# Verwaltung von lokalen Administratorkennwörtern ## Übersicht Die Local Administrator Password Solution (LAPS) löst das Problem, identische administrative Anmeldedaten auf jedem Windows-Computer für Support- und Notfallzwecke zu verwenden. Für sich allein erstellt LAPS ein zufällig generiertes Kennwort für ein lokales Administratorkonto. Mit RealmJoin ist es möglich, sichere und individuell angepasste Administratorkonten zu verwalten, entweder für lokalen Support oder Fernsupport in großem Umfang. RealmJoin speichert verschlüsselte Kennwörter in Azure Key Vault innerhalb des Mandanten des Kunden und speichert Audit-Logs jeder Zugriffs auf diese Anmeldedaten. Die API von RealmJoin ermöglicht es Ihnen, ein "Support Account" (lokaler Administrator) für ein bestimmtes Gerät in Ihrem Tenant anzufordern. Siehe [die Swagger-Beschreibung von RealmJoin](https://customer-api.realmjoin.com/swagger/index.html) um im Detail zu sehen, welche Operationen derzeit unterstützt werden. Die Verwendung von LAPS mit RealmJoin erfordert die Bereitstellung des RealmJoin Windows Client. Es wird davon ausgegangen, dass Sie LAPS in Ihrer Umgebung korrekt eingerichtet und den RealmJoin Windows Client auf Ihren Geräten bereitgestellt haben. Stellen Sie außerdem sicher, dass Sie [authentifizieren ](https://docs.realmjoin.com/de/dev-reference/realmjoin-api/authentication)jede Anfrage an die API von RealmJoin mithilfe eines geeigneten HTTP-Authorization-Headers. ## Anforderung eines Support-Kontos Teilen Sie RealmJoin mit, ein lokales Support-Konto auf dem Zielgerät über den Endpunkt zu erstellen `/laps/request`. Die Anfrage wird mithilfe von Application Insights in eine Warteschlange gestellt und so bald wie möglich vom RealmJoin Backend und dem RealmJoin Windows Client verarbeitet. Wenn das Konto erstellt/benutzbar ist. Der Endpunkt gibt eine Schätzung zurück, wie lange die Erstellung des Kontos dauern wird. Wenn das Konto bereit ist, siehe [hier](#retrieve-support-account-credentials) um zu erfahren, wie die Anmeldedaten abgefragt werden. ### Beispiel Nehmen wir die folgende Situation an: * Sie haben Ihre RealmJoin-API-Anmeldedaten und diese kodiert zu `dC0xMjM0MTIzNDpteVMzY3JldCE=` (Base64) * Die Entra `deviceId` des Zielgeräts `ist`9999dab9-f946-40ee-9a17-2500c8d00878 . Beachten Sie, dass dies nicht die Entra-Objekt-ID ist (anderes Attribut)! ![Lokale Konten - vor der Anforderung eines Support-Kontos](https://2298793958-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MkrcM7cKOpXKri1kVrh%2Fuploads%2FFlbUzySBT9dqV4nrm6kx%2FLaps-before.png?alt=media\&token=e5e95f49-1293-4696-ad1f-a245bb6b42e6) Lassen Sie uns die **Anfrage**: Header erstellen: ```http Authorization: Basic dC0xMjM0MTIzNDpteVMzY3JldCE= Content-Type: application/json ``` Anfrage / URI: ```http POST https://customer-api.realmjoin.com/laps/request?deviceID=9999dab9-f946-40ee-9a17-2500c8d00878 ``` Dieser Endpunkt erwartet keinen Request-Body. **Antwort** HTTP-Status: `200` (OK) Body (in JSON-Notation): ```json { "estimatedWaitTime": "00:12:31.8215813" } ``` Die Antwort enthält die ungefähre Zeit, bis der RealmJoin Windows Client das lokale Support-Konto erstellt. In diesem Beispiel sollten Sie mit einer Wartezeit von mindestens 12 Minuten rechnen. Wenn der Client längere Zeit nicht gesehen wurde, erhalten Sie möglicherweise `null` als Schätzung anstelle einer Zahl. Der RealmJoin Windows Client fragt standardmäßig alle 30 Minuten nach Jobs. Die von der API angebotene Näherung basiert auf dem Zeitpunkt, zu dem der Windows Client sich zuletzt gemeldet hat. ## Anmeldedaten des Support-Kontos abrufen Der Endpunkt `/laps/retrieve` wird verwendet, um abzufragen, ob bereits ein Support-Konto erstellt wurde, sowie um die tatsächlichen Anmeldedaten des Support-Kontos abzurufen. Lassen Sie uns dasselbe abfragen `deviceId` von `ist` wie im Beispiel [oben](#requesting-a-support-account). In unserem Beispiel wurde auf dem Zielgerät durch den RealmJoin Windows Client ein Support-Konto (Full Name: "Local Support Admin Account") erstellt: ![Lokale Konten - Support-Konto wurde erfolgreich erstellt](https://2298793958-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MkrcM7cKOpXKri1kVrh%2Fuploads%2F8ePPJ2SxA29zcJsmGKX7%2FLaps-after.png?alt=media\&token=2d24e9ce-fa68-4499-a597-f0789f0a6115) **Anfrage** Header erstellen: ```http Authorization: Basic dC0xMjM0MTIzNDpteVMzY3JldCE= Content-Type: application/json ``` Anfrage / URI: ```http POST https://customer-api.realmjoin.com/laps/retrieve?deviceID=9999dab9-f946-40ee-9a17-2500c8d00878 ``` Dieser Endpunkt erwartet keinen Request-Body. **Antwort** Wenn die Anmeldedaten noch nicht verfügbar sind, gibt der Endpunkt den HTTP-Status zurück: `404` (Not Found) und einige technische Details im Body: Body (JSON) ```json { "type": "https://tools.ietf.org/html/rfc7231#section-6.5.4", "title": "Not Found", "status": 404, "traceId": "00-4c56c3cb0f9b394abf934b107b148613-1234b2497e261649-00" } ``` Sie können weiter abfragen, bis die Anmeldedaten bereit sind. Wenn die Anmeldedaten bereit sind, gibt der Endpunkt den HTTP-Status zurück: `200` (OK) und die Anmeldedaten: Body (JSON) ```json { "password": "Upji1234", "username": "ADM-5A2F2169", "accountExpirationDate": "2021-12-21T02:14:07+00:00" } ``` Sie können diese Anmeldedaten verwenden, um einem Benutzer Support zu bieten, z. B. indem Sie sich über den AnyDesk Supporter Client verbinden. Wie Sie sehen, hat ein Support-Konto standardmäßig eine begrenzte Lebensdauer und muss neu erstellt werden, wenn nach dem Ablaufdatum erneut Zugriff benötigt wird. Dies soll sicherstellen, dass keine privilegierten Anmeldedaten von Tag-zu-Tag-Betriebsaufgaben bestehen bleiben.