Micha1985

Hallo, die folgenden Befehle sind auf OU vergeben worden: Set-AdmPwdComputerSelfPermission -OrgUnit "OU" Set-AdmPwdReadPasswordPermission -OrgUnit "OU" -AllowedPrincipals "SG_LAPS_Admin_User" Set-AdmPwdResetPasswordPermission -OrgUnit "OU" -AllowedPrincipals "SG_LAPS_Admin_User" Find-AdmPwdExtendedRights -Identity "OU" | Format-List (Rechte geprüft) Set-AdmPwdReadPasswordPermission -Identity "OU" -AllowedPrincipals "SG_LAPS_Admin_User" Ich habe eine GPO erstellt, die den lokalen Build-In Administrator auf den Clients aktiviert zusätzlich zum testen. Bei einen neu aufgenommenen Rechner in die Domain, sind die zwei zusätzlichen Attribute beim Client vorhanden (ms-Mcs-AdmPwd und ms-Mcs-AdmPwdExpirationTime. Wo liegt mein Fehler?

Hallo, hat denn niemand noch einen Rat?

Das Datum wird mir bei jeden Client im Expiry Feld angezeigt. Ich habe eben einmal im Feld "ms-Mcs-AdmPwd" manuell ein Passwort eingetragen. Das wird mir dann auch mit Software LAPS UI angezeigt. Ich kann es aber dann über die Software LAPS UI nicht neu setzen bzw. nicht verändern. Ich habe mich eben auch mit dem obersten Administrator angemeldet, um Berechtigungsprobleme auszuschließen. Hier habe ich das gleiche Phänomen. Was genau meinst Du hiermit?: --> "Ansonsten auch nochmal schauen ob auf den Computerobjekten die Berechtigung zum Schreiben auf das pwd Feld für SELF gesetzt ist. " - Wo soll ich hier gucken? In der Ereignisanzeige kann ich nichts finden unter AdmPwd. Weder auf dem Client noch auf dem DC.

Hier habe ich keine Einstellung angegeben. Die Beschreibung sagt ja, dass man hier keine Einstellung vornehmen muss, wenn das Build-In Administratorkonto verwendet wird. Sollte ich hier "Administrator" eintragen?

Hallo, ja die GPO's sind konfiguriert und verknüpft auf die OU. Ich definiere in der GPO die Passworteinstellungen.

Hallo zusammen an das Forum, ich habe ein Problem mit LAPS (Local Administrator Password Solution) in unserer Domäne. Die Clients kommunizieren ja mit dem DC und speichern das Passwort in den Attribut-Editor (ms-Mcs-AdmPwd). Die Berechtigungen mit Powershell sind auf die jeweilige OU vergeben. Die ADMX Dateien für LAPS sind auf den DC's installiert. Den LAPS Client verteile ich via GPO auf die Clients über eine versteckte Freigabe von unseren Fileserver. Leider ist das Attribut ms-Mcs-AdmPwd immer leer bei den Clients. Komischerweise lässt sich das Ablaufdatum im Attribut (ms-Mcs-AdmPwdExpirationTime) auslesen und auch über das Verwaltungstool ändern bzw. zurücksetzen. Ich hoffe, dass mir jemand helfen kann. Ich bin ein wenig am verzweifeln. Mit freundlichen Grüßen Michael

Hallo liebes Forum, ich habe eine Windows Server 2012 R2 Domäne. Gibt es eine Möglichkeit mit Windows Bordmitteln eine Abfrage zu erstellen, wo man auf den einzelnen Clients auslesen kann, welcher User dort lokale Administratorrechte besitzt bzw. in der lokalen Gruppe der Administratoren ist? MfG Michael