erstellen wir die Gruppenrichtlinie, die uns Zugriff auf die zu verwaltenden Computer gewährt.
Dazu gehen wir zum Server Manager / Tools / Group Policy Management.
Dort wählen wir die zu bearbeitende Richtlinie aus, können eine neue Richtlinie erstellen oder die Standardrichtlinie verwenden, klicken mit der rechten Maustaste darauf und wählen Bearbeiten.
Im angezeigten Fenster gehen wir zur Route:
- Gerätekonfiguration
- Richtlinien
- Software-Konfiguration
Klicken Sie im folgenden Fenster mit der rechten Maustaste auf die Option Softwareinstallation und wählen Sie die Option Neu / Paket. 
Dort müssen Sie nach den von uns heruntergeladenen LAPS-Installationsprogrammen suchen. In diesem Fall haben wir sie in die Sysvol-Route kopiert: 
Wir wählen die Pakete aus und sehen die folgende Meldung. Wir lassen die Option standardmäßig und drücken OK.
Das in der Richtlinie konfigurierte LAPS-Paket wird angezeigt. Für Computer mit dieser Architektur muss das 32-Bit-LAPS-Paket kopiert werden . 
5. Bearbeiten der LAPS-Richtlinie in Windows Server 2016
Wenn alle diese Parameter konfiguriert sind, greifen wir erneut auf den Gruppenrichtlinien-Editor zu und haben im Pfad Teamkonfiguration / Richtlinien / Administrative Vorlagen / LPAS die Konfigurationsoptionen für LAPS: 
Dort finden wir auf der rechten Seite die verschiedenen umzusetzenden Richtlinien.
Als erstes wählen wir die Richtlinie Enable local admin password management (Verwaltung lokaler Administratorkennwörter aktivieren). Dies ist die wichtigste Richtlinie, da hierdurch die Verwaltung von Kennwörtern aktiviert werden kann. Wir doppelklicken darauf und aktivieren das Kontrollkästchen Aktiviert .
Klicken Sie auf Übernehmen , um die Änderungen zu speichern. Als Nächstes bearbeiten wir die Richtlinie mit dem Namen Kennworteinstellungen, da wir von dort aus die Art und Weise verwalten, wie das Kennwort zugewiesen werden soll.
Wir doppelklicken darauf und aktivieren zuerst die Richtlinie durch Aktivieren des Kontrollkästchens Aktiviert. Daraufhin werden die verschiedenen Einstellungsoptionen angezeigt:
Dort können wir die Länge des Passworts, die Dauer der Eingabe, Groß- und Kleinbuchstaben, Sonderzeichen usw. festlegen. Sobald diese Einstellungen definiert sind, klicken Sie auf Übernehmen / Akzeptieren , um die Änderungen zu speichern.
Beachten Sie, dass wir im zentralen Bereich Ratschläge dazu haben, welche Mindest- und Höchstwerte festgelegt werden müssen.
Mit dem Namen des Administratorkontos zum Verwalten der Richtlinie können wir den Namen des Administrators definieren, der die Kennwörter steuert, der sich jedoch standardmäßig vom Administrator des Systems unterscheiden muss.
Wenn wir keinen anderen Administrator haben, ändern wir dieses Passwort nicht.
Mit der letzten Richtlinie Die Gültigkeitsdauer des Kennworts darf nicht länger als in der Richtlinie festgelegt sein. Wir können festlegen, dass die Gültigkeitsdauer des Kennworts verlängert wird.
6. Aktualisieren der Richtlinie auf dem Clientcomputer in Windows Server 2016
Um Richtlinienänderungen auf Clientcomputern zu erzwingen, verwenden wir in diesem Fall Windows 10 den Befehl gpupdate / force an der Eingabeaufforderung. Die folgende Meldung wird angezeigt. Geben Sie den Buchstaben S ein , um den Computer neu zu starten und die Änderungen zu übernehmen. 
Um zu überprüfen, welche Gruppen Änderungen an den Kennwortrichtlinien vornehmen können, rufen Sie Windows PowerShell auf und führen zuerst den folgenden Befehl aus:
Find-AdmPwdExtendedRights -OrgUnit (Name OU)
Später, um die Berechtigungen im Detail zu sehen, verwenden wir das folgende Cmdlet. Dort haben wir die komplette Liste der Gruppen mit der Art des Zugriffs.
(Find-AdmPwdExtendedRights -OrgUnit (OU Name) .ExtendedRightHolders
Sie können überprüfen, ob der Besitz des Kennworts auf dem Clientcomputer geändert wurde, indem Sie die Option Active Directory-Benutzer und -Computer aufrufen, nach dem Clientcomputer suchen, mit der rechten Maustaste darauf klicken und die Option Eigenschaften / Attribut-Editor auswählen . Dort suchen wir nach den folgenden Zeilen. Wie wir sehen, sind sie noch nicht etabliert.
- ms-Mcs-Adm-pwd
- ms-Mcs-Adm-PwdExpirationTime
Sobald wir die Richtlinien auf dem Client-Computer aktualisiert haben, können wir feststellen, dass dem Computer bereits ein Kennwort zugewiesen wurde:
Auf diese Weise haben wir LAPS in Windows Server 2016 für die Verwaltung unserer Geräte konfiguriert. Die Verwendung und Konfiguration von Kennwörtern auf den Computern eines Servers ist sehr wichtig und daher ist es angebracht, sie in Windows Server zu kennen. Im Folgenden wird beschrieben, wie Sie Computer in Windows Server 2016 automatisch mit einem Kennwort sperren, um Ihre Sicherheit zu verwalten .
WServer automatische Blockierung
