{"id":279853,"date":"2023-04-15T08:46:14","date_gmt":"2023-04-15T06:46:14","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=279853"},"modified":"2023-12-12T23:09:57","modified_gmt":"2023-12-12T22:09:57","slug":"laps-integration-per-april-2023-update-in-windows-rger-fr-administratoren","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/04\/15\/laps-integration-per-april-2023-update-in-windows-rger-fr-administratoren\/","title":{"rendered":"LAPS-Integration per April 2023-Update in Windows &#8211; &Auml;rger f&uuml;r Administratoren"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Windows\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" alt=\"Windows\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2023\/04\/15\/windows-laps-integration-via-april-2023-update-causes-trouble-for-administrators\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Microsoft hat mit dem April 2023-Patchday (11. April 2023) seine Local Administrator Password Solution (LAPS) direkt ins Windows Betriebssystem integriert. Erfolgte auf \"vielfachen Wunsch\" aus dem Kreis der Unternehmenskunden, wie es bei Microsoft hei\u00dft. Da dieser Schritt aber wohl unzureichend getestet wurde, haben Administratoren, die den alten LAPS-Client installiert hat, ein Problem. Im Nachgang fasse ich mal die Informationen zusammen, die mir inzwischen vorliegen.<\/p>\n<p><!--more--><\/p>\n<h2>LAPS nun in Windows integriert<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/146f6e2d86d64b65a59284a930153cc8\" alt=\"\" width=\"1\" height=\"1\" \/>Windows Local Administrator Password Solution (<a href=\"https:\/\/learn.microsoft.com\/en-us\/windows-server\/identity\/laps\/laps-overview\" target=\"_blank\" rel=\"noopener\">Windows LAPS<\/a>) ist ein Windows-Feature, mit dem das Kennwort eines lokalen Administratorkontos auf den in Azure Active Directory oder Windows Server Active Directory eingebundenen Ger\u00e4ten automatisch verwaltet und gesichert werden kann. Diese lokale Administratorkennwortl\u00f6sung (Local Administrator Password Solution, LAPS) von Microsoft stellt die Verwaltung der Kennw\u00f6rter lokaler Administratorkonten f\u00fcr in eine Dom\u00e4ne eingebundenen Computer bereit.<\/p>\n<p>Windows LAPS l\u00e4sst sich auch verwenden, um das Kennwort des DSRM-Kontos (Directory Services Repair Mode, Reparaturmodus f\u00fcr Verzeichnisdienste) auf Windows Server Active Directory-Dom\u00e4nencontrollern automatisch zu verwalten und zu sichern. Ein autorisierter Administrator kann das DSRM-Kennwort abrufen und verwenden. Kennw\u00f6rter werden zuf\u00e4llig in Active Directory (AD) angeordnet und gespeichert und durch ACLs gesch\u00fctzt.<\/p>\n<p>Bisher musste dazu ein Administrator aber einen entsprechenden Client unter Windows installieren. Nur in Windows 11 Insider Previews experimentierte Microsoft mit der Integration des LAPS-Clients im Betriebssystem. Zum 11. April 2023 wurde dann der LAPS-Client automatisch mit den kumulativen Sicherheitsupdates auf alle unterst\u00fctzten Windows-Systeme ausgerollt (siehe die am Artikelende verlinkte Beitr\u00e4ge zu den Sicherheitsupdates f\u00fcr Windows 10 und Windows 11\/Sever 2022). Microsoft hatte in den Support-Beitr\u00e4gen folgenden Hinweis gegeben:<\/p>\n<blockquote><p><b><i>New!<\/i> <\/b>This update implements the new Windows Local Administrator Password Solution (LAPS) as a Windows inbox feature.<\/p><\/blockquote>\n<p>Microsoft hatte den Techcommunity-Beitrag <a href=\"https:\/\/aka.ms\/AnnouncingWindowsLAPS\" target=\"_blank\" rel=\"noopener\">By popular demand: Windows LAPS available now!<\/a> zu diesem Thema ver\u00f6ffentlicht. Auf Grund von Kundenanforderungen habe man LAPS ab dem 11. April 2023 sowohl f\u00fcr Cloud- als auch f\u00fcr lokale Umgebungen in folgenden Betriebssystemen bereitgestellt.<\/p>\n<ul>\n<li>Windows 11 Pro, EDU und Enterprise<\/li>\n<li>Windows 10 Pro, EDU und Enterprise<\/li>\n<li>Windows Server 2022 und Windows Server Core 2022<\/li>\n<li>Windows Server 2019<\/li>\n<\/ul>\n<p>Damit wollte Microsoft den Administratoren ersparen, den betreffenden Client manuell installieren zu m\u00fcssen. Details \u00fcber die Neuerungen und Vorteile lassen sich im Techcommunity-Beitrag nachlesen. K\u00fcnftige Korrekturen oder Funktionsupdates will Microsoft \u00fcber die normalen Windows Updates bereitstellen. Eigentlich eine gute Idee, aber die Kommentarlage zum Blog-Beitrag von Jay Simmons in der Techcommunity zeigt, dass da Diskussionsbedarf besteht.<\/p>\n<h2>\u00c4rger, mit LAPS, da zu kurz gesprungen<\/h2>\n<p>Leider scheint dieser Schritt f\u00fcr Microsoft mal wieder ziemlich schief gelaufen zu sein. Hier im Blog hatte 1St1 bereits zum 12. April 2023 in <a href=\"https:\/\/borncity.com\/blog\/2023\/04\/12\/microsoft-security-update-summary-11-april-2023\/#comment-146152\">diesem Kommentar<\/a> Probleme angedeutet (danke daf\u00fcr, hatte das gesehen, aber keine Zeit, es sofort aufzugreifen), und zum 13. April 2023 in <a href=\"https:\/\/borncity.com\/blog\/2023\/04\/13\/microsoft-integriert-die-ai-exe-in-office-365-produkte-was-rger-machen-kann\/#comment-146282\" target=\"_blank\" rel=\"noopener\">diesem Kommentar<\/a> folgende Details zusammen gefasst:<\/p>\n<blockquote><p>Das neue LAPS funktioniert nicht nur mit einem lokale AD, sondern jetzt auch mit einem Azure-AD (bzw. Intune). Es \u00e4ndert nun auch das DSRM Passwort auf Domain-Controllern. Interessanterweise \u00e4ndert LAPS das lokale Admin-Passwort nun jedes Mal wenn man es benutzt hat, ich wei\u00df nicht, ob das ein bisschen zu viel des Guten ist. Au\u00dferdem unterst\u00fctzt es neue interessante GPO-Settings, man kann jetzt z.B. eine Passwort-History aktivieren, was interessant ist, wenn man ein System auf einen Zeitpunkt vor der letzten LAPS Passwort\u00e4nderung zur\u00fcck restoren muss. Details siehe unten in dem Link.<\/p>\n<p>Aber wer LAPS bereits einsetzt, hat f\u00fcr den LAPS Agent schon das eine oder andere automatische Deployment im AD etabliert, welches den bisherigen Agent auf einem System installiert, welches man neu installiert und ins AD aufgenommen hat. Da gibts jetzt ein Problem, installiert man den bisherigen LAPS Agent auf einem System mit den April-Updates, funktioniert LAPS nicht, es ist kaputt.<\/p>\n<p>Aber die L\u00f6sung ist recht einfach, man pr\u00fcft im Deployment-Script auf die Existenz von c:\\windows\\system32\\laps.dll und wenn vorhanden, bricht man das Script ab. LAPS wird dennoch mit dem nun in Windows fest integrierten LAPS Agent funktionieren, wenn man es schon in der Dom\u00e4ne eingeschaltet hat (entsprechende GPO-Settings, Schema-Erweiterung).<\/p>\n<p>Was mir noch nicht klar ist, ob die neuen GPO-Settings, insbesondere die LAPS Passwort History nochmal eine Erweiterung des Schemas brauchen. Ich habe dazu aber noch nicht alle Links gelesen, ich musste erstmal sicherstellen, dass der alte LAPS-Agent nicht mehr autodeployed wird, wenn bereits das April-2023-Update auf der Maschine ist. Diese erweiterten Settings sind im Screenshot unter nachfolgendem Link zu sehen, ich habe sie in unseren Gruppenrichtlinien noch nicht entdeckt, vielleicht muss man da erst eine neue ADMX einspielen.<\/p><\/blockquote>\n<p>Zum 14. April 2023 hat Blog-Leser Jonas dann in <a href=\"https:\/\/borncity.com\/blog\/2023\/04\/14\/microsoft-april-2023-patchday-nachlese\/#comment-146288\" target=\"_blank\" rel=\"noopener\">diesem Kommentar<\/a> erneut auf das Problem hingewiesen:<\/p>\n<blockquote><p>Wichtiger Hinweis f\u00fcr diejenigen, die das Legacy-LAPS im Einsatz haben.<\/p>\n<p>Man zerschie\u00dft sich beide (!) LAPS-Varianten, wenn man nach der Installation der April-Updates die Legacy-Version von LAPS installiert (was in unserer Umgebung der Fall ist, da in unserer automatisierten OS-Installation die aktuellen MS-Updates zuerst aufgespielt werden \u2013 getestet haben wir es noch nicht).<\/p>\n<p>Aufgeschnappt habe ich das im aktuellen Reddit-Patchday-Thread (siehe <a href=\"https:\/\/web.archive.org\/web\/20230422115944\/https:\/\/www.reddit.com\/r\/sysadmin\/comments\/12itqb9\/comment\/jfws118\/\" target=\"_blank\" rel=\"noopener\">auch<\/a>).<\/p><\/blockquote>\n<p>Jonas weist darauf hin, dass Microsoft das Problem bereits in einem Infofeld im Beitrag <a href=\"https:\/\/learn.microsoft.com\/en-us\/windows-server\/identity\/laps\/laps-overview#legacy-laps-interop-issues-with-the-april-11-2023-update\" target=\"_blank\" rel=\"noopener\">Legacy LAPS Interop issues with the April 11 2023 Update<\/a> auflistet (es gibt dort\u00a0 blaues Info-Feld mit folgendem Text &#8211; nachfolgend noch die deutsche \u00dcbersetzung):<\/p>\n<p><a href=\"https:\/\/learn.microsoft.com\/en-us\/windows-server\/identity\/laps\/laps-overview#legacy-laps-interop-issues-with-the-april-11-2023-update\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" src=\"https:\/\/i.imgur.com\/iRWEk6K.png\" \/><\/a><\/p>\n<blockquote><p>Das Update vom 11. April 2023 enth\u00e4lt zwei potenzielle Regressionen im Zusammenhang mit der Interoperabilit\u00e4t mit \u00e4lteren LAPS-Szenarien. Bitte lesen Sie die folgenden Informationen, um die Parameter des Szenarios und m\u00f6gliche Umgehungsl\u00f6sungen zu verstehen.<\/p>\n<p>Problem Nr. 1: Wenn Sie die Legacy-LAPS-CSE auf einem Ger\u00e4t installieren, das mit dem Sicherheitsupdate vom 11. April 2023 gepatcht wurde, und eine Legacy-LAPS-Richtlinie anwenden, treten sowohl Windows LAPS als auch Legacy-LAPS in einen fehlerhaften Zustand ein, in dem keine der Funktionen das Kennwort f\u00fcr das verwaltete Konto aktualisiert. Zu den Symptomen geh\u00f6ren die Windows LAPS-Ereignisprotokoll-IDs 10031 und 10033 sowie die Legacy-LAPS-Ereignis-ID 6. Microsoft arbeitet an einem Fix f\u00fcr dieses Problem.<\/p>\n<p>F\u00fcr das obige Problem gibt es zwei prim\u00e4re Umgehungsm\u00f6glichkeiten:<\/p>\n<p>a.Deinstallieren Sie das alte LAPS CSE (Ergebnis: Windows LAPS \u00fcbernimmt die Verwaltung des verwalteten Kontos)<\/p>\n<p>b. Deaktivieren Sie den Legacy-LAPS-Emulationsmodus (siehe <a href=\"https:\/\/learn.microsoft.com\/en-us\/windows-server\/identity\/laps\/laps-scenarios-legacy#disabling-legacy-microsoft-laps-emulation-mode\" target=\"_blank\" rel=\"noopener\">Disable legacy LAPS emulation mode<\/a>); Ergebnis: Legacy-LAPS \u00fcbernimmt die Verwaltung des verwalteten Kontos)<\/p>\n<p>Problem Nr. 2: Wenn Sie eine Legacy-LAPS-Richtlinie auf ein Ger\u00e4t anwenden, das mit dem Update vom 11. April 2023 gepatcht wurde, wird Windows LAPS die Legacy-LAPS-Richtlinie sofort erzwingen, was st\u00f6rend sein kann (z. B. wenn dies w\u00e4hrend des Arbeitsablaufs der Betriebssystembereitstellung geschieht). Die Deaktivierung des Legacy-LAPS-Emulationsmodus kann ebenfalls verwendet werden, um diese Probleme zu vermeiden.<\/p><\/blockquote>\n<p>Das Ganze ist also ziemlich schief gegangen. An dieser Stelle mein Danke an alle Leser, die sich wegen des Themas hier im Blog oder per Mail gemeldet haben.<\/p>\n<h2>Vorgehensweise f\u00fcr deutsche Systeme<\/h2>\n<p>Mark Heitbrink hatte bereits in internen Facebook-Gruppen auf die Problematik hingewiesen (hatte ich gesehen) und mir gestern noch eine Mail mit Hinweisen geschrieben (danke daf\u00fcr). Er meinte, dass es \u00c4rgerliches aus der LAPS Ecke g\u00e4be, und das Durcheinander sei mal wieder mangelnder Sorgfalt geschuldet. Es sieht so aus, dass die englischsprachigen Windows-Implementierungen getestet werden, w\u00e4hrend die Administratoren von anderen Sprachen mit Windows auf den Bauch fallen.<\/p>\n<p>Mark Heitbrink hat f\u00fcr deutschsprachige Leser den Beitrag <a href=\"https:\/\/www.gruppenrichtlinien.de\/artikel\/migration-laps-legacy-zu-laps-nativ\" target=\"_blank\" rel=\"noopener\">Migration LAPS Legacy zu LAPS native<\/a> ver\u00f6ffentlicht, der beschreibt, was durch die Integration des LAPS-Clients in Windows mit den April 2023-Updates zu beachten ist, sofern LAPS bereits in der Unternehmensumgebung eingesetzt wurde. Sollte sich jeder Administrator, der LAPS im Unternehmen einsetzt, vielleicht mal durchlesen.<\/p>\n<p><strong>\u00c4hnliche Artikel:<br \/>\n<\/strong><a href=\"https:\/\/borncity.com\/blog\/2023\/04\/12\/microsoft-security-update-summary-11-april-2023\/\">Microsoft Security Update Summary (11. April 2023)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/04\/12\/patchday-windows-10-updates-11-april-2023\/\">Patchday: Windows 10-Updates (11. April 2023)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/04\/12\/patchday-windows-11-server-2022-updates-11-april-2023\/\">Patchday: Windows 11\/Server 2022-Updates (11. April 2023)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/?p=279740\">Windows 7\/Server 2008 R2; Server 2012 R2: Updates (11. April 2023)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/04\/13\/patchday-microsoft-office-updates-11-april-2023\/\">Patchday: Microsoft Office Updates (11. April 2023)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/04\/14\/microsoft-april-2023-patchday-nachlese\/\">Microsoft April 2023 Patchday-Nachlese<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/04\/18\/windows-server-active-directory-schema-fr-die-aktuelle-windows-laps-version-aktualisieren\/\">Windows Server Active Directory-Schema f\u00fcr die aktuelle Windows LAPS-Version aktualisieren<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Microsoft hat mit dem April 2023-Patchday (11. April 2023) seine Local Administrator Password Solution (LAPS) direkt ins Windows Betriebssystem integriert. Erfolgte auf \"vielfachen Wunsch\" aus dem Kreis der Unternehmenskunden, wie es bei Microsoft hei\u00dft. Da dieser Schritt aber wohl unzureichend &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/04\/15\/laps-integration-per-april-2023-update-in-windows-rger-fr-administratoren\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[301],"tags":[8381,3288],"class_list":["post-279853","post","type-post","status-publish","format-standard","hentry","category-windows","tag-laps","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/279853","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=279853"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/279853\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=279853"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=279853"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=279853"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}