“The Sign-In Method You’re Trying to Use Isn’t Allowed” – Hoe LAPS Me Deze Keer Redde

Microsoft LAPS

Recentelijk liep ik tegen een probleem aan dat, hoewel frustrerend, niet ongewoon is in IT-omgevingen: een computer die normaal gesproken lid is van het domein, weigerde ineens domeintoegang. Het probleem openbaarde zich toen ik probeerde in te loggen met mijn domeincredentials en de volgende foutmelding kreeg:

“The sign-in method you’re trying to use isn’t allowed. For more info, contact your administrator.”

Wat het nog vreemder maakte, was dat ik zonder problemen op andere machines kon inloggen met dezelfde credentials. Dit maakte het duidelijk dat het probleem bij de specifieke computer lag. Het domein leek voor deze machine volledig onbereikbaar.

De Diagnose: Domeinverbinding Verbroken

Een machine die niet correct is verbonden met het domein kan een flinke uitdaging zijn. Groepsbeleid werkt niet, domeinaccounts kunnen niet worden gebruikt, en je bent ineens afhankelijk van lokale accounts om toegang te krijgen. Dit is natuurlijk niet ideaal, zeker niet in een beheerde omgeving.

Gelukkig wist ik dat de klant Microsoft Local Administrator Password Solution (LAPS) gebruikt. Hoewel ik niet per se fan ben van LAPS als de ultieme oplossing voor security, bood het in dit geval precies wat ik nodig had: toegang tot het lokale administratoraccount.

De Oplossing: Het Lokale Adminaccount Via LAPS

Met LAPS worden unieke, veilige wachtwoorden voor lokale administratoraccounts centraal beheerd en opgeslagen in Active Directory. Deze wachtwoorden zijn alleen toegankelijk voor accounts met de juiste permissies. Dit bood mij de mogelijkheid om toch toegang te krijgen tot de machine en het probleem te verhelpen.

1. Active Directory Users and Computers (ADUC) Openen

Ik startte Active Directory Users and Computers en zocht het computerobject van de machine op. In eerste instantie kon ik de informatie die ik nodig had niet vinden, omdat de Attribute Editor niet zichtbaar was.

2. Advanced Features Inschakelen

Om de Attribute Editor zichtbaar te maken, moest ik eerst de Advanced Features inschakelen via het View-menu in ADUC. Hiermee kreeg ik toegang tot extra attributen van het computerobject.

3. Het Wachtwoord Ophalen

In de Attribute Editor scrolde ik naar het attribuut ms-Mcs-AdmPwd. Hier stond het door LAPS gegenereerde wachtwoord voor het lokale administratoraccount.

4. Inloggen als Lokale Administrator

Met het wachtwoord kon ik inloggen op de machine met het lokale adminaccount door gebruik te maken van het volgende formaat:

.\Administrator

Hiermee kreeg ik direct toegang tot de machine en kon ik het probleem met de domeinverbinding oplossen.

Handige Tips Voor Soortgelijke Problemen

Hier zijn enkele inzichten die ik uit deze situatie heb gehaald:

  1. Foutmelding bij domeininlog:
    Als je de foutmelding krijgt:

“The sign-in method you’re trying to use isn’t allowed,”
Controleer of je toegang kunt krijgen via een lokaal administratoraccount. Met LAPS kun je het wachtwoord centraal beheren en ophalen.

  1. Attribute Editor niet zichtbaar in ADUC:
    Zorg ervoor dat je Advanced Features inschakelt via View > Advanced Features om toegang te krijgen tot de uitgebreide attribuutweergave.
  2. Gebruik PowerShell als alternatief:
    Als ADUC niet beschikbaar is, kun je PowerShell gebruiken om het wachtwoord op te halen:
   Get-ADComputer -Identity "ComputerName" -Property "ms-Mcs-AdmPwd"
  1. Controleer je permissies:
    Toegang tot de LAPS-wachtwoorden is vaak beperkt tot specifieke groepen. Als je geen toegang hebt, neem contact op met je domeinbeheerder om de benodigde rechten te verkrijgen.

Reflectie: Waarom LAPS Deze Keer Onmisbaar Was

Hoewel LAPS niet mijn favoriete tool is vanuit een securityperspectief (de implementatie kan complex zijn en vereist strikte controle over wie toegang heeft), moet ik toegeven dat het in dit specifieke scenario onmisbaar bleek. Het bood een snelle, effectieve manier om toegang te krijgen tot de machine en de situatie op te lossen.

Voor organisaties die LAPS implementeren, is het belangrijk om de juiste procedures en toegangsrechten in te stellen. Anders kan een oplossing als deze snel een risico vormen in plaats van een voordeel.

Heb je zelf wel eens te maken gehad met een vergelijkbare situatie of een andere manier gevonden om toegang te krijgen tot een machine met vergelijkbare problemen? Deel je ervaring in de reacties. Ik hoor graag van je!

Geef een reactie