Verwaltung lokaler Administratorpasswörter

Übersicht

Die Local Administrator Password Solution (LAPS) löst das Problem identischer administrativer Anmeldedaten auf jedem Windows-Computer für Support- und Notfallzwecke. Für sich genommen erstellt LAPS ein zufällig generiertes Kennwort für ein lokales Administratorkonto.

Mit RealmJoin ist es möglich, sichere und individuelle administrative Konten zu verwalten, entweder für den lokalen Support oder den Remote-Support in großem Maßstab. RealmJoin speichert verschlüsselte Kennwörter in Azure Key Vault innerhalb des Tenants des Kunden und speichert Audit-Logs jedes Zugriffs auf diese Anmeldedaten.

Die API von RealmJoin ermöglicht es Ihnen, ein „Support-Konto“ (lokaler Admin) für ein bestimmtes Gerät in Ihrem Tenant anzufordern. Siehe die Swagger-Beschreibung von RealmJoin um im Detail zu sehen, welche Operationen derzeit unterstützt werden. Die Verwendung von LAPS mit RealmJoin erfordert die Bereitstellung des RealmJoin Windows Client.

Es wird davon ausgegangen, dass Sie LAPS in Ihrer Umgebung korrekt eingerichtet und den RealmJoin Windows Client auf Ihren Geräten bereitgestellt haben. Stellen Sie außerdem sicher, dass Sie authentifizieren jede Anfrage an die API von RealmJoin mit einem geeigneten HTTP-Authorization-Header.

Anfordern eines Support-Kontos

Teilen Sie RealmJoin mit, über den Endpunkt ein lokales Support-Konto auf dem Zielgerät zu erstellen /laps/request. Die Anfrage wird über Application Insights in eine Warteschlange gestellt und wird so schnell wie möglich vom RealmJoin-Backend und dem RealmJoin Windows Client verarbeitet. Wenn das Konto erstellt/verwendbar ist.

Der Endpunkt gibt eine Schätzung zurück, wie lange die Erstellung des Kontos dauern wird. Wenn das Konto bereit ist, siehe hier dazu, wie die Anmeldedaten abgefragt werden.

Beispiel

Nehmen wir die folgende Situation an:

Sie haben Ihre RealmJoin-API-Anmeldedaten und sie kodiert zu dC0xMjM0MTIzNDpteVMzY3JldCE= (Base64)
Die Entra deviceId nicht 9999dab9-f946-40ee-9a17-2500c8d00878des Zielgeräts. Beachten Sie, dass dies nicht die Entra-Objekt-ID ist (anderes Attribut)!

Derzeit existiert auf dem Zielgerät kein Support-Konto.

Lassen Sie uns den Anfrage:

Header erstellen:

Authorization: Basic dC0xMjM0MTIzNDpteVMzY3JldCE=
Content-Type: application/json

Anfrage / URI:

POST https://customer-api.realmjoin.com/laps/request?deviceID=9999dab9-f946-40ee-9a17-2500c8d00878

Dieser Endpunkt erwartet keinen Request Body.

Antwort

HTTP-Status: 200 (OK)

Body (in JSON-Notation):

{
    "estimatedWaitTime": "00:12:31.8215813"
}

Die Antwort enthält die ungefähre Zeit, bis der RealmJoin Windows Client das lokale Support-Konto erstellt. In diesem Beispiel ist mit einer Wartezeit von mindestens 12 Minuten zu rechnen. Wenn der Client lange nicht gesehen wurde, erhalten Sie möglicherweise null als Schätzung statt einer Zahl.

Der RealmJoin Windows Client prüft standardmäßig alle 30 Minuten auf Jobs. Die von der API angebotene Schätzung basiert auf dem letzten Zeitpunkt, zu dem der Windows Client sich gemeldet hat.

Anmeldedaten für das Support-Konto abrufen

Der Endpunkt /laps/retrieve wird verwendet, um abzufragen, ob bereits ein Support-Konto erstellt wurde, sowie um die tatsächlichen Anmeldedaten des Support-Kontos abzurufen.

Lassen Sie uns denselben deviceId von 9999dab9-f946-40ee-9a17-2500c8d00878 abfragen wie im Beispiel oben.

In unserem Beispiel wurde auf dem Zielgerät durch den RealmJoin Windows Client ein Support-Konto (vollständiger Name: "Local Support Admin Account") erstellt:

Anforderung

Header erstellen:

Authorization: Basic dC0xMjM0MTIzNDpteVMzY3JldCE=
Content-Type: application/json

Anfrage / URI:

POST https://customer-api.realmjoin.com/laps/retrieve?deviceID=9999dab9-f946-40ee-9a17-2500c8d00878

Dieser Endpunkt erwartet keinen Request Body.

Antwort

Wenn die Anmeldedaten noch nicht verfügbar sind, gibt der Endpunkt den HTTP-Status zurück: 404 (Nicht gefunden) und einige technische Details im Body:

Body (JSON)

{
    "type": "https://tools.ietf.org/html/rfc7231#section-6.5.4",
    "title": "Not Found",
    "status": 404,
    "traceId": "00-4c56c3cb0f9b394abf934b107b148613-1234b2497e261649-00"
}

Sie können weiter abfragen, bis die Anmeldedaten bereit sind.

Wenn die Anmeldedaten bereit sind, gibt der Endpunkt den HTTP-Status zurück: 200 (OK) und die Anmeldedaten:

Body (JSON)

{
    "password": "Upji1234",
    "username": "ADM-5A2F2169",
    "accountExpirationDate": "2021-12-21T02:14:07+00:00"
}

Sie können diese Anmeldedaten verwenden, um einem Benutzer Support anzubieten, z. B. indem Sie sich über den AnyDesk Supporter Client verbinden.

Wie Sie sehen, hat ein Support-Konto standardmäßig eine begrenzte Lebensdauer und muss neu erstellt werden, wenn nach dem Ablaufdatum erneut Zugriff erforderlich ist. Dadurch soll sichergestellt werden, dass keine privilegierten Anmeldedaten von Tag-zu-Tag-Betriebsaufgaben bestehen bleiben.

Zuletzt aktualisiert vor 1 Jahr

War das hilfreich?