Local admin-passwords zijn op alle pc's hetzelfde, hoe kan dat veiliger?
Lokaal admin-wachtwoord dat overal hetzelfde is, is een ramp wachten: één gestolen account = lateral movement door de hele tent. Windows LAPS (built-in vanaf Windows 11/Server 2019 update) lost dat op.
Probeer dit eerst zelf
- 1Check welke variant: legacy Microsoft LAPS (download), of Windows LAPS (built-in vanaf KB5025229+ op Server 2019/2022, default in 2025 en Win 11). Nieuw bouwen: ga voor Windows LAPS.
- 2Schema-extensie: voor on-prem AD: Update-LapsADSchema. Voor Entra-only of hybrid kan opslag in Entra ID.
- 3GPO of Intune-policy: stel in dat lokaal admin-wachtwoord rouleert (bijv. elke 30 dagen), met een wachtwoord-complexiteit en lengte.
- 4Stel ACL's in: bepaal welke security-groep het wachtwoord uit AD/Entra mag uitlezen. Niet alle helpdesk-admins, maar wel een specifieke break-glass-groep.
- 5Test: roteer handmatig op een test-pc (Reset-LapsPassword), lees uit (Get-LapsADPassword), gebruik bij een test-inlog.
Wanneer ons inschakelen
Voor servers en kritische workstations: combineer LAPS met just-in-time admin via Privileged Access Management (PIM in Entra of derde-partij PAM). Plain LAPS is goed, JIT-PAM is beter.
Zie ook
- Eén DC of twee DC's voor een MKB-kantoor?Twee is bijna altijd het juiste antwoord; één DC is een single point of failure voor logon, DNS en GPO.
- Moet ik FSMO-rollen verdelen over twee DC's?Voor een klein domein mag alles op één DC; bij twee DC's is verdelen netter maar geen must.
- Hoe weet ik of mijn AD-replicatie gezond is?Replicatie-fouten sluipen er stilletjes in; ze worden pas zichtbaar als logins of GPO's gek doen.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.