> For the complete documentation index, see [llms.txt](https://docs.realmjoin.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.realmjoin.com/de/realmjoin-agent/realmjoin-client/local-admin-password-solution-laps.md).
# Lösung für lokales Administratorkennwort (LAPS)
Unsere Lösung für das lokale Administratorpasswort (LAPS) wurde entwickelt, um das Problem identischer Konten in Ihrer Umgebung für den Benutzersupport oder zur Privilegienerweiterung zu lösen. LAPS erstellt starke Passwörter für lokale Konten, die sicher gespeichert werden in *Ihrem eigenen* [Azure Key Vault](/de/realmjoin-agent/realmjoin-client/local-admin-password-solution-laps/keyvault.md). Für die Auditierung haben Sie die Option, eine [Application Insights](/de/realmjoin-agent/realmjoin-client/local-admin-password-solution-laps/application-insights.md) Instanz oder ein [Log Analytics Workspace](/de/uberwachung-and-protokolle/log-analytics.md).
## Voraussetzungen
Bevor Sie mit LAPS beginnen können, müssen Sie die folgenden Voraussetzungen erfüllen:
* Einrichten [Application Insights](#application-insights) ODER [Log Analytics Workspace](/de/uberwachung-and-protokolle/log-analytics.md)
* LAPS-Kontotypen explizit mithilfe von Gruppen- (oder Benutzer-)Einstellungen aktivieren
Wir sehen uns weiter unten beide an.
## Protokollierung
Application Insights und Log Analytics spielen bei der Verwendung von LAPS eine wichtige Rolle. Die von LAPS ausgelösten Passwortanforderungen werden von RealmJoin protokolliert und an die konfigurierte Application Insights-Instanz oder das Log Analytics Workspace weitergeleitet. So haben Sie vollständige Einblicke darin, wer Passwörter abruft.
Es muss nur eine Form der Protokollierung gewählt werden – entweder Application Insights oder Log Analytics. Die Protokollierung ist bei der Einrichtung von LAPS optional und kann übersprungen werden, wenn Ihre Organisation diese Informationen nicht benötigt.
Weitere Details finden Sie in unseren [Application Insights](/de/realmjoin-agent/realmjoin-client/local-admin-password-solution-laps/application-insights.md) und [Log Analytics](/de/uberwachung-and-protokolle/log-analytics.md) Artikeln.
## Gruppeneinstellungen
LAPS unterstützt die folgenden globalen Einstellungen.
| Einstellungsschlüssel | Standardwert | Beschreibung |
| ---------------------------------- | ------------ | ----------------------------------------------------------------------------------------------------------------------------------------------------- |
| LocalAdminManagement.Inactive | `false` | Setzen Sie es auf `true` um diese Funktion zu erzwingen, aus. Dadurch werden bereinigt und **gelöscht** alle lokalen Konten. |
| LocalAdminManagement.CheckInterval | `"01:00"` | Intervall für interne Konfigurationsprüfungen ([HH:mm](https://docs.microsoft.com/en-us/dotnet/standard/base-types/standard-timespan-format-strings)) |
Die folgenden Kontotypen werden unterstützt.
| Einstellungsschlüssel | Standardwert |
| -------------------------------------- | ----------------------------- |
| LocalAdminManagement.EmergencyAccount | `nicht definiert` (*inaktiv*) |
| LocalAdminManagement.SupportAccount | `nicht definiert` (*inaktiv*) |
| LocalAdminManagement.PrivilegedAccount | `nicht definiert` (*inaktiv*) |
Jeder Kontotyp kann mithilfe der folgenden allgemeinen Einstellungen unabhängig konfiguriert werden. Einige Typen haben spezielle Einstellungen, die in ihrem jeweiligen Abschnitt beschrieben sind.
{% hint style="info" %}
In der folgenden Tabelle `$` steht für eine der drei `Konten` JSON-Objekte von oben.
{% endhint %}
| Einstellungsschlüssel | Standardwert | Beschreibung |
| --------------------- | -------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------- |
| $.NamePattern | `"ADM-{HEX:8}"` | Speziell. Siehe [Privilegiertes Konto](#privileged-account). Muss 20 Zeichen oder weniger lang sein. |
| $.DisplayName | `"RealmJoin Lokaler Administrator"` | Anzeigename |
| $.PasswordCharSet | `"!#%+23456789:=?@ABCDEFGHJKLMNPRSTUVWXYZabcdefghijkmnopqrstuvwxyz"` | Zeichensatz für den Passwortgenerator (ähnlich aussehende Zeichen ausgeschlossen) |
| $.PasswordLength | 20 | Passwortlänge |
| $.PasswordPreset | 0 | Vordefinierte Passwortvorlagen, siehe [Passwortgenerierung](#password-generation). |
| $.MaxStaleness | Speziell. Siehe [Kontowiedererstellung](#account-recreation). | Vordefinierte Passwortvorlagen, siehe [Passwortgenerierung](#password-generation). |
| $.OnDemand | Speziell. Siehe [Support-Konto](#support-account). | Konto nur auf Anforderung erstellen. |
| $.Expiration | Speziell. Siehe [Support-Konto](#support-account). | Fester Ablaufzeitpunkt des Kontos (ISO-8601-Format) |
| $.PasswordRenewals | Speziell. Siehe [Privilegiertes Konto](#privileged-account). | Fester Ablaufzeitpunkt des Kontos (ISO-8601-Format) |
## Passwort **Generierung**
Standardmäßig werden auf Grundlage der Einstellungen wirklich zufällige Passwörter generiert `PasswordCharSet` und `PasswordLength`. Der Standardzeichensatz wurde so gewählt, dass ähnlich aussehende Zeichen wie `I1l` und `O0`. Der kryptografische Zufallszahlengenerator von Windows wird verwendet, um hochwertige Zufälligkeit für die Generierung bereitzustellen.
{% hint style="info" %}
RealmJoin wird Probleme mit den Komplexitätsanforderungen von Windows bei der Kontoerstellung automatisch behandeln. Wie bei allen wirklich zufälligen Passwörtern kann es vorkommen, dass generierte Passwörter die Komplexitätsanforderungen nicht erfüllen. Wenn dies passiert, führt RealmJoin bis zu drei Runden der Passwortgenerierung aus, bis ein nutzbares Passwort erzeugt wurde. Es besteht eine statistisch kleine Restwahrscheinlichkeit, dass alle Wiederholungsversuche überschritten werden. In diesem Fall sehen Sie eine Meldung in der Service-Logdatei ähnlich wie `Alle Wiederholungsversuche ausgeschöpft`. Der gesamte Vorgang wird beim nächsten Lauf der internen Konfigurationsprüfungen neu gestartet (siehe Einstellung `CheckInterval`).
{% endhint %}
Mit wirklich zufälligen Passwörtern kann die Arbeit mühsam sein, weshalb auch spezielle vordefinierte Vorlagen unterstützt werden.
* Voreinstellung 1 ⇒ `[1 Großbuchstabe][3 Kleinbuchstaben][4 Ziffern]`
* `Tuci9325`
* `Lnso5050`
* `Khwn2174`
* Voreinstellung 2 ⇒ `Key-[6 Ziffern]-[6 Ziffern]-[6 Ziffern]-[6 Ziffern]-[6 Ziffern]-[6 Ziffern]-[6 Ziffern]-[6 Ziffern]`
* Die Einstellung PasswordLength wird unterstützt! Die Einstellung bestimmt die Anzahl der Ziffernblöcke.
* `Key-012993-230956-976475` (PasswordLength = 3)
* `Key-497254-679158-631224-278319` (PasswordLength = 4)
* `Key-506179-861369-706482-613244-730371-097689-404350-340073` (Standard)
* Voreinstellung 3 ⇒ `[Wort]-[Wort]-[Wort]-[Wort]-[Wort]-[Wort]` generiert aus [Eff Long List](https://www.eff.org/files/2016/07/18/eff_large_wordlist.txt)
* Die Einstellung PasswordLength wird unterstützt! Die Einstellung bestimmt die Anzahl der Wörter.
* `Exciting-Unearth-Cried-87` (PasswordLength = 3)
* `Neurology-Astute-Debate-Marshy-15` (PasswordLength = 4)
* `Marshy-Darkened-Undertake-Reset-Shrouded-Wise-26` (Standard)
## Kontowiedererstellung
Nachdem ein Konto verwendet wurde, kann RealmJoin so konfiguriert werden, dass das Konto mithilfe der `MaxStaleness` Einstellung gelöscht und neu erstellt wird. Auf diese Weise sind Konten immer makellos. Wenn sie nicht konfiguriert ist, werden Konten nie neu erstellt und bleiben unbegrenzt bestehen.
{% hint style="danger" %}
RealmJoin wird das Konto und sein Profil löschen. **Alle Dateien werden dauerhaft gelöscht.**
Wenn ein Konto noch verwendet wird – noch angemeldet, Sitzung offen, Anwendung mit ihm als ADM gestartet und noch laufend – läuft das Konto zwar weiterhin ab, kann aber nicht gelöscht werden. **Ein neues Konto kann nicht erstellt werden, solange das alte Konto nicht gelöscht ist.**
{% endhint %}
## Konfliktvermeidung
Obwohl RealmJoin sein Bestes tut, um Namenskonflikte bei der Verwaltung der Konten auf einem Gerät zu vermeiden, besteht immer die Möglichkeit, dass Konten auf einem Gerät bereits vorhanden sind und Konflikte verursachen. Deshalb unterstützt die `NamePattern` Einstellung diese Tokens mit spezieller Bedeutung für RealmJoin. Die Tokens werden von der angegebenen Funktion und ihrem Längenparameter nach dem Doppelpunkt umgewandelt.
* `{HEX:8}` ⇒ `F4D027EF`, `B3C4F74E`, ... (zufällige hexadezimale Zeichen)
* `{DEC:6}` ⇒ `506453`, `066946`, ... (zufällige Dezimalzeichen)
* `{COUNT:2}` ⇒ `01`, `02`, ... (Zähler, bleibt `01` wenn keine Konflikte bestehen)
## Notfallkonto
Dieser Kontotyp ist Ihr Backup-Zugriff auf das Gerät, falls es katastrophal ausfällt. Er wird proaktiv erstellt. So haben Sie immer Zugriff zur Wiederherstellung. Wir empfehlen, ihn für [Kontowiedererstellung](#account-recreation).
*Beispiel*
Schlüssel `LocalAdminManagement.EmergencyAccount` (für gemeinsame Einstellungen siehe [Gruppeneinstellungen](#group-settings))
```json
{
"NamePattern": "ADM-Emergency-{HEX:4}",
"DisplayName": "Notfallzugriff",
"MaxStaleness": "04:00",
"PasswordPreset": 2
}
```
## Support-Konto
Dieser Kontotyp kann für die Erstellung auf Anforderung konfiguriert werden. Er ist für die Verwendung in einem begrenzten Zeitfenster von 12 Stunden im On-Demand-Modus vorgesehen.
{% hint style="danger" %}
Support-Konten und ihre Profile werden 12 Stunden nach Anforderung des Kontos unabhängig von der Nutzung gelöscht (nachdem sich der Support-Benutzer abgemeldet hat). **Alle Dateien werden dauerhaft gelöscht.**
{% endhint %}
{% hint style="danger" %}
Wenn die Kontowiedererstellung im On-Demand-Modus verwendet wird (`MaxStaleness`) *sollte nicht verwendet werden*. Es kann Ihren Support-Workflow beeinträchtigen.
{% endhint %}
Anforderungen für den On-Demand-Workflow:
* Der Modus wird aktiviert, indem `"OnDemand": true`.
* Ein Benutzer ist angemeldet
* Der RealmJoin-Agent läuft
* Das Gerät ist mit dem Internet verbunden
* Das Gerät kann das RealmJoin-Backend erreichen
{% hint style="info" %}
Es kann bis zu 30 Minuten dauern, bis der RealmJoin-Agent die Anforderung bemerkt. Der angemeldete Benutzer kann diesen Vorgang beschleunigen, indem er im RealmJoin-Tray-Menü "Dieses Gerät synchronisieren" auswählt.
{% endhint %}
Wenn nicht im On-Demand-Modus, wird es proaktiv erstellt.
*Beispiel*
Schlüssel `LocalAdminManagement.SupportAccount` (für gemeinsame Einstellungen siehe [Gruppeneinstellungen](#group-settings))
```json
{
"NamePattern": "ADM-Support-User-{HEX:2}",
"DisplayName": "Support-Benutzer",
"OnDemand": true,
"PasswordPreset": 1
}
```
## Privilegiertes Konto
Dieser Kontotyp ist für Power-User gedacht, die auf ihren eigenen Geräten regelmäßig, aber kontrolliert Administratorrechte benötigen. Ein festes Ablaufdatum des Kontos kann angegeben werden (`Expiration`).
{% hint style="danger" %}
Für diesen Kontotyp ist die Kontowiedererstellung (`MaxStaleness`) *sollte nicht verwendet werden*. Der ganze Sinn besteht darin, für Ihre Benutzer ein persistentes Konto zu haben.
{% endhint %}
Erzwungene Passwortrotationen werden unterstützt:
1. `2021-11-20T12:34:56+01:00`: Beliebiger expliziter Zeitstempel im ISO-8601-Format. Es können mehrere Zeitstempel angegeben werden.
2. `DayAfterCreate`: Nachdem das Konto erstellt wurde, wird das Passwort des Kontos geändert. Dies ist nützlich, wenn Benutzer Windows Hello für zusätzliche Anmeldeoptionen einrichten sollen.
3. `Yearly`, `Monatlich` oder `Weekly`: Das kürzere Intervall hat Vorrang (`Weekly` > `Monatlich` > `Yearly`). Wenn keine weiteren Bedingungen angegeben sind, sind die Standardwerte "1st day of month" für `Monatlich` oder "monday" für `Weekly`. Zusätzlich, `Yearly` ist standardmäßig das Datum der zuletzt gesetzten Passwörter + 365 Tage. Alle sieben Wochentage können angegeben werden. Wenn also `Wednesday` und `Weekly` angegeben sind, wird das Passwort jeden Mittwoch geändert. Wenn `Wednesday` und `Monatlich` angegeben sind, wird das Passwort an jedem ersten Mittwoch des Monats geändert. Die Kombination von `Yearly` mit Wochentagen legt die Frist auf den zuletzt möglichen angegebenen Wochentag kurz bevor 365 Tage ablaufen fest.
*Beispiel*
Schlüssel `LocalAdminManagement.PrivilegedAccount` (für gemeinsame Einstellungen siehe [Gruppeneinstellungen](#group-settings))
```json
{
"NamePattern": "Privileged-User-{COUNT:1}",
"DisplayName": "Privilegierter Benutzer",
"PasswordRenewals": ["DayAfterCreate", "Monthly", "Thursday"],
"PasswordPreset": 3,
"PasswordLength": 3
}
```
## Passwörter abrufen
Verwenden Sie das RealmJoin-Portal, um auf die Passwörter zuzugreifen.
## Self-Service aktivieren
Benutzer können auf Konten zugreifen, die auf ihren *eigenen* Geräten (sie sind "PrimaryUser") erstellt werden, wenn dies mit dem *RealmJoin Portal* beginnend mit Version `2022.5.1`. Um dies zu aktivieren, definieren Sie eine Einstellung mit dem Schlüssel `Allow.SelfLAPS`. Diese Einstellung kann auf Gruppen und Benutzern definiert werden. Wie bei allen Einstellungen mit dem Präfix `Allow.*` werden sie über den Benutzer und alle seine Gruppen per UND verknüpft.
```json
{
"EmergencyAccount": true,
"SupportAccount": true,
"PrivilegedAccount": true
}
```
Der Wert kann auch rein boolesch sein `true`/`false`. Dies kann als Platzhalter verwendet werden und umfasst jeden aktuellen und zukünftigen Kontotyp. Bitte beachten Sie, dass dies nur zum Deaktivieren des Zugriffs empfohlen wird (`false`).
{% hint style="info" %}
Früher wurde empfohlen, diese Einstellung auf `true`. Allerdings werden wir RealmJoin weiterhin erweitern, und neue Kontotypen werden hinzugefügt. Es wird daher dringend empfohlen, alle `true` Werte in die explizitere Objektnotation zu migrieren
{% endhint %}
Eine Beispielkonfiguration könnte so aussehen:
| Gruppe | | Kommentar |
| ----------------------- | --------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| Alle Remote-Mitarbeiter | `{ "EmergencyAccount": true }` | Remote-Mitarbeiter können auf das Notfallkonto ihrer eigenen Geräte zugreifen. |
| Alle Entwickler | `{ "EmergencyAccount": true, "PrivilegedAccount": true }` | Entwickler können auf ihr Notfallkonto und ihr privilegiertes Konto zugreifen – unabhängig davon, ob sie Remote-Mitarbeiter sind oder nicht. |
| Alle Auszubildenden | `false` | Auszubildende dürfen niemals Zugriff auf einen der drei Kontotypen haben **und** alle zukünftigen Typen, selbst wenn sie Remote-Mitarbeiter oder Entwickler sind |
{% hint style="info" %}
SelfLAPS ist stärker als die normale LAPS-Rolle. Allerdings kann ein Administratorkonto, das LAPS mit seinem regulären Benutzerkonto verwaltet, sein eigenes LAPS nicht verwalten.
Abhilfe: Aktivieren Sie SelfLAPS für diese Administratorkonten oder verwenden Sie separate Administratorkonten.
{% endhint %}
---
# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.
## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:
```
GET https://docs.realmjoin.com/de/realmjoin-agent/realmjoin-client/local-admin-password-solution-laps.md?ask=&goal=
```
`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.