Nach der Veröffentlichung von Windows Patch Tuesday LAPS warnt Microsoft vor schwerwiegenden Legacy-Problemen

Vor ein paar Tagen hat Microsoft die Verfügbarkeit von Windows LAPS (Local Administrator Password Solution) über den Patch Tuesday des Monats angekündigt. Die Funktion ist unter Windows 10 , Windows 11 und auch auf Servern verfügbar.

Seit seiner Veröffentlichung hat Microsoft jedoch Interoperabilitätsprobleme mit älteren LAPS-Problemen bestätigt. Wenn Legacy-LAPS (MSI-Paket) auf Computern installiert wird, auf denen die neuesten Patchday-Updates installiert sind, werden sowohl Legacy- als auch die neuen Windows-LAPS unterbrochen. Normalerweise wird eine Ereignisprotokoll-ID 10031 oder 10032 mit der Meldung „LAPS hat eine externe Anforderung blockiert, die versucht hat, das Kennwort des aktuellen verwalteten Kontos zu ändern“ erstellt.

Microsoft hat auch einen Workaround für den Fehler herausgegeben :

Wir haben einen gemeldeten Legacy-LAPS-Interop-Fehler im obigen Update vom 11. April 2023 verifiziert. Wenn Sie die Legacy-LAPS-GPO-CSE auf einem Computer installieren, der mit dem Sicherheitsupdate vom 11. April 2023 und einer angewendeten Legacy-LAPS-Richtlinie gepatcht wurde, werden sowohl Windows LAPS als auch Legacy-LAPS beschädigt. Zu den Symptomen gehören die Windows LAPS-Ereignisprotokoll-IDs 10031 und 10032 sowie die Legacy-LAPS-Ereignis-ID 6. Microsoft arbeitet an einer Lösung für dieses Problem. Sie können dieses Problem umgehen, indem Sie entweder: a) Legacy-LAPS deinstallieren oder b) alle Registrierungswerte unter dem Registrierungsschlüssel HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\State löschen.

Microsoft hat auf seiner LAPS-Übersichtsseite auch eine detailliertere Beschreibung der beiden dokumentierten Probleme bereitgestellt:

Problem Nr. 1 : Wenn Sie die Legacy-LAPS-CSE auf einem Gerät installieren, das mit dem Sicherheitsupdate vom 11. April 2023 und einer angewendeten Legacy-LAPS-Richtlinie gepatcht wurde, werden sowohl Windows LAPS als auch Legacy-LAPS in einen fehlerhaften Zustand versetzt, in dem keine der Funktionen das Kennwort für aktualisiert verwaltetes Konto. Zu den Symptomen gehören die Windows LAPS-Ereignisprotokoll-IDs 10031 und 10033 sowie die Legacy-LAPS-Ereignis-ID 6. Microsoft arbeitet an einer Lösung für dieses Problem.

Für das obige Problem gibt es zwei primäre Problemumgehungen:

A. Deinstallieren Sie die alte LAPS CSE (Ergebnis: Windows LAPS übernimmt die Verwaltung des verwalteten Kontos)

B. Legacy-LAPS-Emulationsmodus deaktivieren (Ergebnis: Legacy-LAPS übernimmt die Verwaltung des verwalteten Kontos)

Problem Nr. 2 : Wenn Sie eine Legacy-LAPS-Richtlinie auf ein Gerät anwenden, das mit dem Update vom 11. April 2023 gepatcht wurde, wird Windows LAPS sofort die Legacy-LAPS-Richtlinie durchsetzen/einhalten, was störend sein kann (z. Deaktivieren Sie den Legacy-LAPS-Emulationsmodus, um diese Probleme zu vermeiden.

Weitere Einzelheiten zu LAPS und den Problemen finden Sie auf der Website von Microsoft .