circle-info
Dieser Artikel wurde automatisch übersetzt. Die Übersetzung kann Ungenauigkeiten enthalten.
Zur englischen Originalversion wechseln.chevron-right
search

Verwaltung lokaler Administrator-Passwörter

hashtag
Übersicht

Local Administrator Password Solution (LAPS) löst das Problem der Verwendung identischer Administratorkonten auf jedem Windows-Computer für Support- und Notfallzwecke. LAPS erzeugt von sich aus ein zufällig generiertes Passwort für ein lokales Administrator-Konto.

Mit RealmJoin ist es möglich, sichere und individualisierte Administrator-Konten zu verwalten, sowohl für lokalen Support als auch für groß angelegten Remote-Support. RealmJoin speichert verschlüsselte Passwörter im Azure Key Vault im Tenant des Kunden und legt Prüfprotokolle für jeden Zugriff auf diese Zugangsdaten ab.

Die RealmJoin-API ermöglicht es Ihnen, ein „Supportkonto“ (lokaler Admin) für ein bestimmtes Gerät in Ihrem Tenant anzufordern. Siehe RealmJoin's Swagger-Beschreibungarrow-up-right um zu sehen, welche Operationen derzeit im Detail unterstützt werden. Die Verwendung von LAPS mit RealmJoin erfordert die Bereitstellung des RealmJoin Windows Clients.

Es wird vorausgesetzt, dass Sie LAPS in Ihrer Umgebung korrekt eingerichtet und den RealmJoin Windows Client auf Ihren Geräten bereitgestellt haben. Stellen Sie außerdem sicher, dass Sie authentifizieren jede Anfrage an die RealmJoin-API mit einem geeigneten HTTP Authorization-Header.

hashtag
Anfordern eines Support-Kontos

Fordern Sie RealmJoin auf, ein lokales Support-Konto auf dem Zielgerät über den Endpunkt zu erstellen /laps/request. Die Anfrage wird mittels Application Insights in eine Warteschlange gestellt und vom RealmJoin-Backend und dem RealmJoin Windows Client so bald wie möglich verarbeitet. Sobald das Konto erstellt/benutzbar ist.

Der Endpunkt gibt eine Schätzung zurück, wie lange die Erstellung des Kontos dauern wird. Wenn das Konto bereit ist, siehe hier wie Sie die Anmeldedaten abfragen können.

hashtag
Beispiel

Gehen wir von der folgenden Situation aus:

  • Sie haben Ihre RealmJoin-API-Anmeldeinformationen und haben diese zu dC0xMjM0MTIzNDpteVMzY3JldCE= (Base64)

  • Die Entra des Zielgeräts deviceId ist 9999dab9-f946-40ee-9a17-2500c8d00878. Beachten Sie, dass dies nicht die Entra-Objekt-ID ist (ein anderes Attribut)!

Derzeit existiert kein Support-Konto auf dem Zielgerät.

Lokale Konten - vor der Anforderung eines Support-Kontos

Lassen Sie uns die Anfrage:

Header:

Anfrage / URI:

Dieser Endpunkt erwartet keinen Anfragekörper.

Antwort

HTTP-Status: 200 (OK)

Body (in JSON-Notation):

Die Antwort enthält die ungefähre Zeit, bis der RealmJoin Windows Client das lokale Support-Konto erstellen wird. In diesem Beispiel rechnen Sie mit einer Wartezeit von mindestens 12 Minuten. Wenn der Client lange nicht gesehen wurde, erhalten Sie möglicherweise null als Schätzung anstelle einer Zahl.

Der RealmJoin Windows Client fragt standardmäßig alle 30 Minuten nach Aufträgen. Die vom API angebotene Schätzung basiert auf dem letzten Zeitpunkt, zu dem der Windows Client eingecheckt hat.

hashtag
Abrufen der Support-Konton Zugangsdaten

Der Endpunkt /laps/retrieve wird verwendet, um abzufragen, ob ein Support-Konto bereits erstellt wurde, sowie um die tatsächlichen Zugangsdaten des Support-Kontos abzurufen.

Lassen Sie uns dieselbe deviceId von 9999dab9-f946-40ee-9a17-2500c8d00878 wie im Beispiel abfragen oben.

In unserem Beispiel wurde auf dem Zielgerät vom RealmJoin Windows Client ein Support-Konto (Vollständiger Name: "Local Support Admin Account") erstellt:

Lokale Konten - Support-Konto wurde erfolgreich erstellt

Anfrage

Header:

Anfrage / URI:

Dieser Endpunkt erwartet keinen Anfragekörper.

Antwort

Wenn die Zugangsdaten noch nicht verfügbar sind, gibt der Endpunkt den HTTP-Status zurück: 404 (Not Found) und einige technische Details im Body:

Body (JSON)

Sie können weiter abfragen, bis die Zugangsdaten bereit sind.

Wenn die Zugangsdaten bereit sind, gibt der Endpunkt den HTTP-Status zurück: 200 (OK) und die Zugangsdaten:

Body (JSON)

Sie können diese Zugangsdaten verwenden, um einem Benutzer Support zu leisten, z. B. durch Verbindung über den AnyDesk Supporter Client.

Wie Sie sehen können, hat ein Support-Konto standardmäßig eine begrenzte Lebensdauer und muss nach Ablaufdatum neu erstellt werden, falls der Zugriff danach benötigt wird. Dies stellt sicher, dass keine hoch privilegierten Anmeldeinformationen dauerhaft aus täglichen Abläufen bestehen bleiben.

Zuletzt aktualisiert

War das hilfreich?