LAPS-CSP
Der Konfigurationsdienstanbieter für lokale Administratorkennwörter (Local Administrator Password Solution, CSP) wird vom Unternehmen verwendet, um die Sicherung von Kennwörtern für lokale Administratorkonten zu verwalten. Windows unterstützt ein LAPS Gruppenrichtlinie Object, das vollständig vom LAPS-CSP getrennt ist. Viele der verschiedenen Einstellungen sind sowohl für das LAPS-Gruppenrichtlinienobjekt als auch für den CSP üblich (GPO unterstützt keine der aktionsbezogenen Einstellungen). Solange mindestens eine LAPS-Einstellung über CSP konfiguriert wird, werden alle von GPO konfigurierten Einstellungen ignoriert. Weitere Informationen finden Sie unter Konfigurieren von Richtlinieneinstellungen für Windows LAPS.
Hinweis
Weitere Informationen zu bestimmten Betriebssystemupdates, die für die Verwendung des Windows LAPS-CSP und der zugehörigen Features erforderlich sind, sowie zu den aktuellen status des Microsoft Entra LAPS-Szenarios finden Sie unter Windows LAPS availability and Microsoft Entra LAPS Public Preview status.
Tipp
In diesem Artikel werden die spezifischen technischen Details des LAPS-CSP behandelt. Weitere Informationen zu den Szenarien, in denen der LAPS-CSP verwendet werden würde, finden Sie unter Kennwortlösung für lokale Administratoren für Windows.
In der folgenden Liste sind die Knoten des LAPS-Konfigurationsdienstanbieters aufgeführt:
- ./Device/Vendor/MSFT/LAPS
- Aktionen
-
Richtlinien
- ADEncryptedPasswordHistorySize
- AdministratorAccountName
- ADPasswordEncryptionEnabled
- ADPasswordEncryptionPrincipal
- AutomaticAccountManagementEnableAccount
- AutomaticAccountManagementEnabled
- AutomaticAccountManagementNameOrPrefix
- AutomaticAccountManagementRandomizeName
- AutomaticAccountManagementTarget
- BackupDirectory
- PassphraseLength
- PasswordAgeDays
- PasswordComplexity
- PasswordExpirationProtectionEnabled
- PasswordLength
- PostAuthenticationActions
- PostAuthenticationResetDelay
Aktionen
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] und höher ✅ [10.0.25145] und höher ✅Windows 10, Version 1809 [10.0.17763.4244] und höher ✅Windows 10, Version 2004 [10.0.19041.2784] und höher ✅Windows 11, Version 21H2 [10.0.22000.1754] und höher ✅Windows 11, Version 22H2 [10.0.22621.1480] und höher |
./Device/Vendor/MSFT/LAPS/Actions
Definiert den übergeordneten inneren Knoten für alle aktionsbezogenen Einstellungen im LAPS-CSP.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | node |
| Zugriffstyp | „Abrufen“ |
Actions/ResetPassword
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] und höher ✅ [10.0.25145] und höher ✅Windows 10, Version 1809 [10.0.17763.4244] und höher ✅Windows 10, Version 2004 [10.0.19041.2784] und höher ✅Windows 11, Version 21H2 [10.0.22000.1754] und höher ✅Windows 11, Version 22H2 [10.0.22621.1480] und höher |
./Device/Vendor/MSFT/LAPS/Actions/ResetPassword
Verwenden Sie diese Einstellung, um den CSP anweisen, sofort ein neues Kennwort für das verwaltete lokale Administratorkonto zu generieren und zu speichern.
Diese Aktion ruft eine sofortige Zurücksetzung des Kennworts des lokalen Administratorkontos auf, wobei die normalen Einschränkungen wie PasswordLengthDays usw. ignoriert werden.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | null |
| Zugriffstyp | Exec |
Actions/ResetPasswordStatus
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] und höher ✅ [10.0.25145] und höher ✅Windows 10, Version 1809 [10.0.17763.4244] und höher ✅Windows 10, Version 2004 [10.0.19041.2784] und höher ✅Windows 11, Version 21H2 [10.0.22000.1754] und höher ✅Windows 11, Version 22H2 [10.0.22621.1480] und höher |
./Device/Vendor/MSFT/LAPS/Actions/ResetPasswordStatus
Verwenden Sie diese Einstellung, um die status der letzten übermittelten ResetPassword-Ausführungsaktion abzufragen.
Der zurückgegebene Wert ist ein HRESULT-Code:
- S_OK (0x0): Die letzte übermittelte ResetPassword-Aktion war erfolgreich.
- E_PENDING (0x8000000): Die letzte übermittelte ResetPassword-Aktion wird noch ausgeführt.
- Andere: Bei der letzten übermittelten ResetPassword-Aktion ist der zurückgegebene Fehler aufgetreten.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | „Abrufen“ |
| Standardwert | 0 |
Richtlinien
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] und höher ✅ [10.0.25145] und höher ✅Windows 10, Version 1809 [10.0.17763.4244] und höher ✅Windows 10, Version 2004 [10.0.19041.2784] und höher ✅Windows 11, Version 21H2 [10.0.22000.1754] und höher ✅Windows 11, Version 22H2 [10.0.22621.1480] und höher |
./Device/Vendor/MSFT/LAPS/Policies
Stammknoten für LAPS-Richtlinien.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | node |
| Zugriffstyp | „Abrufen“ |
| Atomic Erforderlich | Wahr |
Policies/ADEncryptedPasswordHistorySize
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] und höher ✅ [10.0.25145] und höher ✅Windows 10, Version 1809 [10.0.17763.4244] und höher ✅Windows 10, Version 2004 [10.0.19041.2784] und höher ✅Windows 11, Version 21H2 [10.0.22000.1754] und höher ✅Windows 11, Version 22H2 [10.0.22621.1480] und höher |
./Device/Vendor/MSFT/LAPS/Policies/ADEncryptedPasswordHistorySize
Verwenden Sie diese Einstellung, um zu konfigurieren, wie viele zuvor verschlüsselte Kennwörter in Active Directory gespeichert werden sollen.
Wenn nicht angegeben, wird diese Einstellung standardmäßig auf 0 Kennwörter (deaktiviert) festgelegt.
Diese Einstellung hat einen minimal zulässigen Wert von 0 Kennwörtern.
Diese Einstellung hat einen maximal zulässigen Wert von 12 Kennwörtern.
Wichtig
Diese Einstellung wird ignoriert, es sei denn, ADPasswordEncryptionEnabled ist auf True konfiguriert und alle anderen Voraussetzungen sind erfüllt.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Bereich: [0-12] |
| Standardwert | 0 |
| Abhängigkeit [BackupDirectory] | Abhängigkeitstyp: DependsOn Abhängigkeits-URI: Vendor/MSFT/LAPS/Policies/BackupDirectory Dependency Allowed Value (Zulässiger Wert für Abhängigkeiten): 2 Dependency Allowed Value Type(Dependency Allowed Value Type): ENUM |
Policies/AdministratorAccountName
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] und höher ✅ [10.0.25145] und höher ✅Windows 10, Version 1809 [10.0.17763.4244] und höher ✅Windows 10, Version 2004 [10.0.19041.2784] und höher ✅Windows 11, Version 21H2 [10.0.22000.1754] und höher ✅Windows 11, Version 22H2 [10.0.22621.1480] und höher |
./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName
Verwenden Sie diese Einstellung, um den Namen des verwalteten lokalen Administratorkontos zu konfigurieren.
Wenn nicht angegeben, wird das standardmäßige integrierte lokale Administratorkonto nach der bekannten SID gefunden (auch wenn es umbenannt wurde).
Falls angegeben, wird das Kennwort des angegebenen Kontos verwaltet.
Hinweis: Wenn in dieser Einstellung ein benutzerdefinierter verwalteter lokaler Administratorkontoname angegeben ist, muss dieses Konto auf andere Weise erstellt werden. Wenn Sie in dieser Einstellung einen Namen angeben, wird das Konto nicht erstellt.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Policies/ADPasswordEncryptionEnabled
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] und höher ✅ [10.0.25145] und höher ✅Windows 10, Version 1809 [10.0.17763.4244] und höher ✅Windows 10, Version 2004 [10.0.19041.2784] und höher ✅Windows 11, Version 21H2 [10.0.22000.1754] und höher ✅Windows 11, Version 22H2 [10.0.22621.1480] und höher |
./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionEnabled
Verwenden Sie diese Einstellung, um zu konfigurieren, ob das Kennwort verschlüsselt wird, bevor es in Active Directory gespeichert wird.
Diese Einstellung wird ignoriert, wenn das Kennwort derzeit in Microsoft Entra ID gespeichert wird.
Diese Einstellung wird nur berücksichtigt, wenn sich die Active Directory-Domäne auf Windows Server 2016 Domänenfunktionsebene oder höher befindet.
Wenn diese Einstellung aktiviert ist und die Active Directory-Domäne die DFL-Voraussetzung erfüllt, wird das Kennwort verschlüsselt, bevor es in Active Directory gespeichert wird.
Wenn diese Einstellung deaktiviert ist oder die Active Directory-Domäne die DFL-Voraussetzung nicht erfüllt, wird das Kennwort als Klartext in Active Directory gespeichert.
Wenn nicht angegeben, wird diese Einstellung standardmäßig auf True festgelegt.
Wichtig
Diese Einstellung wird ignoriert, es sei denn, BackupDirectory ist für die Sicherung des Kennworts in Active Directory konfiguriert, UND die Active Directory-Domäne befindet sich auf Windows Server 2016 Domänenfunktionsebene oder höher.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | bool |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | Wahr |
| Abhängigkeit [BackupDirectory] | Abhängigkeitstyp: DependsOn Abhängigkeits-URI: Vendor/MSFT/LAPS/Policies/BackupDirectory Dependency Allowed Value (Zulässiger Wert für Abhängigkeiten): 2 Dependency Allowed Value Type(Dependency Allowed Value Type): ENUM |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| false | Speichern Sie das Kennwort in Klartextform in Active Directory. |
| true (Standard) | Speichern Sie das Kennwort in verschlüsselter Form in Active Directory. |
Policies/ADPasswordEncryptionPrincipal
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] und höher ✅ [10.0.25145] und höher ✅Windows 10, Version 1809 [10.0.17763.4244] und höher ✅Windows 10, Version 2004 [10.0.19041.2784] und höher ✅Windows 11, Version 21H2 [10.0.22000.1754] und höher ✅Windows 11, Version 22H2 [10.0.22621.1480] und höher |
./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionPrincipal
Verwenden Sie diese Einstellung, um den Namen oder die SID eines Benutzers oder einer Gruppe zu konfigurieren, der das in Active Directory gespeicherte Kennwort entschlüsseln kann.
Diese Einstellung wird ignoriert, wenn das Kennwort derzeit in Microsoft Entra ID gespeichert wird.
Wenn es nicht angegeben ist, kann das Kennwort von der Gruppe "Domänenadministratoren" in der Domäne des Geräts entschlüsselt werden.
Falls angegeben, kann der angegebene Benutzer oder die angegebene Gruppe das in Active Directory gespeicherte Kennwort entschlüsseln.
Wenn das angegebene Benutzer- oder Gruppenkonto ungültig ist, führt das Gerät einen Fallback zur Verwendung der Gruppe Domänenadministratoren in der Domäne des Geräts aus.
Wichtig
Diese Einstellung wird ignoriert, es sei denn, ADPasswordEncryptionEnabled ist auf True konfiguriert und alle anderen Voraussetzungen sind erfüllt. Die in dieser Einstellung gespeicherte Zeichenfolge muss entweder eine SID in Zeichenfolgenform oder der vollqualifizierte Name eines Benutzers oder einer Gruppe sein. Gültige Beispiele:
S-1-5-21-2127521184-1604012920-1887927527-35197contoso\LAPSAdminslapsadmins@contoso.com
Der Prinzipal, der (entweder durch SID oder Benutzer-/Gruppenname) identifiziert wird, muss vorhanden sein und vom Gerät aufgelöst werden können.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Abhängigkeit [BackupDirectory] | Abhängigkeitstyp: DependsOn Abhängigkeits-URI: Vendor/MSFT/LAPS/Policies/BackupDirectory Dependency Allowed Value (Zulässiger Wert für Abhängigkeiten): 2 Dependency Allowed Value Type(Dependency Allowed Value Type): ENUM |
Policies/AutomaticAccountManagementEnableAccount
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11, Version 24H2 [10.0.26100] und höher |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnableAccount
Verwenden Sie diese Einstellung, um zu konfigurieren, ob das automatisch verwaltete Konto aktiviert oder deaktiviert ist.
Wenn diese Einstellung aktiviert ist, wird das Zielkonto aktiviert.
Wenn diese Einstellung deaktiviert ist, wird das Zielkonto deaktiviert.
Wenn nicht angegeben, wird diese Einstellung standardmäßig auf False festgelegt.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | bool |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | False |
| Abhängigkeit [AutomaticAccountManagementEnabled] | Abhängigkeitstyp: DependsOn Abhängigkeits-URI: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled Dependency Allowed Value (Zulässiger Wert für Abhängigkeiten): true Dependency Allowed Value Type(Dependency Allowed Value Type): ENUM |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| False (Standard) | Das Zielkonto wird deaktiviert. |
| Wahr | Das Zielkonto wird aktiviert. |
Policies/AutomaticAccountManagementEnabled
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11, Version 24H2 [10.0.26100] und höher |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled
Verwenden Sie diese Einstellung, um anzugeben, ob die automatische Kontoverwaltung aktiviert ist.
Wenn diese Einstellung aktiviert ist, wird das Zielkonto automatisch verwaltet.
Wenn diese Einstellung deaktiviert ist, wird das Zielkonto nicht automatisch verwaltet.
Wenn nicht angegeben, wird diese Einstellung standardmäßig auf False festgelegt.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | bool |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | False |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| false (Standard) | Das Zielkonto wird nicht automatisch verwaltet. |
| true | Das Zielkonto wird automatisch verwaltet. |
Policies/AutomaticAccountManagementNameOrPrefix
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11, Version 24H2 [10.0.26100] und höher |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementNameOrPrefix
Verwenden Sie diese Einstellung, um den Namen oder das Präfix des verwalteten lokalen Administratorkontos zu konfigurieren.
Falls angegeben, wird der Wert als Name oder Namenspräfix des verwalteten Kontos verwendet.
Wenn nicht angegeben, wird diese Einstellung standardmäßig auf "WLapsAdmin" festgelegt.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Abhängigkeit [AutomaticAccountManagementEnabled] | Abhängigkeitstyp: DependsOn Abhängigkeits-URI: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled Dependency Allowed Value (Zulässiger Wert für Abhängigkeiten): true Dependency Allowed Value Type(Dependency Allowed Value Type): ENUM |
Policies/AutomaticAccountManagementRandomizeName
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11, Version 24H2 [10.0.26100] und höher |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementRandomizeName
Verwenden Sie diese Einstellung, um zu konfigurieren, ob der Name des automatisch verwalteten Kontos bei jeder Kennwortrotation ein zufälliges numerisches Suffix verwendet.
Wenn diese Einstellung aktiviert ist, verwendet der Name des Zielkontos ein zufälliges numerisches Suffix.
Wenn diese Einstellung nicht verwendet wird, verwendet der Name des Zielkontos kein zufälliges numerisches Suffix.
Wenn nicht angegeben, wird diese Einstellung standardmäßig auf False festgelegt.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | bool |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | False |
| Abhängigkeit [AutomaticAccountManagementEnabled] | Abhängigkeitstyp: DependsOn Abhängigkeits-URI: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled Dependency Allowed Value (Zulässiger Wert für Abhängigkeiten): true Dependency Allowed Value Type(Dependency Allowed Value Type): ENUM |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| False (Standard) | Der Name des Zielkontos verwendet kein zufälliges numerisches Suffix. |
| Wahr | Der Name des Zielkontos verwendet ein zufälliges numerisches Suffix. |
Policies/AutomaticAccountManagementTarget
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11, Version 24H2 [10.0.26100] und höher |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementTarget
Verwenden Sie diese Einstellung, um zu konfigurieren, welches Konto automatisch verwaltet wird.
Zulässige Einstellungen sind:
0=Das integrierte Administratorkonto wird verwaltet.
1=Ein von Windows LAPS erstelltes neues Konto wird verwaltet.
Wenn nicht angegeben, wird diese Einstellung standardmäßig auf 1 festgelegt.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
| Abhängigkeit [AutomaticAccountManagementEnabled] | Abhängigkeitstyp: DependsOn Abhängigkeits-URI: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled Dependency Allowed Value (Zulässiger Wert für Abhängigkeiten): true Dependency Allowed Value Type(Dependency Allowed Value Type): ENUM |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 | Verwalten sie das integrierte Administratorkonto. |
| 1 (Standard) | Verwalten eines neuen benutzerdefinierten Administratorkontos. |
Policies/BackupDirectory
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] und höher ✅ [10.0.25145] und höher ✅Windows 10, Version 1809 [10.0.17763.4244] und höher ✅Windows 10, Version 2004 [10.0.19041.2784] und höher ✅Windows 11, Version 21H2 [10.0.22000.1754] und höher ✅Windows 11, Version 22H2 [10.0.22621.1480] und höher |
./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory
Verwenden Sie diese Einstellung, um zu konfigurieren, in welchem Verzeichnis das Kennwort des lokalen Administratorkontos gesichert wird.
Zulässige Einstellungen sind:
0=Deaktiviert (Kennwort wird nicht gesichert) 1=Sichern des Kennworts in Microsoft Entra ID nur 2=Sichern des Kennworts nur in Active Directory.
Wenn nicht angegeben, wird diese Einstellung standardmäßig auf 0 festgelegt.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Deaktiviert (Kennwort wird nicht gesichert). |
| 1 | Sichern Sie das Kennwort nur in Microsoft Entra ID. |
| 2 | Sichern Sie das Kennwort nur in Active Directory. |
Policies/PassphraseLength
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11, Version 24H2 [10.0.26100] und höher |
./Device/Vendor/MSFT/LAPS/Policies/PassphraseLength
Verwenden Sie diese Einstellung, um die Anzahl der Passphrasenwörter zu konfigurieren.
Wenn nicht angegeben, wird diese Einstellung standardmäßig auf 6 Wörter festgelegt.
Diese Einstellung hat einen minimal zulässigen Wert von 3 Wörtern.
Diese Einstellung hat einen maximal zulässigen Wert von 10 Wörtern.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Bereich: [3-10] |
| Standardwert | 6 |
| Abhängigkeit [PasswordComplexity] | Abhängigkeitstyp: DependsOn Abhängigkeits-URI: Vendor/MSFT/LAPS/Policies/PasswordComplexity Dependency Allowed Value (Zulässiger Wert für Abhängigkeiten): [6-8] Dependency Allowed Value Type(Dependency Allowed Value Type): Range |
Policies/PasswordAgeDays
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] und höher ✅ [10.0.25145] und höher ✅Windows 10, Version 1809 [10.0.17763.4244] und höher ✅Windows 10, Version 2004 [10.0.19041.2784] und höher ✅Windows 11, Version 21H2 [10.0.22000.1754] und höher ✅Windows 11, Version 22H2 [10.0.22621.1480] und höher |
./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays
Verwenden Sie diese Richtlinie, um das maximale Kennwortalter des verwalteten lokalen Administratorkontos zu konfigurieren.
Wenn nicht angegeben, wird diese Einstellung standardmäßig auf 30 Tage festgelegt.
Diese Einstellung hat einen zulässigen Mindestwert von 1 Tag, wenn das Kennwort auf lokales Active Directory gesichert wird, und 7 Tage, wenn das Kennwort auf Microsoft Entra ID gesichert wird.
Diese Einstellung hat einen maximal zulässigen Wert von 365 Tagen.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Bereich: [1-365] |
| Standardwert | 30 |
| Abhängigkeit [BackupDirectoryAADMode BackupDirectoryADMode] | Abhängigkeitstyp: DependsOn DependsOn Abhängigkeits-URI: Vendor/MSFT/LAPS/Policies/BackupDirectory Vendor/MSFT/LAPS/Policies/BackupDirectory Dependency Allowed Value (Zulässiger Wert für Abhängigkeiten): Dependency Allowed Value Type(Dependency Allowed Value Type): ENUM ENUM |
Policies/PasswordComplexity
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] und höher ✅ [10.0.25145] und höher ✅Windows 10, Version 1809 [10.0.17763.4244] und höher ✅Windows 10, Version 2004 [10.0.19041.2784] und höher ✅Windows 11, Version 21H2 [10.0.22000.1754] und höher ✅Windows 11, Version 22H2 [10.0.22621.1480] und höher |
./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity
Verwenden Sie diese Einstellung, um die Kennwortkomplexität des verwalteten lokalen Administratorkontos zu konfigurieren.
Zulässige Einstellungen sind:
1=Große Buchstaben 2=Große Buchstaben + kleine Buchstaben 3=Große Buchstaben + kleine Buchstaben + Zahlen 4 = Große Buchstaben + Kleine Buchstaben + Zahlen + Sonderzeichen 5 = Große Buchstaben + Kleine Buchstaben + Zahlen + Sonderzeichen (verbesserte Lesbarkeit) 6 = Passphrase (lange Wörter) 7 = Passphrase (kurze Wörter) 8 = Passphrase (kurze Wörter mit eindeutigen Präfixen)
Wenn nicht angegeben, wird diese Einstellung standardmäßig auf 4 festgelegt.
Passphrasenliste aus "Deep Dive: EFF's New Wordlists for Random Passphrases" von Electronic Frontier Foundation und wird unter einer CC-BY-3.0-Namensnennungslizenz verwendet. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2255471.
Wichtig
Windows unterstützt die Einstellungen für die geringere Kennwortkomplexität (1, 2 und 3) nur aus Gründen der Abwärtskompatibilität mit älteren Versionen von LAPS. Microsoft empfiehlt, diese Einstellung immer auf 4 zu konfigurieren.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 4 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 | Große Buchstaben. |
| 2 | Große Buchstaben + kleine Buchstaben. |
| 3 | Große Buchstaben + kleine Buchstaben + Zahlen. |
| 4 (Standard) | Große Buchstaben + kleine Buchstaben + Zahlen + Sonderzeichen. |
| 5 | Große Buchstaben + kleine Buchstaben + Zahlen + Sonderzeichen (verbesserte Lesbarkeit). |
| 6 | Passphrase (lange Wörter). |
| 7 | Passphrase (kurze Wörter). |
| 8 | Passphrase (kurze Wörter mit eindeutigen Präfixen). |
Policies/PasswordExpirationProtectionEnabled
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] und höher ✅ [10.0.25145] und höher ✅Windows 10, Version 1809 [10.0.17763.4244] und höher ✅Windows 10, Version 2004 [10.0.19041.2784] und höher ✅Windows 11, Version 21H2 [10.0.22000.1754] und höher ✅Windows 11, Version 22H2 [10.0.22621.1480] und höher |
./Device/Vendor/MSFT/LAPS/Policies/PasswordExpirationProtectionEnabled
Verwenden Sie diese Einstellung, um die zusätzliche Erzwingung des maximalen Kennwortalters für das verwaltete lokale Administratorkonto zu konfigurieren.
Wenn diese Einstellung aktiviert ist, ist ein geplanter Kennwortablauf, der zu einem höheren Kennwortalter führen würde als das durch die Richtlinie "PasswordAgeDays" vorgeschriebene, NICHT zulässig. Wenn ein solcher Ablauf erkannt wird, wird das Kennwort sofort geändert, und das neue Kennwortablaufdatum wird gemäß der Richtlinie festgelegt.
Wenn nicht angegeben, wird diese Einstellung standardmäßig auf True festgelegt.
Wichtig
Diese Einstellung wird ignoriert, es sei denn, BackupDirectory ist für die Sicherung des Kennworts in Active Directory konfiguriert.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | bool |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | Wahr |
| Abhängigkeit [BackupDirectory] | Abhängigkeitstyp: DependsOn Abhängigkeits-URI: Vendor/MSFT/LAPS/Policies/BackupDirectory Dependency Allowed Value (Zulässiger Wert für Abhängigkeiten): 2 Dependency Allowed Value Type(Dependency Allowed Value Type): ENUM |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| false | Lassen Sie den konfigurierten Kennwortablaufzeitstempel zu, um das maximale Kennwortalter zu überschreiten. |
| true (Standard) | Lassen Sie nicht zu, dass der konfigurierte Kennwortablaufzeitstempel das maximale Kennwortalter überschreitet. |
Policies/PasswordLength
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] und höher ✅ [10.0.25145] und höher ✅Windows 10, Version 1809 [10.0.17763.4244] und höher ✅Windows 10, Version 2004 [10.0.19041.2784] und höher ✅Windows 11, Version 21H2 [10.0.22000.1754] und höher ✅Windows 11, Version 22H2 [10.0.22621.1480] und höher |
./Device/Vendor/MSFT/LAPS/Policies/PasswordLength
Verwenden Sie diese Einstellung, um die Länge des Kennworts des verwalteten lokalen Administratorkontos zu konfigurieren.
Wenn nicht angegeben, wird diese Einstellung standardmäßig auf 14 Zeichen festgelegt.
Diese Einstellung hat einen minimal zulässigen Wert von 8 Zeichen.
Diese Einstellung hat einen maximal zulässigen Wert von 64 Zeichen.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Bereich: [8-64] |
| Standardwert | 14 |
| Abhängigkeit [PasswordComplexity] | Abhängigkeitstyp: DependsOn Abhängigkeits-URI: Vendor/MSFT/LAPS/Policies/PasswordComplexity Dependency Allowed Value (Zulässiger Wert für Abhängigkeiten): [1-5] Dependency Allowed Value Type(Dependency Allowed Value Type): Range |
Policies/PostAuthenticationActions
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] und höher ✅ [10.0.25145] und höher ✅Windows 10, Version 1809 [10.0.17763.4244] und höher ✅Windows 10, Version 2004 [10.0.19041.2784] und höher ✅Windows 11, Version 21H2 [10.0.22000.1754] und höher ✅Windows 11, Version 22H2 [10.0.22621.1480] und höher |
./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions
Verwenden Sie diese Einstellung, um die Aktionen anzugeben, die nach Ablauf der konfigurierten Toleranzperiode ausgeführt werden sollen.
Wenn nicht angegeben, wird diese Einstellung standardmäßig auf 3 festgelegt (Kennwort zurücksetzen und das verwaltete Konto abmelden).
Wichtig
Die zulässigen Aktionen nach der Authentifizierung sollen dazu beitragen, die Zeitspanne zu begrenzen, für die ein LAPS-Kennwort vor dem Zurücksetzen verwendet werden kann. Das Abmelden des verwalteten Kontos oder das Neustarten des Geräts sind Optionen, um dies sicherzustellen. Eine abrupte Beendigung von Anmeldesitzungen oder ein Neustart des Geräts kann zu Datenverlusten führen.
Wichtig
Aus Sicherheitssicht hat ein böswilliger Benutzer, der administratorische Berechtigungen auf einem Gerät mit einem gültigen LAPS-Kennwort erwirbt, die ultimative Möglichkeit, diese Mechanismen zu verhindern oder zu umgehen.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 3 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 | Kennwort zurücksetzen: Nach Ablauf der Toleranzperiode wird das Kennwort des verwalteten Kontos zurückgesetzt. |
| 3 (Standard) | Zurücksetzen des Kennworts und Abmelden des verwalteten Kontos: Nach Ablauf der Toleranzperiode wird das Kennwort des verwalteten Kontos zurückgesetzt, und alle interaktiven Anmeldesitzungen mit dem verwalteten Konto werden beendet. |
| 5 | Zurücksetzen des Kennworts und Neustart: Nach Ablauf der Toleranzperiode wird das Kennwort des verwalteten Kontos zurückgesetzt, und das verwaltete Gerät wird sofort neu gestartet. |
| 11 | Setzen Sie das Kennwort zurück, melden Sie das verwaltete Konto ab, und beenden Sie alle verbleibenden Prozesse: Nach Ablauf der Toleranzperiode wird das Kennwort des verwalteten Kontos zurückgesetzt, alle interaktiven Anmeldesitzungen mit dem verwalteten Konto werden abgemeldet, und alle verbleibenden Prozesse werden beendet. |
Policies/PostAuthenticationResetDelay
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] und höher ✅ [10.0.25145] und höher ✅Windows 10, Version 1809 [10.0.17763.4244] und höher ✅Windows 10, Version 2004 [10.0.19041.2784] und höher ✅Windows 11, Version 21H2 [10.0.22000.1754] und höher ✅Windows 11, Version 22H2 [10.0.22621.1480] und höher |
./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay
Verwenden Sie diese Einstellung, um anzugeben, wie lange (in Stunden) nach einer Authentifizierung gewartet werden soll, bevor die angegebenen Aktionen nach der Authentifizierung ausgeführt werden.
Wenn nicht angegeben, wird diese Einstellung standardmäßig auf 24 Stunden festgelegt.
Diese Einstellung hat einen minimal zulässigen Wert von 0 Stunden (dadurch werden alle Aktionen nach der Authentifizierung deaktiviert).
Diese Einstellung hat einen maximal zulässigen Wert von 24 Stunden.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Bereich: [0-24] |
| Standardwert | 24 |
Anwendbarkeit von Einstellungen
Der LAPS-CSP kann zum Verwalten von Geräten verwendet werden, die entweder mit Microsoft Entra ID oder mit Microsoft Entra ID und Active Directory (hybrid eingebunden) verknüpft sind. Der LAPS-CSP verwaltet eine Mischung aus Microsoft Entra und nur AD-Einstellungen. Die Einstellungen nur für AD gelten nur für hybrid eingebundene Geräte und dann nur, wenn BackupDirectory auf 2 festgelegt ist.
| Einstellungsname | In Azure eingebunden | Hybrid eingebunden |
|---|---|---|
| BackupDirectory | Ja | Ja |
| PasswordAgeDays | Ja | Ja |
| PasswordLength | Ja | Ja |
| PasswordComplexity | Ja | Ja |
| PasswordExpirationProtectionEnabled | Nein | Ja |
| AdministratorAccountName | Ja | Ja |
| ADPasswordEncryptionEnabled | Nein | Ja |
| ADPasswordEncryptionPrincipal | Nein | Ja |
| ADEncryptedPasswordHistorySize | Nein | Ja |
| PostAuthenticationResetDelay | Ja | Ja |
| PostAuthenticationActions | Ja | Ja |
| ResetPassword | Ja | Ja |
| ResetPasswordStatus | Ja | Ja |
SyncML-Beispiele
Die folgenden Beispiele werden bereitgestellt, um das richtige Format anzuzeigen und sollten nicht als Empfehlung betrachtet werden.
In Azure eingebundenes Gerätesicherungskennwort bis Microsoft Entra ID
In diesem Beispiel wird gezeigt, wie Sie ein in Azure eingebundenes Gerät konfigurieren, um sein Kennwort in Microsoft Entra ID zu sichern:
<SyncMl xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Add>
<CmdId>1</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>1</Data>
</Item>
</Add>
<Add>
<CmdId>2</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>7</Data>
</Item>
</Add>
<Add>
<CmdId>3</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>4</Data>
</Item>
</Add>
<Add>
<CmdId>4</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordLength</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>32</Data>
</Item>
</Add>
<Add>
<CmdId>5</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
<Type>text/plain</Type>
</Meta>
<Data>ContosoLocalLapsAdmin</Data>
</Item>
</Add>
<Add>
<CmdId>6</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>8</Data>
</Item>
</Add>
<Add>
<CmdId>7</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>3</Data>
</Item>
</Add><Final/></SyncBody>
</SyncMl>
Hybrid eingebundenes Gerätesicherungskennwort in Active Directory
In diesem Beispiel wird gezeigt, wie Sie ein Hybridgerät konfigurieren, um sein Kennwort in Active Directory mit aktivierter Kennwortverschlüsselung zu sichern:
<SyncMl xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Add>
<CmdId>1</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>2</Data>
</Item>
</Add>
<Add>
<CmdId>2</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>20</Data>
</Item>
</Add>
<Add>
<CmdId>3</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>3</Data>
</Item>
</Add>
<Add>
<CmdId>4</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordLength</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>14</Data>
</Item>
</Add>
<Add>
<CmdId>5</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
<Type>text/plain</Type>
</Meta>
<Data>ContosoLocalLapsAdmin</Data>
</Item>
</Add>
<Add>
<CmdId>6</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordExpirationProtectionEnabled</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
<Type>text/plain</Type>
</Meta>
<Data>True</Data>
</Item>
</Add>
<Add>
<CmdId>7</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionEnabled</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
<Type>text/plain</Type>
</Meta>
<Data>True</Data>
</Item>
</Add>
<Add>
<CmdId>8</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionPrincipal</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
<Type>text/plain</Type>
</Meta>
<Data>LAPSAdmins@contoso.com</Data>
</Item>
</Add>
<Add>
<CmdId>9</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADEncryptedPasswordHistorySize</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>6</Data>
</Item>
</Add>
<Add>
<CmdId>10</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>4</Data>
</Item>
</Add>
<Add>
<CmdId>11</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>5</Data>
</Item>
</Add><Final/></SyncBody>
</SyncMl>