Worum es wirklich geht

Lokale Administratorpasswörter sind selten das erste Thema in einem AD-Projekt. Im Angriffspfad sind sie trotzdem häufig relevant: ein wiederverwendetes lokales Passwort, ein zu breiter Helpdesk-Zugriff oder ein unklarer Break-Glass-Prozess reichen aus, um aus einem Client-Problem einen Domänenpfad zu machen.

Windows LAPS ist deshalb kein kosmetischer Baseline-Punkt. Es ist eine Kontrolle gegen laterale Bewegung und gegen operative Hektik im Incident.

Rollout ohne Nebenwirkungen

  • Zielgruppen sauber trennen: Clients, Server, Sondergeräte und Domain Controller haben unterschiedliche Risiken.
  • Backup-Ziel bewusst wählen: AD DS, Microsoft Entra oder ein hybrides Modell.
  • Leserechte eng delegieren; Passwortabruf ist ein privilegierter Vorgang.
  • Rotation nach Nutzung und nach Rollenwechseln testen.
  • DSRM-Passwörter auf Domain Controllern in den Betriebsprozess aufnehmen.

Was ich früh prüfen würde

  1. Welche OUs erhalten welche LAPS-Policy?
  2. Wer darf Passwörter lesen und wer darf nur rotieren?
  3. Werden Abrufe geloggt und regelmäßig geprüft?
  4. Gibt es alte lokale Admin-Gruppen, die die Wirkung unterlaufen?
  5. Funktioniert der Recovery-Prozess auch außerhalb der Bürozeiten?

Was dadurch besser wird

  • Wiederverwendete lokale Adminpasswörter verschwinden aus dem Angriffspfad.
  • Helpdesk-Zugriffe werden nachvollziehbar, weil Abruf und Rotation dokumentiert werden können.
  • DSRM- und lokale Recovery-Szenarien lassen sich kontrollierter betreiben.

Wo es weh tun kann

  • Zu breite Leserechte machen LAPS selbst zu einem attraktiven Ziel.
  • Alte lokale Admin-Gruppen oder manuelle Passwortprozesse können die Wirkung unterlaufen.
  • Wenn Rotation nach Abruf nicht getestet ist, bleiben Passwörter länger nutzbar als geplant.

Checks vor dem Rollout

  1. Welche OUs bekommen welche Policy?
  2. Wer darf lesen, wer darf rotieren, wer darf delegieren?
  3. Werden Abrufe protokolliert und reviewed?
  4. Sind DSRM und Break-Glass-Prozesse Teil des Betriebsmodells?

Kurz gesagt

LAPS ist schnell aktiviert. Sicher wird es erst, wenn Berechtigungen, Rotation und Betriebsprozesse genauso sauber sind wie die GPO.