Windows LAPS
Windows LAPS (Local Administrator Password Solution) er en tjeneste som automatisk skifter passord på Builtin Local Administrator kontoen på alle servere og klienter. Windows LAPS kom i 11 april 2023 og erstatter den tidligere løsningen som nå heter "Legacy Microsoft LAPS".
Windows LAPS er innebygd i operativsystemet og konfigureres normalt i Intune, mens Microsoft LAPS måtte installeres på alle klienter og ble konfigurert med GPO.
Windows LAPS krever at alle DCer er på minst Windows Server 2019, og klientene må minst være Windows 10 oppdatert til 11 April 2023 .
Teknisk beskrivelse av LAPS konfigurering
Utvid skjema med:
Update-LapsADSchema
Gi Computers rettighet til å oppdatere passordet sitt i AD:
Set-LapsADComputerSelfPermission -Identity "OU=YourComputerContainer,DC=yourdomain,DC=no"
Nedenfor beskrives to måter å konfigurere LAPS på, avhengig av om dere benytter kun AD, eller om dere benytter Intune.
Konfigurerering av LAPS hvis du ikke har Intune og klientene ligger i on-prem AD:
Åpne Group Policy Management Tool og enten lag en ny policy eller bruk en eksisterende. Åpne følgende setting:
Computer Configuration > Policies > Administrative Templates > System > LAPS
Hvis du ikke finner LAPS under System, kopier ADMX filene fra
C:\Windows\PolicyDefinitions
til central store
:\\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions
Sett Scope til gruppen med enheter som skal ha Windows LAPS (test gjerne med en liten gruppe først)
Vår anbefalte LAPS konfigurasjon for AD:
Configure password backup directory = Active Directory
Password Settings = Enable
Name of administrator account to manage = [Blank verdi for Administrator, men oppdater hvis dere har endret navn på lokal administrator]
Vurder om dere ønsker å sette noen av de andre innstillingene.
For å raskt oppdatere en enhet under testing av LAPS, kjør:
Invoke-LapsPolicyProcessing
Konfigurerering av LAPS hvis du har Intune og klientene ligger i Azure AD/Entra ID:
Åpne portal.azure.com og naviger til
Microsoft Entra ID > Devices > Device Settings
Sett følgende setting:
Enable Microsoft Entra Local Administrator Password Solution (LAPS) = Yes
Åpne intune.microsoft.com og naviger til
Endpoint Security > Account Protection
Create a new policy:
Platform = Windows
Profile = Local admin password solution (Windows LAPS)
Name = [ønsket navn]
Vår anbefalte LAPS konfigurasjon for Intune:
Backup Directory > Backup the password to Azure AD only
Password Age Days > 30
Administrator Account Name > Endre kun hvis Administrator er renamet
Password Complexity > Passphrase (long words)
Passphrase Length > 3 (tre ord)
Password Length > 8 (tre ord på åtte tegn hver gir 24 tegn)
Post Authentication Actions > Reset password and log off the managed account
Post Authentication Reset Delay > 1
Scope Tags > Sett som ønsket eller skip
Assignments > Legg til gruppen med devices som skal ha Windows LAPS (test gjerne med en liten gruppe først)
Det er mange steder å se passordet:
portal.azure.com > Microsoft Entra ID > Devices > Local Administrator Password Recovery
portal.azure.com > Microsoft Entra ID > Devices > All Devices > [device] > Local administrator Password Recovery
intune.microsoft.com > Devices > All Devices > [device] > Local Admin Password
Det er også mulig å bruke Powershell og Microsoft Graph, men disse krever litt konfigurering som vi ikke tar med her.
Konfigurerering av LAPS hvis du har både Intune og Azure AD/Entra ID:
Vi anbefaler å kun konfigurere Intune og sende passordene til Azure AD.
Det er også mulig å ha f.eks klienter i Intune gruppen og serverene i AD gruppen. Viktig at ikke både Intune og GPO konfigurer samme enhet.
Artikler