GitHub GitHub Hover Bluesky Bluesky Hover Medium Medium Hover CodePen CodePen Hover YouTube YouTube Hover
GitHub GitHub Hover Bluesky Bluesky Hover Medium Medium Hover CodePen CodePen Hover YouTube YouTube Hover
Impressum | Datenschutz

LAPS Lösung für lokale Administrator-Passwörter

Mit Windows LAPS kannst du das Kennwort eines lokalen Administratorkontos auf einem Windows-Gerät automatisch verwalten, regelmäßig rotieren und zentral in Microsoft Entra ID speichern.

Das ist sinnvoll, damit nicht überall dasselbe lokale Admin-Kennwort verwendet wird. Genau so entstehen sonst unnötige Sicherheitsrisiken.

Voraussetzungen

  • Gerät ist Microsoft Entra joined

  • Gerät ist in Intune

  • Gerätegruppe vorhanden, z. B. INTUNE-Autopilot-Devices

  • Admin-Gruppe vorhanden, z. B. INTUNE-Local-Admins

Lokale Administratoren festlegen

Kontoschutz öffnen

Gehe zu:

  • Endpunktsicherheit

  • Kontoschutz

  • Richtlinie erstellen

Dann auswählen:

  • Plattform: Windows

  • Profil: Lokale Benutzergruppenmitgliedschaft

Dann auf Erstellen klicken.

Namen vergeben

Im Feld Name eintragen:

  • z.B. LocalAdmins-Policy

Dann auf Weiter klicken.

Gruppe hinzufügen

In den Configuration settings bei Lokale Benutzer und Gruppen auf:

  • Hinzufügen

klicken.

Admin-Gruppe auswählen

Im Fenster Benutzer/Gruppen auswählen die Gruppe auswählen:

  • INTUNE-Local-Admins

Dann auf Auswählen klicken.

Gruppenkonfiguration prüfen

Danach prüfen, dass die Einstellungen so gesetzt sind:

  • Lokale Gruppe: Administratoren

  • Gruppen- und Benutzeraktion: Hinzufügen (Ersetzen)

  • Art der Benutzerauswahl: Benutzer/Gruppen

Rechts sollte 1 ausgewählt stehen.

Dann auf Weiter klicken.

Bereichstags

Bei Scope tags bzw. Bereichstags nichts ändern.

Einfach auf Weiter klicken.

Zuweisung

Bei Assignments die Gerätegruppe auswählen:

  • INTUNE-Autopilot-Devices

Dann auf Weiter klicken.

Speichern

Die Zusammenfassung prüfen und auf Speichern klicken.

LAPS konfigurieren

LAPS-Richtlinie erstellen

Gehe wieder zu:

  • Endpunktsicherheit

  • Kontoschutz

  • Richtlinie erstellen

Dann auswählen:

  • Plattform: Windows

  • Profil: Local admin password solution (Windows LAPS)

Danach auf Erstellen klicken.

Name vergeben

Im Feld Name eintragen:

  • z.B. WindowsLAPS-Policy

Dann auf Weiter klicken.

LAPS-Einstellungen konfigurieren

Die wichtigsten Einstellungen so setzen:

  • Sicherungsverzeichnis: Nur Kennwort für Microsoft Entra ID sichern
  • Kennwortalter in Tagen: 30
  • Name des Admin-Kontos: Nicht konfiguriert
  • Kennwortkomplexität: Großbuchstaben und Kleinbuchstaben und Zahlen und Sonderzeichen (Standard)
  • Kennwortlänge: 14
  • Aktionen nach der Authentifizierung: Kennwort zurücksetzen: Nach Ablauf des Aktivierungszeitraums wird das Kennwort des verwalteten Kontos zurückgesetzt.
  • Verzögerung beim Zurücksetzen nach der Authentifizierung: 0
  • Automatische Kontoverwaltung aktiviert: Das Zielkonto wird automatisch verwaltet.
  • Konto für automatische Kontoverwaltung aktivieren: Das Zielkonto wird aktiviert

Wichtiger Hinweis zum lokalen Konto

Jetzt kommt der wichtige Punkt, an dem man sich schnell unnötig Arbeit oder Chaos baut.

Fall 1: Es gibt kein lokales Administratorkonto

Dann musst du zusätzlich aktivieren:

  • Automatische Kontoverwaltung aktiviertDas Zielkonto wird automatisch verwaltet.

Dann erstellt bzw. verwaltet Windows LAPS selbst ein lokales Administratorkonto.

Das war in deinem Fall nötig, weil das Gerät per Autopilot eingerichtet wurde und kein nutzbares lokales Administratorkonto vorhanden war.

Fall 2: Es gibt bereits ein lokales Administratorkonto

Dann solltest du Automatische Kontoverwaltung aktiviert nicht einfach zusätzlich aktivieren, wenn du das vorhandene Konto weiterverwenden willst.

Sonst kann Windows LAPS ein zweites lokales Administratorkonto erstellen. Dann hast du am Ende:

  • das alte lokale Konto

  • und zusätzlich das neue LAPS-Konto

Das ist unnötig und unsauber.

Merksatz

  • Kein lokales Konto vorhandenAutomatische Kontoverwaltung aktiviert einschalten

  • Lokales Konto vorhanden und soll genutzt werden → nicht unnötig ein zweites Konto erzeugen

Bereichstags

Bei Scope tags bzw. Bereichstags wieder nichts ändern.

Einfach auf Weiter klicken.

Zuweisung

Bei Assignments wieder die Gerätegruppe auswählen:

  • INTUNE-Autopilot-Devices

Dann auf Weiter klicken.

Speichern

Die Zusammenfassung prüfen und auf Speichern klicken.

LAPS im Tenant aktivieren

Entra-Einstellung öffnen

Gehe im Microsoft Entra Admin Center zu:

  • Geräte

  • Geräteeinstellungen

LAPS aktivieren

Dort die Einstellung aktivieren:

  • Aktivieren der lokalen Microsoft Entra-Administratorkennwortlösung (Local Administrator Password Solution, LAPS)Ja

Dann auf Speichern klicken.

Gerät synchronisieren und Passwort erzeugen

Gerät synchronisieren

Im Geräteobjekt in Intune auf:

  • Synchronisieren

klicken und mit Ja bestätigen.

Passwort rotieren

Im Gerätemenü auf:

  • Lokales Administratorkennwort rotieren

klicken und dann Ja auswählen.

Nach der Rotation muss man kurz warten, bis das neue Kennwort verarbeitet und in Microsoft Entra ID gespeichert wurde.

Je nach Synchronisierung und Intune-Status kann das ein paar Minuten dauern.
Wenn das Kennwort nicht sofort angezeigt wird, die Seite aktualisieren und kurz erneut prüfen.

Falls das Kennwort nicht übernommen wird, die Richtlinie manuell anstoßen:

  1. Lokales Administratorkennwort rotieren
    • Geräte → Alle Geräte → Gerät auswählen → … → Lokales Administratorkennwort rotieren → Ja
  2. Intune-Gerät synchronisieren
    • Geräte → Alle Geräte → Gerät auswählen → Synchronisieren → Ja
  3. Laptop lokal synchronisieren
    • Einstellungen → Konten → Zugriff auf Arbeit oder Schule → Konto auswählen → Info → Synchronisieren
  4. Neustart

Danach kurz 2–5 Minuten warten, damit die Richtlinie vollständig angewendet wird.

Passwort anzeigen

LAPS anzeigen

Im Gerät links auf:

  • Lokales Administratorkennwort

Dann erscheint der Link:

  • Lokales Administratorkennwort anzeigen

Wenn alles funktioniert, siehst du:

  • Lokales Administratorkennwort anzeigen

  • Letzte Kennwortrotation

  • Nächste Kennwortrotation

Zusätzlich kann der Erfolg auch direkt auf dem Laptop in der Ereignisanzeige überprüft werden.
Dort ist im Protokoll Microsoft-Windows-LAPS/Operational das Ereignis mit der ID 10029 zu sehen.

Die Meldung bedeutet, dass Windows LAPS das neue lokale Administratorkennwort erfolgreich aktualisiert und in Microsoft Entra ID gespeichert hat. Damit ist bestätigt, dass die LAPS-Konfiguration nicht nur in Intune sichtbar ist, sondern auch auf dem Gerät selbst korrekt funktioniert.

Ergebnis

Nach der Einrichtung hast du:

  • zentrale Verwaltung eines lokalen Administratorkontos

  • automatische Kennwortrotation

  • Speicherung des Kennworts in Microsoft Entra ID

  • saubere Trennung zwischen Standardbenutzer und lokalen Administratoren

Fazit

Wenn du Windows LAPS sauber einrichtest:

  • gibt es keine statischen lokalen Admin-Passwörter mehr

  • das Kennwort wird automatisch geändert

  • das Kennwort ist zentral in Microsoft Entra ID abrufbar

  • und dein Setup ist deutlich sauberer und sicherer

Der wichtigste Sonderfall ist das lokale Konto:

  • Kein lokales Konto vorhandenAutomatische Kontoverwaltung aktiviert

  • Lokales Konto vorhanden → nicht unnötig zusätzlich automatisch ein zweites lokales Administratorkonto erzeugen

Defender Antivirus in Intune
Defender Antivirus in Intune
Wenn dein Windows-Gerät bereits erfolgreich in Microsoft Defender for Endpoint onboarded ist, kannst du als Nächstes eine Microsoft Defen...