在部署和迁移方案中开始使用 Windows LAPS

• 适用于:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows 11, ✅ Windows 10

部署 Windows LAPS 或从旧版 LAPS 迁移到 Windows LAPS 的方法有很多。 本文概述了基本方案以及需要注意的提示和技巧。

将现有混合加入的设备从旧版 LAPS 迁移到 Windows LAPS 时，你可以选择是继续将密码存储在 Active Directory 中，还是改为将密码存储在 Microsoft Entra ID 中。

目录准备

本指南中的大部分内容并非特定于目录。 但是，若要使目录（Active Directory ID 或 Microsoft Entra）支持 Windows LAPS 设备，需要执行一些准备步骤。 在继续实现本文所述的任何其他方案之前，应先执行这些步骤。

准备 Windows Server Active Directory

在配置已加入 Active Directory 或混合联接的设备以将托管帐户的密码备份到 Active Directory 之前，应遵循以下步骤。

1. 扩展 AD 架构以支持 Windows LAPS。 请参阅更新 Windows Server Active Directory 架构。
2. 如果使用 GPO 中央存储，请手动将 Windows LAPS 组策略模板文件复制到中央存储。 请参阅 GPO 中央存储。
3. 向设备分配自写入权限。 请参阅向受管理设备授予更新密码的权限。
4. 分析、确定和配置适当的 AD 权限，用于密码过期和密码检索。 请参阅 Windows Server Active Directory 密码。
5. 分析和确定用于解密密码的相应授权组。 请参阅 Windows Server Active Directory 密码。
6. 创建一个新的 Windows LAPS 策略，该策略针对受管理设备，并具有先前步骤中确定的适当设置。

提示

如果计划只将密码备份到 Microsoft Entra ID，则无需执行任何这些步骤，包括扩展 AD 架构。

准备 Microsoft Entra ID

在配置已加入 Microsoft Entra 或混合联接的设备以将托管帐户的密码备份到 Microsoft Entra ID 之前，应遵循以下步骤。

1. 查看默认有权访问 Microsoft Entra 中存储的 Windows LAPS 密码的内置 Microsoft Entra ID 角色的成员身份。 默认情况下，这些角色具有高度特权，因此此步骤中不应有任何意外。
2. 启用 Microsoft Entra 租户以支持 Windows LAPS 密码备份。 查看使用 Microsoft Entra ID 启用 Windows LAPS。

使用 Windows LAPS 策略的新 OS 安装方案

Windows LAPS 内置于 Windows 操作系统中。 它是 Windows 基线安全功能，无法卸载。 因此，请务必了解 Windows LAPS 策略在新操作系统安装期间可能会产生的影响。

需要注意的主要因素是 Windows LAPS 始终为“开”。 一旦将 Windows LAPS 策略应用到设备，Windows LAPS 就会立即开始强制实施该策略。 如果在某些时候，OS 部署工作流涉及使用已启用 Windows LAPS 策略将设备域加入 OU，则此行为可能会导致中断。 如果 Windows LAPS 策略面向部署工作流登录所用的同一本地帐户，则立即修改本地帐户密码可能会中断工作流（例如，在自动登录期间重新启动后）。

缓解此问题的第一种方法是使用干净的“暂存”组织单位 (OU)。 暂存 OU 被视为设备帐户的临时主页，该帐户应用了最低要求策略集，不应应用 Windows LAPS 策略。 只有在 OS 部署工作流结束时，设备的帐户才会移动到其最终目标 OU。 Microsoft 建议使用干净的暂存 OU 作为一般最佳做法。

第二种方法是将 Windows LAPS 策略配置为面向 OS 部署工作流所用的帐户以外的帐户。 作为最佳做法，应在 OS 部署工作流结束时删除不需要的任何本地帐户。

使用旧的 LAPS 策略的新 OS 安装方案

此方案的基本问题与使用 Windows LAPS 策略的新 OS 安装方案相同，但存在一些与 Windows LAPS 对旧的 LAPS 仿真模式的支持相关的特殊问题。

同样，需要注意的主要因素是 Windows LAPS 始终为“开”。 一旦将旧的 LAPS 策略应用到设备，并假设满足所有旧的 LAPS 仿真模式条件，Windows LAPS 就会立即开始强制实施该策略。 如果在某些时候，OS 部署工作流涉及使用已启用旧的 LAPS 策略将设备域加入 OU，则此行为可能会导致中断。 如果旧的 LAPS 策略面向部署工作流登录所用的同一本地帐户，则立即修改本地帐户密码可能会中断工作流（例如，在自动登录期间重新启动后）。

缓解此问题的第一种方法是使用干净的“暂存”组织单位 (OU)。 暂存 OU 被视为设备帐户的临时主页，该帐户应用了最低要求策略集，不应应用旧的 LAPS 策略。 只有在 OS 部署工作流结束时，设备的帐户才会移动到其最终目标 OU。 Microsoft 建议使用干净的暂存 OU 作为一般最佳做法。

第二种方法是将旧的 LAPS 策略配置为面向 OS 部署工作流所用的帐户以外的帐户。 作为最佳做法，应在 OS 部署工作流结束时删除不需要的任何本地帐户。

第三种方法是在 OS 部署工作流开始时禁用旧的 LAPS 仿真模式，在 OS 部署工作流结束时根据需要启用它。

旧的 LAPS 的共存（并行）方案

可以在并行方案中同时使用 Windows LAPS 和旧版 LAPS。 要使并行方案成功，这两个策略都必须面向不同的本地帐户。 但是，长期目标应该是从旧版 LAPS 迁移到 Windows LAPS。

在现有设备上从旧版 LAPS 迁移到 Windows LAPS 的方案

Microsoft 建议从旧版 LAPS 迁移到 Windows LAPS。 本部分介绍在现有设备上完成该迁移的过程。

可以使用两种基本方法。 第一种方法是即时转换，而第二种方法使用一段时间的并行共存，然后是最终转换。

即时转换方法

可以使用以下步骤立即在现有设备上从旧版 LAPS 迁移到 Windows LAPS：

1. 禁用\删除旧版 LAPS 策略
2. 创建并应用 Windows LAPS 策略
3. 监视受管理设备以确认成功转换
4. 删除旧版 LAPS 软件

前两个步骤应同时（或尽可能接近同时）执行。

配置 Windows LAPS 策略时，最简单的方法是面向以前在旧版 LAPS 策略中面向的同一帐户。 如果选择面向其他帐户，则你有责任在应用 Windows LAPS 策略之前创建新帐户。 如果不再需要，应删除第一个帐户。

Windows LAPS 策略还可以配置有旧版 LAPS 软件中未提供的功能（备份到 Microsoft Entra ID 或启用 AD 密码加密）。

首次应用 Windows LAPS 策略时，受管理设备会立即轮换本地帐户密码。 应监视受管理设备，以确保转换已成功完成。

转换完成后，最后一步应该是从受管理设备中删除旧版 LAPS 软件。

暂时性并行共存方法

你可能想要实现从旧版 LAPS 到 Windows LAPS 的更渐进的迁移过程。 在现有设备上执行此转换的基本步骤如下：

1. 使用第二个本地帐户配置受管理设备
2. 创建并应用 Windows LAPS 策略
3. 监视受管理设备以确认成功应用 Windows LAPS 策略
4. 禁用\删除旧版 LAPS 策略
5. 删除旧版 LAPS 软件
6. 删除额外的帐户

使用此方法时，需要创建第二个本地帐户，因为不支持 Windows LAPS 策略和旧版 LAPS 策略同时面向同一帐户。

确认 Windows LAPS 正常工作后，可以在执行其余迁移步骤之前，将受管理设备在所需时间段内保留为此状态。

监视成功的转换

将受管理设备转换为 Windows LAPS 策略后，可通过多种方法监视成功结果：

• 可以监视受管理设备的 Windows LAPS 事件日志通道，以获取成功的密码更新事件（对于 Microsoft Entra ID 或 AD）。 集中式事件日志收集解决方案可能在这方面有所帮助。
• 在 Active Directory 中存储密码时，可以在受管理设备的 AD 计算机对象上查找新的\更新的 msLAPS-PasswordExpirationTime 属性的外观。 Get-LapsADPassword PowerShell cmdlet 可用于自动执行此分析。
• 在 Microsoft Entra ID 中存储密码时，可以检查 Microsoft Entra ID 或 Intune 管理门户来验证设备是否已更新其密码。 Get-LapsAADPassword PowerShell cmdlet 可用于自动执行此分析。

从受管理设备中删除旧版 LAPS 软件

从受管理设备中删除旧版 LAPS 软件所需的特定步骤取决于该软件的初始安装方式。

如果使用 MSI 安装程序包安装了旧版 LAPS

在这种情况下，可以从控制面板中手动卸载旧版 LAPS 软件，以用于临时管理方案。

或者，还可以使用受管理设备上运行的无提示 MSI 卸载命令来自动执行此过程：

C:\>msiexec.exe /q /uninstall {97E2CA7B-B657-4FF7-A6DB-30ECC73E1E28}

如果通过手动复制和注册旧版 LAPS CSE dll 安装了旧版 LAPS

在这种情况下，需要手动注销，然后删除旧版 LAPS CSE dll：

regsvr32.exe /s /u AdmPwd.dll
delete AdmPwd.dll

如有必要，可以从注册表查询复制旧版 LAPS CSE 二进制文件的位置，例如：

C:\>reg.exe query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}" /v DllName

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}
    DllName    REG_EXPAND_SZ    C:\windows\system32\AdmPwd.dll

另请参阅

• 旧版 Microsoft LAPS
• Windows LAPS 故障排除指南

后续步骤

• 配置 Windows LAPS 策略设置