3
Ist LAPS im Fehlerfall ein Eigentor?
Moin zusammen,
ich habe das LAPS installiert und es funktioniert soweit. Nur jetzt habe ich bedenken, dass es Situationen geben kann, in denen mir LAPS ein Ei legt und man sich im Falle eines Fehlers im Active Directory nicht mehr anmelden kann, weil man dann z.B. mit der LAPS GUI das aktuelle Passwort nicht auslesen kann.
Mein Aufbau:
Blech 1 (Hyper-V) + Backupsoftware:
dc1
exchange1
rdp1
administrationsserver
Blech 2 (Hyper-V) + Backupsoftware:
dc2
exchange2
rdp2
druckserver
Die Admins gehen per RDP auf den Administrationsserver um die LAPS Passwörter auszulesen, Backups zu kontrollieren, User anzulegen usw. normalerweise machen sie das mit ihrem eigenen Admin Account, der in der Domäne gepflegt ist.
Wenn jetzt aus irgendeinem Grund beide DC's nicht mehr funktionieren, kommt man nur noch mit einem lokalen Administrator auf den Administrationsserver (oder man hat Glück und die eigenen Admin Konten sind noch gecached), genau so auch der Zugriff auf die zwei Bleche. Dann sollten doch wenigstens diese Maschinen mit einem lokalen Administrator Konto anmeldbar sein, ohne dass man irgendwie gezwungen ist zunächst in LAPS das Passwort auszulesen.
Alle Anderen Server bzw Passwörter können ja meinetwegen über LAPS gesteuert sein, die brauchen sowieso den Domänen Controller um zu funktionieren. Aber um erst einmal die DCs wieder zum laufen zu bekommen benötige ich ein Zugang zum Blech und Hyper-V um evtl Backups zurück spielen zu können.
Also:
Blech 1: festes Administrator Passwort
Blech 2: festes Administrator Passwort
Administrationsserver: festes Administrator Passwort
Alle anderen Server und Clients: LAPS
Geht meine Überlegung auf?
Danke Euch and keep rockin
Der Mike
ich habe das LAPS installiert und es funktioniert soweit. Nur jetzt habe ich bedenken, dass es Situationen geben kann, in denen mir LAPS ein Ei legt und man sich im Falle eines Fehlers im Active Directory nicht mehr anmelden kann, weil man dann z.B. mit der LAPS GUI das aktuelle Passwort nicht auslesen kann.
Mein Aufbau:
Blech 1 (Hyper-V) + Backupsoftware:
dc1
exchange1
rdp1
administrationsserver
Blech 2 (Hyper-V) + Backupsoftware:
dc2
exchange2
rdp2
druckserver
Die Admins gehen per RDP auf den Administrationsserver um die LAPS Passwörter auszulesen, Backups zu kontrollieren, User anzulegen usw. normalerweise machen sie das mit ihrem eigenen Admin Account, der in der Domäne gepflegt ist.
Wenn jetzt aus irgendeinem Grund beide DC's nicht mehr funktionieren, kommt man nur noch mit einem lokalen Administrator auf den Administrationsserver (oder man hat Glück und die eigenen Admin Konten sind noch gecached), genau so auch der Zugriff auf die zwei Bleche. Dann sollten doch wenigstens diese Maschinen mit einem lokalen Administrator Konto anmeldbar sein, ohne dass man irgendwie gezwungen ist zunächst in LAPS das Passwort auszulesen.
Alle Anderen Server bzw Passwörter können ja meinetwegen über LAPS gesteuert sein, die brauchen sowieso den Domänen Controller um zu funktionieren. Aber um erst einmal die DCs wieder zum laufen zu bekommen benötige ich ein Zugang zum Blech und Hyper-V um evtl Backups zurück spielen zu können.
Also:
Blech 1: festes Administrator Passwort
Blech 2: festes Administrator Passwort
Administrationsserver: festes Administrator Passwort
Alle anderen Server und Clients: LAPS
Geht meine Überlegung auf?
Danke Euch and keep rockin
Der Mike
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 523160
Url: https://administrator.de/contentid/523160
Printed on: April 26, 2024 at 06:04 o'clock
3 Comments
Latest comment
Servus,
meiner Meinung nach gehört LAPS auf die Clients, nicht auf Server. Es geht ja darum, dass keine Adminkennwörter auf den Clients gecached werden, die dann zum Angriff missbraucht werden können. Solltest Du nach jeder Nutzung des Dom-Adminkontos auf einem Client das dann gleich wieder ändern, kannst LAPS auch weglassen.
Server sind jetzt eher selten das Einfalltor für Schädlinge.
Just my 5 cents,
Henere
meiner Meinung nach gehört LAPS auf die Clients, nicht auf Server. Es geht ja darum, dass keine Adminkennwörter auf den Clients gecached werden, die dann zum Angriff missbraucht werden können. Solltest Du nach jeder Nutzung des Dom-Adminkontos auf einem Client das dann gleich wieder ändern, kannst LAPS auch weglassen.
Server sind jetzt eher selten das Einfalltor für Schädlinge.
Just my 5 cents,
Henere
1
Danke erstmal,
ich sehe den RDP Server jedoch genau so gefährlich (wie die Clients) und der Exchange Server könnte ja auch ein Angriffspunkt sein.
Bei sowas, wie den Printserver mache ich mir keine Sorgen.
ich sehe den RDP Server jedoch genau so gefährlich (wie die Clients) und der Exchange Server könnte ja auch ein Angriffspunkt sein.
Bei sowas, wie den Printserver mache ich mir keine Sorgen.
Also wenn alle deine DCs weg sind,machst du auf dem Adminserver erst mal gar nix, da die Verwaltungstools dort deinen Adminuser nicht authentifizieren können.
Wenn deine DCs weg sind, dann gibt's nichts anderes zu tun als diese wieder ans fliegen zu bekommen.
Das ist wie zu fragen, ob man vielleicht ein zweites Ersatzrad haben sollte, wenn der Motor mal explodiert...
Die Domänen-Admins kannst du ja dennoch an die Adminmaschine per Console anmelden, indem du die netzwerkverbindung trennst. Dann werden die gecachten Credentials genommen
Die Backup Kiste sollte übrigens nicht in der Domäne sein. Dann kannst du dich da immer anmelden und ein restore starten, egal was der DC macht
Wenn deine DCs weg sind, dann gibt's nichts anderes zu tun als diese wieder ans fliegen zu bekommen.
Das ist wie zu fragen, ob man vielleicht ein zweites Ersatzrad haben sollte, wenn der Motor mal explodiert...
Die Domänen-Admins kannst du ja dennoch an die Adminmaschine per Console anmelden, indem du die netzwerkverbindung trennst. Dann werden die gecachten Credentials genommen
Die Backup Kiste sollte übrigens nicht in der Domäne sein. Dann kannst du dich da immer anmelden und ein restore starten, egal was der DC macht