# Lösung für das lokale Administratorkennwort (LAPS)
Unsere Local Administrator Password Solution (LAPS) wurde entwickelt, um das Problem identischer Konten in Ihrer Umgebung für Benutzersupport oder Privilegieneskalation zu lösen. LAPS erstellt sichere Passwörter für lokale Konten, die sicher gespeichert werden in *Ihrem eigenen* [Azure Key Vault](/de/realmjoin-agent/realmjoin-client/local-admin-password-solution-laps/keyvault.md). Für Audits haben Sie die Möglichkeit, eine [Application Insights](/de/realmjoin-agent/realmjoin-client/local-admin-password-solution-laps/application-insights.md) Instanz oder ein [Log Analytics Workspace](/de/protokolle/log-analytics.md).
## Voraussetzungen
Bevor Sie mit LAPS beginnen können, müssen Sie die folgenden Voraussetzungen erfüllen:
* Einrichten [Application Insights](#application-insights) ODER [Log Analytics Workspace](/de/protokolle/log-analytics.md)
* LAPS-Kontotypen explizit über Gruppen- (oder Benutzer-) Einstellungen aktivieren
Wir sehen uns beide unten an.
## Protokollierung
Application Insights und Log Analytics spielen bei der Verwendung von LAPS eine wichtige Rolle. Die von LAPS ausgelösten Passwortanforderungen werden von RealmJoin protokolliert und an die konfigurierte Application Insights-Instanz oder den Log Analytics Workspace weitergeleitet. Auf diese Weise haben Sie vollständigen Einblick, wer Passwörter abruft.
Es muss nur eine Protokollierungsform gewählt werden – entweder Application Insights oder Log Analytics. Die Protokollierung ist bei der Einrichtung von LAPS optional und kann übersprungen werden, wenn Ihre Organisation diese Informationen nicht benötigt.
Weitere Details finden Sie in unseren [Application Insights](/de/realmjoin-agent/realmjoin-client/local-admin-password-solution-laps/application-insights.md) und [Log Analytics](/de/protokolle/log-analytics.md) Artikeln.
## Gruppeneinstellungen
LAPS unterstützt die folgenden globalen Einstellungen.
| Einstellungsschlüssel | Standardwert | Beschreibung |
| ---------------------------------- | ------------ | ----------------------------------------------------------------------------------------------------------------------------------------------------- |
| LocalAdminManagement.Inactive | `false` | Auf `wahr` setzen, um diese Funktion zu deaktivieren. Dadurch werden alle lokalen Konten bereinigt und **gelöscht** . |
| LocalAdminManagement.CheckInterval | `"01:00"` | Intervall für interne Konfigurationsprüfungen ([HH:mm](https://docs.microsoft.com/en-us/dotnet/standard/base-types/standard-timespan-format-strings)) |
Die folgenden Kontotypen werden unterstützt.
| Einstellungsschlüssel | Standardwert |
| -------------------------------------- | ------------------------- |
| LocalAdminManagement.EmergencyAccount | `undefiniert` (*inaktiv*) |
| LocalAdminManagement.SupportAccount | `undefiniert` (*inaktiv*) |
| LocalAdminManagement.PrivilegedAccount | `undefiniert` (*inaktiv*) |
Jeder Kontotyp kann unabhängig mit den folgenden allgemeinen Einstellungen konfiguriert werden. Einige Typen haben spezielle Einstellungen, die in ihrem jeweiligen Abschnitt beschrieben sind.
{% hint style="info" %}
In der folgenden Tabelle `$` steht für einen der drei `Account` JSON-Objekt von oben.
{% endhint %}
| Einstellungsschlüssel | Standardwert | Beschreibung |
| --------------------- | -------------------------------------------------------------------- | --------------------------------------------------------------------------------------------------- |
| $.NamePattern | `"ADM-{HEX:8}"` | Besonders. Siehe [Privileged account](#privileged-account). Muss 20 Zeichen oder weniger lang sein. |
| $.DisplayName | `"RealmJoin Local Administrator"` | Anzeigename |
| $.PasswordCharSet | `"!#%+23456789:=?@ABCDEFGHJKLMNPRSTUVWXYZabcdefghijkmnopqrstuvwxyz"` | Zeichensatz für den Passwortgenerator (schließt leicht verwechselbare Zeichen aus) |
| $.PasswordLength | 20 | Passwortlänge |
| $.PasswordPreset | 0 | Vordefinierte Passwortvorlagen, siehe [Passwortgenerierung](#password-generation). |
| $.MaxStaleness | Besonders. Siehe [Neuerstellung des Kontos](#account-recreation). | Vordefinierte Passwortvorlagen, siehe [Passwortgenerierung](#password-generation). |
| $.OnDemand | Besonders. Siehe [Support account](#support-account). | Konto nur bei Anforderung erstellen. |
| $.Expiration | Besonders. Siehe [Support account](#support-account). | Festes Ablaufdatum des Kontos (ISO-8601-Format) |
| $.PasswordRenewals | Besonders. Siehe [Privileged account](#privileged-account). | Festes Ablaufdatum des Kontos (ISO-8601-Format) |
## Passwort **generierung**
Standardmäßig werden wirklich zufällige Passwörter basierend auf den Einstellungen `PasswordCharSet` und `PasswordLength`generiert. Der Standardzeichensatz wurde so gewählt, dass ähnlich aussehende Zeichen wie `I1l` und `O0`ausgeschlossen werden. Der kryptografische Zufallszahlengenerator von Windows wird verwendet, um bei der Generierung eine hohe Zufallsqualität zu gewährleisten.
{% hint style="info" %}
RealmJoin behandelt Probleme mit den Komplexitätsanforderungen von Windows bei der Kontoerstellung automatisch. Wie bei allen wirklich zufälligen Passwörtern kann es vorkommen, dass generierte Passwörter die Komplexitätsanforderungen nicht erfüllen. Falls dies geschieht, führt RealmJoin bis zu drei Runden der Passwortgenerierung durch, bis ein brauchbares Passwort erzeugt wurde. Es besteht eine statistisch geringe Restwahrscheinlichkeit, dass alle Wiederholungen ausgeschöpft werden. In diesem Fall sehen Sie eine Meldung in der Service-Logdatei ähnlich wie `Alle Wiederholungen ausgeschöpft`. Der gesamte Vorgang wird beim nächsten Lauf der internen Konfigurationsprüfungen neu gestartet (siehe Einstellung `CheckInterval`).
{% endhint %}
Wirklich zufällige Passwörter können umständlich zu verwenden sein, weshalb auch spezielle vordefinierte Vorlagen unterstützt werden.
* Vorgabe 1 ⇒ `[1 Groß][3 klein][4 Ziffer]`
* `Tuci9325`
* `Lnso5050`
* `Khwn2174`
* Vorgabe 2 ⇒ `Key-[6 Ziffern]-[6 Ziffern]-[6 Ziffern]-[6 Ziffern]-[6 Ziffern]-[6 Ziffern]-[6 Ziffern]-[6 Ziffern]`
* PasswordLength-Einstellung wird unterstützt! Die Einstellung bestimmt die Anzahl der Ziffernblöcke.
* `Key-012993-230956-976475` (PasswordLength = 3)
* `Key-497254-679158-631224-278319` (PasswordLength = 4)
* `Key-506179-861369-706482-613244-730371-097689-404350-340073` (Standard)
* Vorgabe 3 ⇒ `[Wort]-[Wort]-[Wort]-[Wort]-[Wort]-[Wort]` generiert aus [Eff Long List](https://www.eff.org/files/2016/07/18/eff_large_wordlist.txt)
* PasswordLength-Einstellung wird unterstützt! Die Einstellung bestimmt die Anzahl der Wörter.
* `Exciting-Unearth-Cried-87` (PasswordLength = 3)
* `Neurology-Astute-Debate-Marshy-15` (PasswordLength = 4)
* `Marshy-Darkened-Undertake-Reset-Shrouded-Wise-26` (Standard)
## Neuerstellung des Kontos
Nachdem ein Konto verwendet wurde, kann RealmJoin so konfiguriert werden, dass das Konto mit der `MaxStaleness` Einstellung gelöscht und neu erstellt wird. Auf diese Weise sind Konten immer sauber. Wenn nichts konfiguriert ist, werden Konten nie neu erstellt und bleiben unbegrenzt bestehen.
{% hint style="danger" %}
RealmJoin wird das Konto und sein Profil löschen. **Alle Dateien werden dauerhaft gelöscht.**
Wenn ein Konto noch in Verwendung ist – noch angemeldet, Sitzung offen, Anwendung mit ADM gestartet und noch laufend – läuft das Konto zwar ab, kann aber nicht gelöscht werden. **Ein neues Konto kann nicht erstellt werden, solange das alte Konto nicht gelöscht ist.**
{% endhint %}
## Konfliktvermeidung
Obwohl RealmJoin sein Bestes versucht, um Namenskonflikte bei der Verwaltung der Konten auf einem Gerät zu vermeiden, besteht immer die Möglichkeit, dass Konten bereits auf einem Gerät existieren und Konflikte verursachen. Deshalb unterstützt die `NamePattern` -Einstellung diese Tokens mit einer speziellen Bedeutung für RealmJoin. Die Tokens werden durch die angegebene Funktion und ihren Längenparameter nach dem Doppelpunkt umgewandelt.
* `{HEX:8}` ⇒ `F4D027EF`, `B3C4F74E`, ... (zufällige hexadezimale Zeichen)
* `{DEC:6}` ⇒ `506453`, `066946`, ... (zufällige dezimale Zeichen)
* `{COUNT:2}` ⇒ `01`, `02`, ... (Zähler, bleibt `01` wenn keine Konflikte bestehen)
## Notfallkonto
Dieser Kontotyp ist Ihr Backup-Zugriff auf das Gerät, falls es katastrophal ausfällt. Er wird proaktiv erstellt. Auf diese Weise haben Sie immer Zugriff für die Wiederherstellung. Wir empfehlen, ihn für [Kontoneuerstellung](#account-recreation).
*Beispiel*
Schlüssel `LocalAdminManagement.EmergencyAccount` zu konfigurieren (für allgemeine Einstellungen siehe [Gruppeneinstellungen](#group-settings))
```json
{
"NamePattern": "ADM-Emergency-{HEX:4}",
"DisplayName": "Emergency Access",
"MaxStaleness": "04:00",
"PasswordPreset": 2
}
```
## Support account
Dieser Kontotyp kann für die bedarfsgesteuerte Erstellung konfiguriert werden. Er ist für die Verwendung in einem begrenzten Zeitfenster von 12 Stunden im On-Demand-Modus vorgesehen.
{% hint style="danger" %}
Support-Konten und ihre Profile werden 12 Stunden nach der Anforderung des Kontos gelöscht, unabhängig von der Nutzung (nachdem sich der Support-Benutzer abgemeldet hat). **Alle Dateien werden dauerhaft gelöscht.**
{% endhint %}
{% hint style="danger" %}
Bei Verwendung des On-Demand-Modus zur Kontoneuerstellung (`MaxStaleness`) *sollte nicht verwendet werden*. Es kann Ihren Support-Workflow beeinträchtigen.
{% endhint %}
Anforderungen für den On-Demand-Workflow:
* Der Modus wird aktiviert, indem `"OnDemand": true`.
* ein Benutzer angemeldet ist
* der RealmJoin-Agent ausgeführt wird
* das Gerät mit dem Internet verbunden ist
* das Gerät das RealmJoin-Backend erreichen kann
{% hint style="info" %}
Es kann bis zu 30 Minuten dauern, bis der RealmJoin-Agent die Anforderung bemerkt. Der angemeldete Benutzer kann diesen Vorgang beschleunigen, indem er im RealmJoin-Infobereichsmenü "Dieses Gerät synchronisieren" auswählt.
{% endhint %}
Wenn nicht im On-Demand-Modus, wird es proaktiv erstellt.
*Beispiel*
Schlüssel `LocalAdminManagement.SupportAccount` zu konfigurieren (für allgemeine Einstellungen siehe [Gruppeneinstellungen](#group-settings))
```json
{
"NamePattern": "ADM-Support-User-{HEX:2}",
"DisplayName": "Support User",
"OnDemand": true,
"PasswordPreset": 1
}
```
## Privileged account
Dieser Kontotyp ist für Power-User gedacht, die auf ihren eigenen Geräten regelmäßige, aber kontrollierte Administratorrechte benötigen. Ein festes Ablaufdatum des Kontos kann angegeben werden (`Ablauf`).
{% hint style="danger" %}
Bei diesem Kontotyp sollte eine Kontoneuerstellung (`MaxStaleness`) *sollte nicht verwendet werden*. Der ganze Zweck besteht darin, einen persistenten Account für Ihre Benutzer zu haben.
{% endhint %}
Erzwungene Passwortrotationen werden unterstützt:
1. `2021-11-20T12:34:56+01:00`: Jeder explizite Zeitstempel im ISO-8601-Format. Es können mehrere Zeitstempel angegeben werden.
2. `DayAfterCreate`: Nachdem das Konto erstellt wurde, wird das Passwort des Kontos geändert. Dies ist nützlich, wenn Benutzer Windows Hello für zusätzliche Anmeldeoptionen einrichten sollen.
3. `Jährlich`, `Monatlich` oder `Wöchentlich`: Das kürzere Intervall hat Vorrang (`Wöchentlich` > `Monatlich` > `Jährlich`). Wenn keine weiteren Bedingungen angegeben sind, sind die Standardwerte "1. Tag des Monats" für `Monatlich` oder "Montag" für `Wöchentlich`. Zusätzlich `Jährlich` ist standardmäßig das Datum der letzten Passwortsetzung + 365 Tage. Alle sieben Wochentage können angegeben werden. Wenn also `Wednesday` und `Wöchentlich` angegeben sind, wird das Passwort jeden Mittwoch geändert. Wenn `Wednesday` und `Monatlich` angegeben sind, wird das Passwort am ersten Mittwoch jedes Monats geändert. Die Kombination von `Jährlich` mit Wochentagen legt die Frist auf den spätestmöglichen angegebenen Wochentag kurz vor Ablauf der 365 Tage fest.
*Beispiel*
Schlüssel `LocalAdminManagement.PrivilegedAccount` zu konfigurieren (für allgemeine Einstellungen siehe [Gruppeneinstellungen](#group-settings))
```json
{
"NamePattern": "Privileged-User-{COUNT:1}",
"DisplayName": "Privileged User",
"PasswordRenewals": ["DayAfterCreate", "Monthly", "Thursday"],
"PasswordPreset": 3,
"PasswordLength": 3
}
```
## Zugriff auf Passwörter
Verwenden Sie das RealmJoin-Portal, um auf die Passwörter zuzugreifen.
## Self-Service aktivieren
Benutzer können auf Konten zugreifen, die auf ihren *eigenen* Geräten erstellt wurden (sie sind "PrimaryUser"), wenn dies mit dem *RealmJoin Portal* ab Version `2022.5.1`aktiviert wird. Um dies zu aktivieren, definieren Sie eine Einstellung mit dem Schlüssel `Allow.SelfLAPS`. Diese Einstellung kann für Gruppen und Benutzer definiert werden. Wie bei allen Einstellungen mit dem Präfix `Allow.*` werden sie über den Benutzer und alle seine Gruppen hinweg per UND verknüpft.
```json
{
"EmergencyAccount": true,
"SupportAccount": true,
"PrivilegedAccount": true
}
```
Der Wert kann auch ein reines Boolean sein `wahr`/`false`. Dies kann als Platzhalter verwendet werden und umfasst jeden aktuellen und zukünftigen Kontotyp. Bitte beachten Sie, dass dies nur zum Deaktivieren des Zugriffs empfohlen wird (`false`).
{% hint style="info" %}
Früher wurde empfohlen, diese Einstellung auf `wahr`zu setzen. Da wir RealmJoin jedoch weiter ausbauen, werden neue Kontotypen hinzugefügt. Daher wird dringend empfohlen, alle `wahr` Werte auf die explizitere Objektnotation zu migrieren
{% endhint %}
Eine Beispielkonfiguration könnte so aussehen:
| Gruppe | | Kommentar |
| ----------------------- | --------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| Alle Remote-Mitarbeiter | `{ "EmergencyAccount": true }` | Remote-Mitarbeiter können auf das Notfallkonto ihrer eigenen Geräte zugreifen. |
| Alle Entwickler | `{ "EmergencyAccount": true, "PrivilegedAccount": true }` | Entwickler können auf ihr Notfallkonto und ihr Privileged account zugreifen – unabhängig davon, ob sie Remote-Mitarbeiter sind oder nicht. |
| Alle Auszubildenden | `false` | Auszubildende dürfen niemals Zugriff auf einen der drei Kontotypen haben **und** alle zukünftigen Typen, selbst wenn sie Remote-Mitarbeiter oder Entwickler sind |
{% hint style="info" %}
SelfLAPS ist stärker als die normale LAPS-Rolle. Das heißt, wenn ein Admin-Benutzer LAPS mit seinem normalen Benutzerkonto verwaltet, kann er sein eigenes LAPS nicht verwalten.
Minderung: Aktivieren Sie SelfLAPS für diese Admin-Konten oder verwenden Sie getrennte Admin-Konten.
{% endhint %}
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.realmjoin.com/de/realmjoin-agent/realmjoin-client/local-admin-password-solution-laps.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.