Was ist das Windows LAPS?

• Gilt für::

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows 11, ✅ Windows 10

Windows Local Administrator Password Solution (Windows LAPS) ist ein Windows-Feature, das das Kennwort eines lokalen Administratorkontos auf Ihren in Microsoft Entra eingebundenen oder windows Server Active Directory-verbundenen Geräten automatisch verwaltet und gesichert. Windows LAPS kann auch genutzt werden, um das Kennwort des DSRM-Kontos (Directory Services Restore Mode, Wiederherstellungsmodus für Verzeichnisdienste) auf Ihren Windows Server Active Directory-Domänencontrollern automatisch zu verwalten und zu sichern. Ein autorisierter Administrator kann das DSRM-Kennwort abrufen und verwenden.

Unterstützte Windows LAPS-Plattformen

Windows LAPS ist auf den folgenden Betriebssystemplattformen verfügbar:

• Windows 11 23H2 und spätere Windows-Client-Versionen
• Windows Server 23H2 und spätere Windows Server-Versionen
• Windows 11 22H2 – 11. April 2023 Update und höher
• Windows 11 21H2 – 11. April 2023 Update und höher
• Windows 10 – 11. April 2023 Update und höher
• Windows Server 2022 – 11. April 2023 Update und höher
• Windows Server 2019 – 11. April 2023 Update und höher

Alle unterstützten Editionen dieser Plattformen wurden mit Windows LAPS aktualisiert, einschließlich long-term Servicing Channel (LTSC)-Editionen. Die Einführung des Windows LAPS-Features ändert nicht die standardmäßigen Microsoft-Produktlebenszyklusrichtlinien.

Windows LAPS und Microsoft Entra ID

Windows LAPS mit Microsoft Entra ID und Microsoft Intune-Support ist ab dem 23. Oktober 2023 allgemein verfügbar. Weitere Informationen finden Sie unter Windows Local Administrator Password Solution mit Microsoft Entra ID jetzt allgemein verfügbar! und Windows Local Administrator Password Solution in Microsoft Entra ID.

Vorteile von Windows LAPS

Verwenden Sie Windows LAPS, um die Kennwörter lokaler Administratorkonten regelmäßig zu rotieren und zu verwalten und von den folgenden Vorteilen zu profitieren:

• Schutz vor Pass-the-Hash- und Lateral Traversal-Angriffen
• Mehr Sicherheit für Remote-Helpdeskszenarien
• Möglichkeit der Anmeldung und Wiederherstellung von Geräten, auf die sonst nicht zugegriffen werden kann
• Ein differenziertes Sicherheitsmodell (Zugriffssteuerungslisten und optionale Kennwortverschlüsselung) zum Schützen von in Windows Server Active Directory gespeicherten Kennwörtern
• Unterstützung für das rollenbasierte Microsoft Entra-Zugriffssteuerungsmodell zum Sichern von Kennwörtern, die in microsoft Entra ID gespeichert sind

Informative Videos

Die folgenden Videos bieten eine informative Möglichkeit, mehr über das Windows LAPS-Feature zu erfahren.

Windows Technical Takeoff Präsentation (November 2022):

Windows Tackling Tech Diskussion (August 2023):

Wichtige Windows LAPS-Szenarien

Windows LAPS eignet sich für mehrere wichtige Szenarien:

• Sichern von Kennwörtern für lokale Administratorkonten auf Microsoft Entra ID (für in Microsoft Entra eingebundene Geräte)

• Sichern von Kennwörtern lokaler Administratorkonten in Windows Server Active Directory (für in Windows Server Active Directory eingebundene Clients und Server)

• Sichern von Kennwörtern von DSRM-Konten in Windows Server Active Directory (für in Windows Server Active Directory eingebundene Domänencontroller)

• Sichern von Kennwörtern lokaler Administratorkonten in Windows Server Active Directory mithilfe von Legacy-Microsoft LAPS

In jedem Szenario können unterschiedliche Richtlinieneinstellungen gelten.

Grundlegendes zu Einschränkungen aufgrund des Einbindungszustands von Geräten

Ob ein Gerät in Microsoft Entra ID oder Windows Server Active Directory eingebunden ist, bestimmt die Nutzung von Windows LAPS.

• Geräte, die nur mit Microsoft Entra ID verbunden sind, können Passwörter nur auf Microsoft Entra ID sichern.
• Geräte, die ausschließlich in Windows Server Active Directory eingebunden sind, können Kennwörter ausschließlich in Windows Serve Active Directory sichern.
• Geräte, die hybrid eingebunden sind (sowohl in Microsoft Entra ID als auch in Windows Server Active Directory) können ihre Kennwörter entweder in Microsoft Entra ID oder Windows Server Active Directory sichern.

Sie können Kennwörter nicht in sowohl Microsoft Entra ID als auch Windows Server Active Directory sichern.

Windows LAPS unterstützt keine Microsoft Entra Clients, die mit dem Arbeitsplatz verbunden sind.

Festlegen der Windows LAPS-Richtlinie

Zum Einrichten und Verwalten der Richtlinie für Ihre Windows LAPS-Bereitstellung haben Sie mehrere Optionen:

• Windows LAPS-Konfigurationsdienstanbieter (CSP)
• Windows LAPS-Gruppenrichtlinie
• Legacy Microsoft LAPS

Verwalten und Überwachen von Windows LAPS

Sie haben auch verschiedene Optionen zum Verwalten und Überwachen von Windows LAPS.

Es folgen Optionen für Windows:

• Das Windows Server Active Directory-Dialogfeld „Benutzer- und Computereigenschaften“
• Ein dedizierter Ereignisprotokollkanal.
• Ein Windows PowerShell-Modul, das für Windows LAPS spezifisch ist.

Entra-basierte Überwachungs- und Berichterstellungslösungen stehen zur Verfügung, wenn Sie Kennwörter mit microsoft Entra ID sichern.

Einstellung des Legacy Microsoft LAPS-Produkts

Wichtig

Das Legacy Microsoft LAPS-Produkt ist ab Windows 11 23H2 und höher veraltet. Die Installation des älteren Microsoft LAPS Microsoft Installer (MSI)-Pakets wird für neuere Betriebssystemversionen blockiert, und Microsoft berücksichtigt keine Codeänderungen mehr für das ältere Microsoft LAPS-Produkt.

Verwenden Sie Windows LAPS zum Verwalten lokaler Administratorkonto-Kennwörter. Windows LAPS ist unter Windows Server 2019 und höher und auf unterstützten Windows 10- und Windows 11-Clients verfügbar.

Microsoft unterstützt weiterhin das ältere Microsoft LAPS-Produkt in älteren Versionen von Windows (früher als Windows 11 23H2), auf dem es zuvor unterstützt wurde. Diese Unterstützung endet am normalen Ende der Unterstützung für diese Betriebssystemversionen.

Vergleich von Windows LAPS und Legacy-Microsoft LAPS

Windows LAPS übernimmt viele Entwurfskonzepte von Legacy-Microsoft LAPS. Wenn Sie mit dem alten Microsoft LAPS vertraut sind, kennen Sie bereits viele Windows LAPS-Funktionen. Ein wichtiger Unterschied besteht darin, dass Windows LAPS eine völlig separate Implementierung ist, die nativ für Windows ist. Windows LAPS fügt auch viele Features hinzu, die in Legacy-Microsoft LAPS nicht verfügbar sind. Sie können Windows LAPS verwenden, um Kennwörter mit Microsoft Entra-ID zu sichern, Kennwörter in Windows Server Active Directory zu verschlüsseln und Ihren Kennwortverlauf zu speichern.

Wichtig

Windows LAPS erfordert nicht die Installation von Legacy-Microsoft LAPS. Sie können alle Windows LAPS-Features vollständig bereitstellen und nutzen, ohne Legacy-Microsoft LAPS installieren oder darauf verweisen zu müssen. Um die Migration einer bestehenden Legacy-Microsoft LAPS-Bereitstellung zu Windows LAPS zu erleichtern, bietet Windows LAPS den Legacy-Microsoft LAPS-Emulationsmodus an.

Wichtig

Das ältere Microsoft LAPS-Produkt ist in neueren Microsoft OS-Versionen veraltet. Weitere Informationen finden Sie unter Einstellung des Legacy Microsoft LAPS-Produkts.

Unterstützungserklärung

Microsoft hat das Legacyprodukt Microsoft LAPS im Kalenderjahr 2016 im Microsoft Download Center veröffentlicht. Windows LAPS wurde als Teil der Windows-Updates herausgegeben, die am 11. April 2023 für die in Windows LAPS und Microsoft Entra IDaufgeführten Plattformen veröffentlicht wurden.

Microsoft und seine Supportbereitstellungsorganisation bieten unterstützungsgestützten Support sowohl für Microsoft LAPS als auch für Windows LAPS, einschließlich interoperabilität zwischen den beiden Produkten.

Wichtig

Das ältere Microsoft LAPS-Produkt ist in neueren Microsoft OS-Versionen veraltet. Weitere Informationen finden Sie unter Einstellung des Legacy Microsoft LAPS-Produkts.

Es wird dringend empfohlen, dass Sie jetzt mit der Planung beginnen, Ihre Windows LAPS-fähigen Systeme von der Verwendung von älteren Microsoft LAPS zu der Windows LAPS-Funktion zu migrieren. Windows LAPS bietet zahlreiche neue Sicherheitsfeatures und eine verbesserte Produktwartung

Fragen zu Einschränkungen und Interoperabilitätsbedenken zwischen den Kennwortverwaltungstools für lokale Konten von Drittanbietern und Windows LAPS sollten an den Anwendungsentwickler von Drittanbietern und nicht an Microsoft gerichtet werden.

Lizenzanforderungen

Das Windows LAPS-Feature selbst ist auf allen unterstützten Windows-Plattformen kostenlos verfügbar.

Sie können Kennwörter ohne andere Lizenzierungsanforderungen in Windows Server Active Directory sichern.

Sie können Passwörter in Microsoft Entra ID mit einer Microsoft Entra ID Free- oder höheren Lizenz sichern.

Andere entrabezogene oder intune-bezogene Features können andere Lizenzierungsanforderungen haben.

Feedback übermitteln

Sie möchten uns Feedback senden? Sie können dokumentspezifische Fragen über die Feedbacklinks unten auf dieser Seite übermitteln.

Sie können Feedback und andere Anfragen auch über die Seite für Windows LAPS-Feedback der technischen Community senden.

Wenn Ihr Feedback spezifisch für die Microsoft Entra ID-bezogene oder intune-bezogene LAPS-Funktionalität ist, können Sie Feedback über das Microsoft Entra-Feedbackforumübermitteln.

Wenn Sie nicht sicher sind, wohin Ihr Feedback gehen soll, übermitteln Sie es mit einer dieser Optionen.

Siehe auch

• Einführung von Windows Local Administrator Password Solution in Microsoft Entra ID
• Windows Lokale Administrator-Passwortlösung in Microsoft Entra ID
• Die Windows-Lösung für lokale Administratorpasswörter mit Microsoft Entra ID ist jetzt allgemein verfügbar!
• Microsoft Intune-Unterstützung für Windows LAPS
• LAPS CSP
• Windows LAPS–Anleitung zur Problembehandlung
• LAPS-PowerShell-Modulreferenz
• Legacy Microsoft LAPS

Nächste Schritte

• Wichtige Konzepte in Windows LAPS
• Erste Schritte mit Windows LAPS und Windows Server Active Directory
• Erste Schritte mit Windows LAPS und Microsoft Entra ID
• Erste Schritte mit Windows LAPS im Legacy-Microsoft LAPS-Emulationsmodus