Начало работы с Windows LAPS во время развертывания и миграции
Существует множество возможных методов развертывания Windows LAPS или миграции из устаревшей версии LAPS в Windows LAPS. В этой статье описаны основные сценарии, а также советы и рекомендации, которые следует учитывать.
При переносе существующих гибридных устройств из устаревших LAPS в Windows LAPS вы можете продолжить хранение паролей в Active Directory или переключиться на хранение паролей в идентификаторе Microsoft Entra.
Подготовка каталога
Большая часть содержимого в этом руководстве не зависит от каталога. Однако существуют некоторые предварительные действия, необходимые для включения каталога (Active Directory или Идентификатора Microsoft Entra) для поддержки устройств Windows LAPS. Прежде чем продолжить реализацию любого из других сценариев, описанных в этой статье, следует выполнить эти действия.
Подготовка Windows Server Active Directory
Перед настройкой присоединенных к Active Directory или гибридных устройств необходимо выполнить следующие действия, чтобы создать резервную копию паролей управляемой учетной записи в Active Directory.
- Расширьте схему AD для поддержки Windows LAPS. См. раздел "Обновление схемы Windows Server Active Directory".
- Если вы используете центральное хранилище групповой политики групповой политики, скопируйте файлы шаблонов групповой политики Windows LAPS в центральное хранилище. См . центральный магазин групповой политики.
- Назначьте самозаписываемые разрешения устройства. См. раздел "Предоставление разрешения на обновление пароля управляемого устройства".
- Анализ, определение и настройка соответствующих разрешений AD для получения пароля и получения пароля. См . пароли Windows Server Active Directory.
- Анализ и определение соответствующих авторизованных групп для расшифровки паролей. См . пароли Windows Server Active Directory.
- Создайте новую политику WINDOWS LAPS, предназначенную для управляемых устройств, с соответствующими параметрами, как определено на предыдущих шагах.
Совет
Если вы планируете использовать только резервные пароли для идентификатора Microsoft Entra ID, вам не нужно выполнять какие-либо из этих действий, включая расширение схемы AD.
Подготовка идентификатора Microsoft Entra
Перед настройкой присоединенных к Microsoft Entra или гибридных устройств необходимо выполнить следующие действия, чтобы создать резервную копию паролей управляемой учетной записи в идентификатор Microsoft Entra.
- Просмотрите членство встроенных ролей Microsoft Entra, имеющих по умолчанию доступ к паролям Windows LAPS, хранящимся в идентификаторе Microsoft Entra. По умолчанию эти роли имеют высокий уровень привилегий, поэтому на этом шаге не должно быть сюрпризов.
- Включите клиент Microsoft Entra для поддержки резервного копирования паролей Windows LAPS. См. раздел "Включение WINDOWS LAPS" с помощью идентификатора Microsoft Entra.
Новый сценарий установки ОС с политикой Windows LAPS
Windows LAPS встроена в операционную систему Windows. Это базовая функция безопасности Windows и не может быть удалена. Поэтому важно учитывать влияние политики Windows LAPS во время установки новой ОС.
Основной фактор, который следует учитывать, заключается в том, что Windows LAPS всегда "включен". Как только политика WINDOWS LAPS применяется к устройству, Windows LAPS немедленно начинает применять политику. Это может привести к сбоям, если в какой-то момент рабочий процесс развертывания ОС включает присоединение устройства к подразделению с включенной политикой Windows LAPS. Если политика WINDOWS LAPS нацелена на ту же локальную учетную запись, с помощью в которую входит рабочий процесс развертывания, результирующий немедленное изменение пароля локальной учетной записи, скорее всего, разорвет рабочий процесс (например, после перезагрузки во время автоматического входа).
Первым способом устранения этой проблемы является использование чистого промежуточного подразделения подразделения. Промежуточное подразделение считается временным домом для учетной записи устройства, которая применяет минимальный набор обязательных политик и не должен применять политику WINDOWS LAPS. Только после завершения рабочего процесса развертывания ОС учетная запись устройства перемещается в свою окончательную целевую подразделение. Корпорация Майкрософт рекомендует использовать чистую промежуточную подразделение в качестве универсальной рекомендации.
Второй способ — настроить политику WINDOWS LAPS для целевой учетной записи, отличной от учетной записи, используемой рабочим процессом развертывания ОС. Рекомендуется удалить все локальные учетные записи, которые не являются ненужными в конце рабочего процесса развертывания ОС.
Новый сценарий установки ОС с устаревшей политикой LAPS
Этот сценарий имеет те же основные проблемы, что и сценарий установки новой ОС с политикой WINDOWS LAPS, но имеет некоторые особые проблемы, связанные с поддержкой устаревшего режима эмуляции LAPS в Windows.
Опять же, основной фактор, который следует учитывать, заключается в том, что Windows LAPS всегда включен. Как только к устройству применяется устаревшая политика LAPS, и предполагается, что все устаревшие условия режима эмуляции LAPS выполняются. Windows LAPS немедленно начинает применять политику. Это может привести к сбоям, если в какой-то момент рабочий процесс развертывания ОС включает присоединение к домену устройства в подразделение с включенной устаревшей политикой LAPS. Если устаревшая политика LAPS предназначена для той же локальной учетной записи, с которым выполняется вход рабочего процесса развертывания, результатом немедленного изменения пароля локальной учетной записи, скорее всего, будет нарушен рабочий процесс (например, после перезагрузки во время автоматического входа).
Первым способом устранения этой проблемы является использование чистого промежуточного подразделения подразделения. Промежуточное подразделение считается временным домом для учетной записи устройства, которая применяет минимальный набор обязательных политик и не должен применять устаревшую политику LAPS. Только после завершения рабочего процесса развертывания ОС учетная запись устройства перемещается в свою окончательную целевую подразделение. Корпорация Майкрософт рекомендует использовать чистую промежуточную подразделение в качестве универсальной рекомендации.
Второй способ — настроить устаревшую политику LAPS для целевой учетной записи, отличной от учетной записи, используемой рабочим процессом развертывания ОС. Рекомендуется удалить все локальные учетные записи, которые не являются ненужными в конце рабочего процесса развертывания ОС.
Третий способ — отключить устаревший режим эмуляции LAPS в начале рабочего процесса развертывания ОС и включить его (при необходимости) в конце рабочего процесса развертывания ОС.
Сценарий сосуществования (параллельного использования) с устаревшим LAPS
Можно использовать windows LAPS и устаревшие LAPS в параллельном сценарии. Для успешного выполнения параллельного сценария обе политики должны использовать разные локальные учетные записи. Однако ваша долгосрочная цель состоит в том, чтобы перейти от устаревших LAPS к Windows LAPS.
Сценарии миграции из устаревших LAPS в Windows LAPS на существующих устройствах
Корпорация Майкрософт рекомендует перенести устаревшие LAPS в Windows LAPS. В этом разделе описываются процедуры для выполнения этой миграции на существующих устройствах.
Существует два основных подхода, которые можно использовать. Первый подход — это немедленный переход, а второй подход использует период параллельного сосуществования, за которым следует окончательный переход.
Подход к немедленному переходу
Вы можете немедленно перенести устаревшие LAPS в Windows LAPS на существующих устройствах, выполнив следующие действия.
- Отключить\удалить устаревшую политику LAPS
- Создание и применение политики Windows LAPS
- Мониторинг управляемого устройства для подтверждения успешного перехода
- Удаление устаревшего программного обеспечения LAPS
Первые два шага должны выполняться одновременно (или почти так, как это возможно).
Самый простой подход при настройке политики WINDOWS LAPS — использовать ту же учетную запись, которая ранее была нацелена на устаревшую политику LAPS. Если вы решили использовать другую учетную запись, то перед применением политики Windows LAPS необходимо создать новую учетную запись. Если она больше не нужна, следует удалить первую учетную запись.
Политика LAPS Windows также может быть настроена с функциями (резервное копирование на идентификатор Microsoft Entra ID или включение шифрования паролей AD), которые не были доступны в устаревшем программном обеспечении LAPS.
При первом применении политики LAPS Windows управляемое устройство выполняет немедленную смену пароля локальной учетной записи. Необходимо отслеживать управляемое устройство, чтобы убедиться, что переход успешно завершен.
После завершения перехода необходимо удалить устаревшее программное обеспечение LAPS с управляемого устройства.
Временный параллельный подход к сосуществованию
Возможно, потребуется реализовать более постепенную процедуру миграции из устаревшей версии LAPS в Windows LAPS. Ниже приведены основные шаги по выполнению этого перехода на существующих устройствах:
- Настройка управляемого устройства со второй локальной учетной записью
- Создание и применение политики Windows LAPS
- Отслеживайте управляемое устройство, чтобы подтвердить успешное применение политики Windows LAPS
- Отключить\удалить устаревшую политику LAPS
- Удаление устаревшего программного обеспечения LAPS
- Удаление дополнительной учетной записи
При таком подходе необходимо создать вторую локальную учетную запись, так как она не поддерживается как политика LAPS Windows, так и устаревшая политика LAPS, предназначенная для одной и той же учетной записи.
После подтверждения правильности работы Windows LAPS можно оставить управляемое устройство в этом состоянии до тех пор, пока не потребуется выполнить остальные действия по миграции.
Мониторинг успешного перехода
Существует несколько подходов к мониторингу успешного результата после перехода управляемого устройства в политику Windows LAPS:
- Вы можете отслеживать канал журнала событий Windows LAPS управляемого устройства для успешного обновления пароля (для идентификатора Microsoft Entra или AD). Централизованное решение для сбора журналов событий может помочь здесь.
- При хранении паролей в Active Directory можно искать внешний вид нового атрибута msLAPS-PasswordExpirationTime на объекте компьютера AD управляемого устройства.
Get-LapsADPasswordКомандлет PowerShell можно использовать для автоматизации этого анализа. - При хранении паролей в идентификаторе Microsoft Entra можно проверить идентификатор Microsoft Entra или порталы управления Intune, чтобы убедиться, что устройство обновило свой пароль.
Get-LapsAADPasswordКомандлет PowerShell можно использовать для автоматизации этого анализа.
Удаление устаревшего программного обеспечения LAPS с управляемого устройства
Конкретные шаги, необходимые для удаления устаревшего программного обеспечения LAPS с управляемого устройства, зависят от того, как это программное обеспечение было первоначально установлено.
Если вы установили устаревшие LAPS с помощью пакета установщика MSI
В этой ситуации можно вручную удалить устаревшее программное обеспечение LAPS на панели управления для сценариев управления.
Кроме того, вы можете автоматизировать этот процесс с помощью автоматической команды удаления MSI на управляемом устройстве:
C:\>msiexec.exe /q /uninstall {97E2CA7B-B657-4FF7-A6DB-30ECC73E1E28}
Если вы установили устаревшую версию LAPS путем копирования и регистрации устаревшей библиотеки DLL LAPS CSE
В этом случае необходимо вручную отменить регистрацию, а затем удалить устаревшую библиотеку DLL LAPS CSE:
regsvr32.exe /s /u AdmPwd.dll
delete AdmPwd.dll
При необходимости расположение, в котором копируется устаревший двоичный файл CSE LAPS, можно запросить из реестра, например:
C:\>reg.exe query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}" /v DllName
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}
DllName REG_EXPAND_SZ C:\windows\system32\AdmPwd.dll