Freigeben über


LAPS-CSP

Der Konfigurationsdienstanbieter für lokale Administratorkennwörter (Local Administrator Password Solution, CSP) wird vom Unternehmen verwendet, um die Sicherung von Kennwörtern für lokale Administratorkonten zu verwalten. Windows unterstützt ein LAPS Gruppenrichtlinie Object, das vollständig vom LAPS-CSP getrennt ist. Viele der verschiedenen Einstellungen sind sowohl für das LAPS-Gruppenrichtlinienobjekt als auch für den CSP üblich (GPO unterstützt keine der aktionsbezogenen Einstellungen). Solange mindestens eine LAPS-Einstellung über CSP konfiguriert wird, werden alle von GPO konfigurierten Einstellungen ignoriert. Weitere Informationen finden Sie unter Konfigurieren von Richtlinieneinstellungen für Windows LAPS.

Hinweis

Weitere Informationen zu bestimmten Betriebssystemupdates, die für die Verwendung des Windows LAPS-CSP und der zugehörigen Features erforderlich sind, sowie zu den aktuellen status des Microsoft Entra LAPS-Szenarios finden Sie unter Windows LAPS availability and Microsoft Entra LAPS Public Preview status.

Tipp

In diesem Artikel werden die spezifischen technischen Details des LAPS-CSP behandelt. Weitere Informationen zu den Szenarien, in denen der LAPS-CSP verwendet werden würde, finden Sie unter Kennwortlösung für lokale Administratoren für Windows.

In der folgenden Liste sind die Knoten des LAPS-Konfigurationsdienstanbieters aufgeführt:

Aktionen

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ [10.0.20348.1663] und höher
✅ [10.0.25145] und höher
✅Windows 10, Version 1809 [10.0.17763.4244] und höher
✅Windows 10, Version 2004 [10.0.19041.2784] und höher
✅Windows 11, Version 21H2 [10.0.22000.1754] und höher
✅Windows 11, Version 22H2 [10.0.22621.1480] und höher
./Device/Vendor/MSFT/LAPS/Actions

Definiert den übergeordneten inneren Knoten für alle aktionsbezogenen Einstellungen im LAPS-CSP.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format node
Zugriffstyp „Abrufen“

Actions/ResetPassword

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ [10.0.20348.1663] und höher
✅ [10.0.25145] und höher
✅Windows 10, Version 1809 [10.0.17763.4244] und höher
✅Windows 10, Version 2004 [10.0.19041.2784] und höher
✅Windows 11, Version 21H2 [10.0.22000.1754] und höher
✅Windows 11, Version 22H2 [10.0.22621.1480] und höher
./Device/Vendor/MSFT/LAPS/Actions/ResetPassword

Verwenden Sie diese Einstellung, um den CSP anweisen, sofort ein neues Kennwort für das verwaltete lokale Administratorkonto zu generieren und zu speichern.

Diese Aktion ruft eine sofortige Zurücksetzung des Kennworts des lokalen Administratorkontos auf, wobei die normalen Einschränkungen wie PasswordLengthDays usw. ignoriert werden.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format null
Zugriffstyp Exec

Actions/ResetPasswordStatus

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ [10.0.20348.1663] und höher
✅ [10.0.25145] und höher
✅Windows 10, Version 1809 [10.0.17763.4244] und höher
✅Windows 10, Version 2004 [10.0.19041.2784] und höher
✅Windows 11, Version 21H2 [10.0.22000.1754] und höher
✅Windows 11, Version 22H2 [10.0.22621.1480] und höher
./Device/Vendor/MSFT/LAPS/Actions/ResetPasswordStatus

Verwenden Sie diese Einstellung, um die status der letzten übermittelten ResetPassword-Ausführungsaktion abzufragen.

Der zurückgegebene Wert ist ein HRESULT-Code:

  • S_OK (0x0): Die letzte übermittelte ResetPassword-Aktion war erfolgreich.
  • E_PENDING (0x8000000): Die letzte übermittelte ResetPassword-Aktion wird noch ausgeführt.
  • Andere: Bei der letzten übermittelten ResetPassword-Aktion ist der zurückgegebene Fehler aufgetreten.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp „Abrufen“
Standardwert 0

Richtlinien

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ [10.0.20348.1663] und höher
✅ [10.0.25145] und höher
✅Windows 10, Version 1809 [10.0.17763.4244] und höher
✅Windows 10, Version 2004 [10.0.19041.2784] und höher
✅Windows 11, Version 21H2 [10.0.22000.1754] und höher
✅Windows 11, Version 22H2 [10.0.22621.1480] und höher
./Device/Vendor/MSFT/LAPS/Policies

Stammknoten für LAPS-Richtlinien.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format node
Zugriffstyp „Abrufen“
Atomic Erforderlich Wahr

Policies/ADEncryptedPasswordHistorySize

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ [10.0.20348.1663] und höher
✅ [10.0.25145] und höher
✅Windows 10, Version 1809 [10.0.17763.4244] und höher
✅Windows 10, Version 2004 [10.0.19041.2784] und höher
✅Windows 11, Version 21H2 [10.0.22000.1754] und höher
✅Windows 11, Version 22H2 [10.0.22621.1480] und höher
./Device/Vendor/MSFT/LAPS/Policies/ADEncryptedPasswordHistorySize

Verwenden Sie diese Einstellung, um zu konfigurieren, wie viele zuvor verschlüsselte Kennwörter in Active Directory gespeichert werden sollen.

Wenn nicht angegeben, wird diese Einstellung standardmäßig auf 0 Kennwörter (deaktiviert) festgelegt.

Diese Einstellung hat einen minimal zulässigen Wert von 0 Kennwörtern.

Diese Einstellung hat einen maximal zulässigen Wert von 12 Kennwörtern.

Wichtig

Diese Einstellung wird ignoriert, es sei denn, ADPasswordEncryptionEnabled ist auf True konfiguriert und alle anderen Voraussetzungen sind erfüllt.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [0-12]
Standardwert 0
Abhängigkeit [BackupDirectory] Abhängigkeitstyp: DependsOn
Abhängigkeits-URI: Vendor/MSFT/LAPS/Policies/BackupDirectory
Dependency Allowed Value (Zulässiger Wert für Abhängigkeiten): 2
Dependency Allowed Value Type(Dependency Allowed Value Type): ENUM

Policies/AdministratorAccountName

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ [10.0.20348.1663] und höher
✅ [10.0.25145] und höher
✅Windows 10, Version 1809 [10.0.17763.4244] und höher
✅Windows 10, Version 2004 [10.0.19041.2784] und höher
✅Windows 11, Version 21H2 [10.0.22000.1754] und höher
✅Windows 11, Version 22H2 [10.0.22621.1480] und höher
./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName

Verwenden Sie diese Einstellung, um den Namen des verwalteten lokalen Administratorkontos zu konfigurieren.

Wenn nicht angegeben, wird das standardmäßige integrierte lokale Administratorkonto nach der bekannten SID gefunden (auch wenn es umbenannt wurde).

Falls angegeben, wird das Kennwort des angegebenen Kontos verwaltet.

Hinweis: Wenn in dieser Einstellung ein benutzerdefinierter verwalteter lokaler Administratorkontoname angegeben ist, muss dieses Konto auf andere Weise erstellt werden. Wenn Sie in dieser Einstellung einen Namen angeben, wird das Konto nicht erstellt.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Policies/ADPasswordEncryptionEnabled

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ [10.0.20348.1663] und höher
✅ [10.0.25145] und höher
✅Windows 10, Version 1809 [10.0.17763.4244] und höher
✅Windows 10, Version 2004 [10.0.19041.2784] und höher
✅Windows 11, Version 21H2 [10.0.22000.1754] und höher
✅Windows 11, Version 22H2 [10.0.22621.1480] und höher
./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionEnabled

Verwenden Sie diese Einstellung, um zu konfigurieren, ob das Kennwort verschlüsselt wird, bevor es in Active Directory gespeichert wird.

Diese Einstellung wird ignoriert, wenn das Kennwort derzeit in Microsoft Entra ID gespeichert wird.

Diese Einstellung wird nur berücksichtigt, wenn sich die Active Directory-Domäne auf Windows Server 2016 Domänenfunktionsebene oder höher befindet.

  • Wenn diese Einstellung aktiviert ist und die Active Directory-Domäne die DFL-Voraussetzung erfüllt, wird das Kennwort verschlüsselt, bevor es in Active Directory gespeichert wird.

  • Wenn diese Einstellung deaktiviert ist oder die Active Directory-Domäne die DFL-Voraussetzung nicht erfüllt, wird das Kennwort als Klartext in Active Directory gespeichert.

Wenn nicht angegeben, wird diese Einstellung standardmäßig auf True festgelegt.

Wichtig

Diese Einstellung wird ignoriert, es sei denn, BackupDirectory ist für die Sicherung des Kennworts in Active Directory konfiguriert, UND die Active Directory-Domäne befindet sich auf Windows Server 2016 Domänenfunktionsebene oder höher.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format bool
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert Wahr
Abhängigkeit [BackupDirectory] Abhängigkeitstyp: DependsOn
Abhängigkeits-URI: Vendor/MSFT/LAPS/Policies/BackupDirectory
Dependency Allowed Value (Zulässiger Wert für Abhängigkeiten): 2
Dependency Allowed Value Type(Dependency Allowed Value Type): ENUM

Zulässige Werte:

Wert Beschreibung
false Speichern Sie das Kennwort in Klartextform in Active Directory.
true (Standard) Speichern Sie das Kennwort in verschlüsselter Form in Active Directory.

Policies/ADPasswordEncryptionPrincipal

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ [10.0.20348.1663] und höher
✅ [10.0.25145] und höher
✅Windows 10, Version 1809 [10.0.17763.4244] und höher
✅Windows 10, Version 2004 [10.0.19041.2784] und höher
✅Windows 11, Version 21H2 [10.0.22000.1754] und höher
✅Windows 11, Version 22H2 [10.0.22621.1480] und höher
./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionPrincipal

Verwenden Sie diese Einstellung, um den Namen oder die SID eines Benutzers oder einer Gruppe zu konfigurieren, der das in Active Directory gespeicherte Kennwort entschlüsseln kann.

Diese Einstellung wird ignoriert, wenn das Kennwort derzeit in Microsoft Entra ID gespeichert wird.

Wenn es nicht angegeben ist, kann das Kennwort von der Gruppe "Domänenadministratoren" in der Domäne des Geräts entschlüsselt werden.

Falls angegeben, kann der angegebene Benutzer oder die angegebene Gruppe das in Active Directory gespeicherte Kennwort entschlüsseln.

Wenn das angegebene Benutzer- oder Gruppenkonto ungültig ist, führt das Gerät einen Fallback zur Verwendung der Gruppe Domänenadministratoren in der Domäne des Geräts aus.

Wichtig

Diese Einstellung wird ignoriert, es sei denn, ADPasswordEncryptionEnabled ist auf True konfiguriert und alle anderen Voraussetzungen sind erfüllt. Die in dieser Einstellung gespeicherte Zeichenfolge muss entweder eine SID in Zeichenfolgenform oder der vollqualifizierte Name eines Benutzers oder einer Gruppe sein. Gültige Beispiele:

  • S-1-5-21-2127521184-1604012920-1887927527-35197
  • contoso\LAPSAdmins
  • lapsadmins@contoso.com

Der Prinzipal, der (entweder durch SID oder Benutzer-/Gruppenname) identifiziert wird, muss vorhanden sein und vom Gerät aufgelöst werden können.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Abhängigkeit [BackupDirectory] Abhängigkeitstyp: DependsOn
Abhängigkeits-URI: Vendor/MSFT/LAPS/Policies/BackupDirectory
Dependency Allowed Value (Zulässiger Wert für Abhängigkeiten): 2
Dependency Allowed Value Type(Dependency Allowed Value Type): ENUM

Policies/AutomaticAccountManagementEnableAccount

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnableAccount

Verwenden Sie diese Einstellung, um zu konfigurieren, ob das automatisch verwaltete Konto aktiviert oder deaktiviert ist.

  • Wenn diese Einstellung aktiviert ist, wird das Zielkonto aktiviert.

  • Wenn diese Einstellung deaktiviert ist, wird das Zielkonto deaktiviert.

Wenn nicht angegeben, wird diese Einstellung standardmäßig auf False festgelegt.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format bool
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert False
Abhängigkeit [AutomaticAccountManagementEnabled] Abhängigkeitstyp: DependsOn
Abhängigkeits-URI: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled
Dependency Allowed Value (Zulässiger Wert für Abhängigkeiten): true
Dependency Allowed Value Type(Dependency Allowed Value Type): ENUM

Zulässige Werte:

Wert Beschreibung
False (Standard) Das Zielkonto wird deaktiviert.
Wahr Das Zielkonto wird aktiviert.

Policies/AutomaticAccountManagementEnabled

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled

Verwenden Sie diese Einstellung, um anzugeben, ob die automatische Kontoverwaltung aktiviert ist.

  • Wenn diese Einstellung aktiviert ist, wird das Zielkonto automatisch verwaltet.

  • Wenn diese Einstellung deaktiviert ist, wird das Zielkonto nicht automatisch verwaltet.

Wenn nicht angegeben, wird diese Einstellung standardmäßig auf False festgelegt.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format bool
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert False

Zulässige Werte:

Wert Beschreibung
false (Standard) Das Zielkonto wird nicht automatisch verwaltet.
true Das Zielkonto wird automatisch verwaltet.

Policies/AutomaticAccountManagementNameOrPrefix

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementNameOrPrefix

Verwenden Sie diese Einstellung, um den Namen oder das Präfix des verwalteten lokalen Administratorkontos zu konfigurieren.

Falls angegeben, wird der Wert als Name oder Namenspräfix des verwalteten Kontos verwendet.

Wenn nicht angegeben, wird diese Einstellung standardmäßig auf "WLapsAdmin" festgelegt.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Abhängigkeit [AutomaticAccountManagementEnabled] Abhängigkeitstyp: DependsOn
Abhängigkeits-URI: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled
Dependency Allowed Value (Zulässiger Wert für Abhängigkeiten): true
Dependency Allowed Value Type(Dependency Allowed Value Type): ENUM

Policies/AutomaticAccountManagementRandomizeName

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementRandomizeName

Verwenden Sie diese Einstellung, um zu konfigurieren, ob der Name des automatisch verwalteten Kontos bei jeder Kennwortrotation ein zufälliges numerisches Suffix verwendet.

Wenn diese Einstellung aktiviert ist, verwendet der Name des Zielkontos ein zufälliges numerisches Suffix.

Wenn diese Einstellung nicht verwendet wird, verwendet der Name des Zielkontos kein zufälliges numerisches Suffix.

Wenn nicht angegeben, wird diese Einstellung standardmäßig auf False festgelegt.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format bool
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert False
Abhängigkeit [AutomaticAccountManagementEnabled] Abhängigkeitstyp: DependsOn
Abhängigkeits-URI: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled
Dependency Allowed Value (Zulässiger Wert für Abhängigkeiten): true
Dependency Allowed Value Type(Dependency Allowed Value Type): ENUM

Zulässige Werte:

Wert Beschreibung
False (Standard) Der Name des Zielkontos verwendet kein zufälliges numerisches Suffix.
Wahr Der Name des Zielkontos verwendet ein zufälliges numerisches Suffix.

Policies/AutomaticAccountManagementTarget

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementTarget

Verwenden Sie diese Einstellung, um zu konfigurieren, welches Konto automatisch verwaltet wird.

Zulässige Einstellungen sind:

0=Das integrierte Administratorkonto wird verwaltet.

1=Ein von Windows LAPS erstelltes neues Konto wird verwaltet.

Wenn nicht angegeben, wird diese Einstellung standardmäßig auf 1 festgelegt.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1
Abhängigkeit [AutomaticAccountManagementEnabled] Abhängigkeitstyp: DependsOn
Abhängigkeits-URI: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled
Dependency Allowed Value (Zulässiger Wert für Abhängigkeiten): true
Dependency Allowed Value Type(Dependency Allowed Value Type): ENUM

Zulässige Werte:

Wert Beschreibung
0 Verwalten sie das integrierte Administratorkonto.
1 (Standard) Verwalten eines neuen benutzerdefinierten Administratorkontos.

Policies/BackupDirectory

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ [10.0.20348.1663] und höher
✅ [10.0.25145] und höher
✅Windows 10, Version 1809 [10.0.17763.4244] und höher
✅Windows 10, Version 2004 [10.0.19041.2784] und höher
✅Windows 11, Version 21H2 [10.0.22000.1754] und höher
✅Windows 11, Version 22H2 [10.0.22621.1480] und höher
./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory

Verwenden Sie diese Einstellung, um zu konfigurieren, in welchem Verzeichnis das Kennwort des lokalen Administratorkontos gesichert wird.

Zulässige Einstellungen sind:

0=Deaktiviert (Kennwort wird nicht gesichert) 1=Sichern des Kennworts in Microsoft Entra ID nur 2=Sichern des Kennworts nur in Active Directory.

Wenn nicht angegeben, wird diese Einstellung standardmäßig auf 0 festgelegt.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Deaktiviert (Kennwort wird nicht gesichert).
1 Sichern Sie das Kennwort nur in Microsoft Entra ID.
2 Sichern Sie das Kennwort nur in Active Directory.

Policies/PassphraseLength

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/LAPS/Policies/PassphraseLength

Verwenden Sie diese Einstellung, um die Anzahl der Passphrasenwörter zu konfigurieren.

Wenn nicht angegeben, wird diese Einstellung standardmäßig auf 6 Wörter festgelegt.

Diese Einstellung hat einen minimal zulässigen Wert von 3 Wörtern.

Diese Einstellung hat einen maximal zulässigen Wert von 10 Wörtern.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [3-10]
Standardwert 6
Abhängigkeit [PasswordComplexity] Abhängigkeitstyp: DependsOn
Abhängigkeits-URI: Vendor/MSFT/LAPS/Policies/PasswordComplexity
Dependency Allowed Value (Zulässiger Wert für Abhängigkeiten): [6-8]
Dependency Allowed Value Type(Dependency Allowed Value Type): Range

Policies/PasswordAgeDays

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ [10.0.20348.1663] und höher
✅ [10.0.25145] und höher
✅Windows 10, Version 1809 [10.0.17763.4244] und höher
✅Windows 10, Version 2004 [10.0.19041.2784] und höher
✅Windows 11, Version 21H2 [10.0.22000.1754] und höher
✅Windows 11, Version 22H2 [10.0.22621.1480] und höher
./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays

Verwenden Sie diese Richtlinie, um das maximale Kennwortalter des verwalteten lokalen Administratorkontos zu konfigurieren.

Wenn nicht angegeben, wird diese Einstellung standardmäßig auf 30 Tage festgelegt.

Diese Einstellung hat einen zulässigen Mindestwert von 1 Tag, wenn das Kennwort auf lokales Active Directory gesichert wird, und 7 Tage, wenn das Kennwort auf Microsoft Entra ID gesichert wird.

Diese Einstellung hat einen maximal zulässigen Wert von 365 Tagen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [1-365]
Standardwert 30
Abhängigkeit [BackupDirectoryAADMode BackupDirectoryADMode] Abhängigkeitstyp: DependsOn DependsOn
Abhängigkeits-URI: Vendor/MSFT/LAPS/Policies/BackupDirectory Vendor/MSFT/LAPS/Policies/BackupDirectory
Dependency Allowed Value (Zulässiger Wert für Abhängigkeiten):
Dependency Allowed Value Type(Dependency Allowed Value Type): ENUM ENUM

Policies/PasswordComplexity

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ [10.0.20348.1663] und höher
✅ [10.0.25145] und höher
✅Windows 10, Version 1809 [10.0.17763.4244] und höher
✅Windows 10, Version 2004 [10.0.19041.2784] und höher
✅Windows 11, Version 21H2 [10.0.22000.1754] und höher
✅Windows 11, Version 22H2 [10.0.22621.1480] und höher
./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity

Verwenden Sie diese Einstellung, um die Kennwortkomplexität des verwalteten lokalen Administratorkontos zu konfigurieren.

Zulässige Einstellungen sind:

1=Große Buchstaben 2=Große Buchstaben + kleine Buchstaben 3=Große Buchstaben + kleine Buchstaben + Zahlen 4 = Große Buchstaben + Kleine Buchstaben + Zahlen + Sonderzeichen 5 = Große Buchstaben + Kleine Buchstaben + Zahlen + Sonderzeichen (verbesserte Lesbarkeit) 6 = Passphrase (lange Wörter) 7 = Passphrase (kurze Wörter) 8 = Passphrase (kurze Wörter mit eindeutigen Präfixen)

Wenn nicht angegeben, wird diese Einstellung standardmäßig auf 4 festgelegt.

Passphrasenliste aus "Deep Dive: EFF's New Wordlists for Random Passphrases" von Electronic Frontier Foundation und wird unter einer CC-BY-3.0-Namensnennungslizenz verwendet. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2255471.

Wichtig

Windows unterstützt die Einstellungen für die geringere Kennwortkomplexität (1, 2 und 3) nur aus Gründen der Abwärtskompatibilität mit älteren Versionen von LAPS. Microsoft empfiehlt, diese Einstellung immer auf 4 zu konfigurieren.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 4

Zulässige Werte:

Wert Beschreibung
1 Große Buchstaben.
2 Große Buchstaben + kleine Buchstaben.
3 Große Buchstaben + kleine Buchstaben + Zahlen.
4 (Standard) Große Buchstaben + kleine Buchstaben + Zahlen + Sonderzeichen.
5 Große Buchstaben + kleine Buchstaben + Zahlen + Sonderzeichen (verbesserte Lesbarkeit).
6 Passphrase (lange Wörter).
7 Passphrase (kurze Wörter).
8 Passphrase (kurze Wörter mit eindeutigen Präfixen).

Policies/PasswordExpirationProtectionEnabled

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ [10.0.20348.1663] und höher
✅ [10.0.25145] und höher
✅Windows 10, Version 1809 [10.0.17763.4244] und höher
✅Windows 10, Version 2004 [10.0.19041.2784] und höher
✅Windows 11, Version 21H2 [10.0.22000.1754] und höher
✅Windows 11, Version 22H2 [10.0.22621.1480] und höher
./Device/Vendor/MSFT/LAPS/Policies/PasswordExpirationProtectionEnabled

Verwenden Sie diese Einstellung, um die zusätzliche Erzwingung des maximalen Kennwortalters für das verwaltete lokale Administratorkonto zu konfigurieren.

Wenn diese Einstellung aktiviert ist, ist ein geplanter Kennwortablauf, der zu einem höheren Kennwortalter führen würde als das durch die Richtlinie "PasswordAgeDays" vorgeschriebene, NICHT zulässig. Wenn ein solcher Ablauf erkannt wird, wird das Kennwort sofort geändert, und das neue Kennwortablaufdatum wird gemäß der Richtlinie festgelegt.

Wenn nicht angegeben, wird diese Einstellung standardmäßig auf True festgelegt.

Wichtig

Diese Einstellung wird ignoriert, es sei denn, BackupDirectory ist für die Sicherung des Kennworts in Active Directory konfiguriert.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format bool
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert Wahr
Abhängigkeit [BackupDirectory] Abhängigkeitstyp: DependsOn
Abhängigkeits-URI: Vendor/MSFT/LAPS/Policies/BackupDirectory
Dependency Allowed Value (Zulässiger Wert für Abhängigkeiten): 2
Dependency Allowed Value Type(Dependency Allowed Value Type): ENUM

Zulässige Werte:

Wert Beschreibung
false Lassen Sie den konfigurierten Kennwortablaufzeitstempel zu, um das maximale Kennwortalter zu überschreiten.
true (Standard) Lassen Sie nicht zu, dass der konfigurierte Kennwortablaufzeitstempel das maximale Kennwortalter überschreitet.

Policies/PasswordLength

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ [10.0.20348.1663] und höher
✅ [10.0.25145] und höher
✅Windows 10, Version 1809 [10.0.17763.4244] und höher
✅Windows 10, Version 2004 [10.0.19041.2784] und höher
✅Windows 11, Version 21H2 [10.0.22000.1754] und höher
✅Windows 11, Version 22H2 [10.0.22621.1480] und höher
./Device/Vendor/MSFT/LAPS/Policies/PasswordLength

Verwenden Sie diese Einstellung, um die Länge des Kennworts des verwalteten lokalen Administratorkontos zu konfigurieren.

Wenn nicht angegeben, wird diese Einstellung standardmäßig auf 14 Zeichen festgelegt.

Diese Einstellung hat einen minimal zulässigen Wert von 8 Zeichen.

Diese Einstellung hat einen maximal zulässigen Wert von 64 Zeichen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [8-64]
Standardwert 14
Abhängigkeit [PasswordComplexity] Abhängigkeitstyp: DependsOn
Abhängigkeits-URI: Vendor/MSFT/LAPS/Policies/PasswordComplexity
Dependency Allowed Value (Zulässiger Wert für Abhängigkeiten): [1-5]
Dependency Allowed Value Type(Dependency Allowed Value Type): Range

Policies/PostAuthenticationActions

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ [10.0.20348.1663] und höher
✅ [10.0.25145] und höher
✅Windows 10, Version 1809 [10.0.17763.4244] und höher
✅Windows 10, Version 2004 [10.0.19041.2784] und höher
✅Windows 11, Version 21H2 [10.0.22000.1754] und höher
✅Windows 11, Version 22H2 [10.0.22621.1480] und höher
./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions

Verwenden Sie diese Einstellung, um die Aktionen anzugeben, die nach Ablauf der konfigurierten Toleranzperiode ausgeführt werden sollen.

Wenn nicht angegeben, wird diese Einstellung standardmäßig auf 3 festgelegt (Kennwort zurücksetzen und das verwaltete Konto abmelden).

Wichtig

Die zulässigen Aktionen nach der Authentifizierung sollen dazu beitragen, die Zeitspanne zu begrenzen, für die ein LAPS-Kennwort vor dem Zurücksetzen verwendet werden kann. Das Abmelden des verwalteten Kontos oder das Neustarten des Geräts sind Optionen, um dies sicherzustellen. Eine abrupte Beendigung von Anmeldesitzungen oder ein Neustart des Geräts kann zu Datenverlusten führen.

Wichtig

Aus Sicherheitssicht hat ein böswilliger Benutzer, der administratorische Berechtigungen auf einem Gerät mit einem gültigen LAPS-Kennwort erwirbt, die ultimative Möglichkeit, diese Mechanismen zu verhindern oder zu umgehen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 3

Zulässige Werte:

Wert Beschreibung
1 Kennwort zurücksetzen: Nach Ablauf der Toleranzperiode wird das Kennwort des verwalteten Kontos zurückgesetzt.
3 (Standard) Zurücksetzen des Kennworts und Abmelden des verwalteten Kontos: Nach Ablauf der Toleranzperiode wird das Kennwort des verwalteten Kontos zurückgesetzt, und alle interaktiven Anmeldesitzungen mit dem verwalteten Konto werden beendet.
5 Zurücksetzen des Kennworts und Neustart: Nach Ablauf der Toleranzperiode wird das Kennwort des verwalteten Kontos zurückgesetzt, und das verwaltete Gerät wird sofort neu gestartet.
11 Setzen Sie das Kennwort zurück, melden Sie das verwaltete Konto ab, und beenden Sie alle verbleibenden Prozesse: Nach Ablauf der Toleranzperiode wird das Kennwort des verwalteten Kontos zurückgesetzt, alle interaktiven Anmeldesitzungen mit dem verwalteten Konto werden abgemeldet, und alle verbleibenden Prozesse werden beendet.

Policies/PostAuthenticationResetDelay

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ [10.0.20348.1663] und höher
✅ [10.0.25145] und höher
✅Windows 10, Version 1809 [10.0.17763.4244] und höher
✅Windows 10, Version 2004 [10.0.19041.2784] und höher
✅Windows 11, Version 21H2 [10.0.22000.1754] und höher
✅Windows 11, Version 22H2 [10.0.22621.1480] und höher
./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay

Verwenden Sie diese Einstellung, um anzugeben, wie lange (in Stunden) nach einer Authentifizierung gewartet werden soll, bevor die angegebenen Aktionen nach der Authentifizierung ausgeführt werden.

Wenn nicht angegeben, wird diese Einstellung standardmäßig auf 24 Stunden festgelegt.

Diese Einstellung hat einen minimal zulässigen Wert von 0 Stunden (dadurch werden alle Aktionen nach der Authentifizierung deaktiviert).

Diese Einstellung hat einen maximal zulässigen Wert von 24 Stunden.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [0-24]
Standardwert 24

Anwendbarkeit von Einstellungen

Der LAPS-CSP kann zum Verwalten von Geräten verwendet werden, die entweder mit Microsoft Entra ID oder mit Microsoft Entra ID und Active Directory (hybrid eingebunden) verknüpft sind. Der LAPS-CSP verwaltet eine Mischung aus Microsoft Entra und nur AD-Einstellungen. Die Einstellungen nur für AD gelten nur für hybrid eingebundene Geräte und dann nur, wenn BackupDirectory auf 2 festgelegt ist.

Einstellungsname In Azure eingebunden Hybrid eingebunden
BackupDirectory Ja Ja
PasswordAgeDays Ja Ja
PasswordLength Ja Ja
PasswordComplexity Ja Ja
PasswordExpirationProtectionEnabled Nein Ja
AdministratorAccountName Ja Ja
ADPasswordEncryptionEnabled Nein Ja
ADPasswordEncryptionPrincipal Nein Ja
ADEncryptedPasswordHistorySize Nein Ja
PostAuthenticationResetDelay Ja Ja
PostAuthenticationActions Ja Ja
ResetPassword Ja Ja
ResetPasswordStatus Ja Ja

SyncML-Beispiele

Die folgenden Beispiele werden bereitgestellt, um das richtige Format anzuzeigen und sollten nicht als Empfehlung betrachtet werden.

In Azure eingebundenes Gerätesicherungskennwort bis Microsoft Entra ID

In diesem Beispiel wird gezeigt, wie Sie ein in Azure eingebundenes Gerät konfigurieren, um sein Kennwort in Microsoft Entra ID zu sichern:

<SyncMl xmlns="SYNCML:SYNCML1.2">
  <SyncBody>
    <Add>
      <CmdId>1</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>1</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>2</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>7</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>3</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>4</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>4</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordLength</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>32</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>5</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">chr</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>ContosoLocalLapsAdmin</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>6</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>8</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>7</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>3</Data>
      </Item>
    </Add>&lt;Final/&gt;</SyncBody>
</SyncMl>

Hybrid eingebundenes Gerätesicherungskennwort in Active Directory

In diesem Beispiel wird gezeigt, wie Sie ein Hybridgerät konfigurieren, um sein Kennwort in Active Directory mit aktivierter Kennwortverschlüsselung zu sichern:

<SyncMl xmlns="SYNCML:SYNCML1.2">
  <SyncBody>
    <Add>
      <CmdId>1</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>2</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>2</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>20</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>3</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>3</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>4</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordLength</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>14</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>5</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">chr</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>ContosoLocalLapsAdmin</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>6</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordExpirationProtectionEnabled</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">bool</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>True</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>7</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionEnabled</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">bool</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>True</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>8</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionPrincipal</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">chr</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>LAPSAdmins@contoso.com</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>9</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADEncryptedPasswordHistorySize</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>6</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>10</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>4</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>11</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>5</Data>
      </Item>
    </Add>&lt;Final/&gt;</SyncBody>
</SyncMl>

Referenz zum Konfigurationsdienstanbieter