Anleitung: Nutzung von Windows LAPS (Local Administrator Password Solution)

  • Updated on Apr 17, 2025
  • Published on Apr 17, 2025
  • 1 minute(s) read
  • CB
 Prev Next
This content is currently unavailable in English. You are viewing the default (German) version.

Gültig für alle Windows Server ab Version 2019 und Windows 10/11 Clients
Stand: 17.04.2025

1. Allgemeine Information

Seit dem 16.04.2025 ist auf allen Servern und Clients im Unternehmen der Dienst Windows LAPS aktiv.
Ziel ist eine deutliche Verbesserung der IT-Sicherheit, insbesondere im Umgang mit lokalen Administrator-Kennwörtern.

Die Konfiguration erfolgt zentral über die Gruppenrichtlinie „Windows LAPS“.

2. Konfiguration im Überblick

Einstellung

Beschreibung

Passwortzugriff

Nur Mitglieder der Gruppe Domain Admins können das lokale Admin-Passwort anzeigen.

Passwort-Historie

Die letzten 6 Kennwörter werden im Active Directory gespeichert. Dies ermöglicht Wiederherstellungen aus Backups mit älteren Passwörtern.

Passwort-Generierung

Automatisch generiert, mit Groß- und Kleinbuchstaben sowie Zahlen.

Länge des Passworts

Mindestlänge: 14 Zeichen.

Wechselintervall

Automatischer Passwortwechsel alle 30 Tage.

Passphrase-Anforderung

Die Passwortphrase muss aus mindestens 6 Wörtern bestehen.

Keine Verlängerung möglich

Admins dürfen die Gültigkeitsdauer nicht manuell verlängern.

Gültigkeit nach Login

Nach Anmeldung mit dem lokalen Admin ist das Kennwort für 8 Stunden gültig, danach wird es automatisch geändert und der Benutzer wird ausgeloggt.

3. Anzeige des lokalen Admin-Passworts

Option 1: Per PowerShell (auf einem Domänencontroller)

  • Aktuelles Passwort anzeigen:

    powershellKopierenBearbeitenGet-LapsADPassword <Computername> -AsPlainText

  • Passwort mit Verlauf anzeigen:

    powershellKopierenBearbeitenGet-LapsADPassword <Computername> -AsPlainText -IncludeHistory

Ersetze <Computername> durch den tatsächlichen Namen des Zielsystems (z. B. hasql03).

Option 2: Direkt in der Active Directory-Konsole (GUI)

  1. Öffne die Active Directory-Benutzer und -Computer (dsa.msc).

  2. Navigiere zum gewünschten Computerobjekt.

  3. Rechtsklick auf den Computer > Eigenschaften.

  4. Wechsle zum Reiter "LAPS".

  5. Dort siehst du das aktuelle lokale Administratorpasswort sowie – sofern vorhanden – die Historie.

4. Hinweise zur Nutzung

  • Der Zugriff auf die LAPS-Passwörter ist ausschließlich autorisierten Admins vorbehalten.

  • Die Lösung verbessert den Schutz gegen „Pass-the-Hash“- und „Credential Reuse“-Angriffe.

  • Eine regelmäßige Prüfung und Dokumentation der LAPS-Richtlinie ist Bestandteil der IT-Sicherheitsmaßnahmen.