LAPS und deren Unterschiede

Der Unterschied im Namen ist gering „Microsoft LAPS“ (alt, Legacy LAPS) und „Windows LAPS“ (neu), die Möglichkeiten unterscheiden sich jedoch enorm. Der ganz klare Vorteil ist, Windows LAPS ist nun Bestandteil des Betriebssystems. Die weiteren Vorteile sind die Integration in die moderne Verwaltung.
Die Einstellungen können nun nicht mehr nur aus Gruppenrichtlinien (GPOS) kommen und das Kennwort kann nun auch verschlüsselt im Azure Active Directory (AAD) gespeichert werden. Wer tiefer in die Materie und Möglichkeiten eintauchen möchte, dem lege ich die folgenden Seiten ans Herz:
https://learn.microsoft.com/de-de/windows-server/identity/laps/laps-overview

Active Directory Berechtigungen

Wer das LAPS Kennwort im Active Directory speichert, sollte auch weitere Aspekte berücksichtigen, damit dies auch entsprechend abgesichert wird. Neben der spärlichen Vergabe der Benutzer die auf die LAPS Felder Zugriff haben, sollte man auch den Benutzer ins Auge fassen, der das Computerkonto erstellt. Weiteres dazu kann man hier finden.

Zusammenspiel mit Empirum

Im Zusammenspiel mit Empirum sind ein paar Dinge zu beachten, wenn man das Maximum an Sicherheit herausholen möchte.

DomainJoin Variablen

Die Variablen und somit der Benutzer für den Domain-Join sollte bestenfalls nur für den Zeitpunkt der Betriebssysteminstallation zugewiesen sein. Dies kann über eine separate Konfigurations- oder Zuweisungsgruppe geschehen, in dem der Computer nur für die Betriebssysteminstallation zugeordnet ist.

Windows LAPS

Will man die Vorteile von Windows LAPS nutzen, sollte man darüber nachdenken eine Windows 10 bzw. 11 Quelle für die Betriebssysteminstallation einzubinden, die das April oder besser Mai 2023 Update beinhaltet. Alternativ kann man auch das Windows Update in seine Quellen integrieren.

Reinstallation von Computern

Gerade bei Tests oder im Client Lifecycle kommt es vor, dass vorhandene Computer mit dem gleichen Namen nochmals installiert werden. Wurde das Computerobjekt vor der Neu-Installation nicht aus dem Verzeichnisdienst (AD/AAD) gelöscht, kann es dauern bis das LAPS neu erstellt und gespeichert wird, da das „Ablaufdatum“ vom Verzeichnisdienst vorgegeben wird. Etwas was mir diesbezüglich schon länger durch den Kopf ging, hat ein mir bekannter Administrator als WinPE Paket umgesetzt.

Das WinPE Paket zusätzlich der detaillierten Erläuterungen und Einstellmöglichkeiten findet ihr in seinem github Repository: https://github.com/htcfreek/PreOS-ResetLapsPassword.

Wem das nicht reicht, so wird er dort auch fündig hinsichtlich einer GUI für das Windows LAPS Kennwort: https://github.com/htcfreek/SimpleLapsGui

Ein großes Kompliment für diese Erweiterung von meiner Seite!

Microsoft LAPS Benutzer

Für all diejenigen, für die Microsoft LAPS nichts neues ist, sollten sich mit der Co-Existenz, den Änderungen und neuen Möglichkeiten auseinandersetzen. Man muss jedoch sehr achtsam mit den Begrifflichkeiten und Funktionen umgehen, da die ähnlichen Worte und Begriffe einen schon gerne einmal verwirren.

Der Beitrag Windows LAPS und Empirum WinPE erschien zuerst auf Workplace Management Blog.

Da war es von Vorteil, dass man mit mehreren Kunden in Kontakt steht und ich ähnliches schon einmal gehört hatte. Meine Nachfrage hat ergeben, dass es dazu derzeit ein spezielles Firmware Update gibt, welches im besten Falle in Zukunft im BIOS Update erhalten sein wird.

Dieses Firmware Update (USB PD Firmware Update Tool V1.0C013.1) sollte bei der oben genannten Konstellation eingespielt werden. Zur Sicherheit sollte geprüft werden, ob diese Firmware nicht sogar in Zukunft im BIOS Update enthalten ist.

USB PD Firmware Update Tool (direkter Link) – dieses Tool sollte auch unter „Flash -Firmware“ bei den einzelnen Modellen aufgelistet sein.
https://support.ts.fujitsu.com/IndexDownload.asp?SoftwareGuid=8CA9F197-A6BF-4C0E-8DDA-E82ECF2FC2B0

Portreplikator
https://www.fujitsu.com/de/products/computing/peripheral/accessories/connectivity/usb-port-replicator-pr09.html

Wer das Device Update per Softwareverteilung installieren mag, dem sind die nachfolgenden Kommandozeilenparameter und Rückgabewerte ans Herz zu legen.

Parameter

/N für silent
/X für kein automatischr Reboot

ExitCodes

0 Normal end
1 Tool is already running
2 Invalid parameter
3 Capsule file is not found
4 Incorrect signature
5 Abnormality is found in Capsule file
6 AC adapter is not connected
7 Target device is not connected
8 Target device is not found
9 Failed to deploy driver
10 Failed to load driver
11 GABI API call error
12 Failed to proceed Capsule
13 Not Fujitsu PC
14 Battery capacity is not enough
15 FUJ0420, FUJ0430 Device Driver is not installed
16 FW version check error
17 FW GUID mismatch
255 Other error

Der Beitrag Fujitsu Lifebook E und Portreplikatoren Probleme erschien zuerst auf Workplace Management Blog.

Die hier zu findenden Informationen beziehen sich zumeist auf Versionen, Lebenszyklen, verfügbare Aktualisierungen uvm..

Falls ihr Ergänzungen habt, oder feststellt, dass eine Seite nicht mehr wie gewünscht funktioniert, lasst es mich wissen.

Microsoft Produkte generell

• Microsoft Lifecycle-Richtlinien

Microsoft Windows 10

• Windows 10 Versionsinformationen
• Informationsblatt zum Lebenszyklus von Windows
• Windows Flight-Hub (Insider Program)

Microsoft Office

• Übersicht über die Updatekanäle für Office 365 ProPlus
• Office 365 CDNBaseUrl und deren Bedeutung
• Wechseln des Office 365 Kanals
• Changes to Office and Windows servicing and support
• Office 365 / 2019 Konfigurationseditor

Der Beitrag Hilfreiche Microsoft Webseiten erschien zuerst auf Workplace Management Blog.