开始使用处于旧版 Microsoft LAPS 仿真模式的 Windows LAPS
可以设置 Windows 本地管理员密码解决方案 (Windows LAPS) 以遵循旧版 Microsoft LAPS 组策略设置,但存在一些限制和局限性。 该功能称为旧版 Microsoft LAPS 仿真模式。 如果将旧版 Microsoft LAPS 的现有部署迁移到 Windows LAPS,则可以使用仿真模式。
与 Microsoft LAPS 一样,仿真模式仅支持以明文形式在 Windows Server Active Directory 中存储密码。 为了提高安全性,我们建议迁移以在本地使用 Windows LAPS,从而可以利用密码加密。
安装和配置
配置处于旧版 Microsoft LAPS 仿真模式的 Windows LAPS 时,Windows LAPS 会假定 Windows Server Active Directory 环境设置为运行旧版 Microsoft LAPS。 有关旧版 Microsoft LAPS 配置的详细信息,请参阅旧版 Microsoft LAPS 文档。
要求和限制
以下要求和限制适用于旧版 Microsoft LAPS 仿真模式支持:
Windows LAPS 不支持添加旧版 Microsoft LAPS Windows Server Active Directory 架构。
必须在域控制器或其他管理客户端上安装旧版 Microsoft LAPS,以使用旧版 Microsoft LAPS 架构元素扩展 Windows Server Active Directory 架构。 使用
Update-AdmPwdADSchema
cmdlet 扩展架构。 Windows LAPSUpdate-LapsADSchema
cmdlet 不会添加旧版 Microsoft LAPS 架构元素。Windows LAPS 不会安装旧版 Microsoft LAPS 组策略定义文件。
若要定义和管理旧版 Microsoft LAPS 组策略,必须在域控制器或其他管理客户端上安装旧版 Microsoft LAPS。
Windows LAPS 不支持管理旧版 Microsoft LAPS Active Directory 访问控制列表 (ACL)。
若要管理旧版 Microsoft LAPS Windows Server Active Directory ACL,必须在域控制器或其他管理客户端上安装旧版 Microsoft LAPS。 例如,使用
Set-AdmPwdComputerSelfPermissions
cmdlet。无法将其他任何 Windows LAPS 策略应用于计算机。
如果计算机上存在某个 Windows LAPS 策略,该策略始终优先,而不管它是如何应用的(通过配置服务提供程序、组策略对象或原始注册表修改来应用)。 如果存在某个 Windows LAPS 策略,则始终会忽略旧版 Microsoft LAPS 策略。 有关详细信息,请参阅 Windows LAPS 策略设置。
不得在计算机上安装旧版 Microsoft LAPS。
此限制避免了 Windows LAPS 和旧版 Microsoft LAPS 同时尝试管理同一本地管理员帐户的情况。 让两个实体管理同一个帐户会带来安全风险,且不受支持。
对于仿真功能,如果安装了旧版 Microsoft LAPS 组策略客户端扩展 (CSE),则认为已安装旧版 Microsoft LAPS。 若要检测扩展,请查询以下注册表项下的
DllName
注册表值:HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}
如果 DllName 值存在并且该值引用磁盘上的文件(该文件尚未加载或未以其他方式验证),则认为已安装旧版 Microsoft LAPS。
Windows Server Active Directory 用户和计算机管理控制台不支持读取或写入旧版 Microsoft LAPS 架构属性。
在 Windows Server Active Directory 域控制器上配置 Windows LAPS 时,Windows LAPS 始终会忽略旧版 Microsoft LAPS 策略。
旧版 LAPS 策略中不支持的所有 Windows LAPS 策略调控项默认采用已禁用设置或默认设置。
例如,在旧版 Microsoft LAPS 仿真模式下运行 Windows LAPS 时,无法将 Windows LAPS 配置为执行加密密码或将密码保存到 Microsoft Entra ID 等任务。
如果符合所有这些约束,Windows LAPS 将遵循旧版 Microsoft LAPS 组策略设置。 指定的托管本地管理员帐户的管理方式与其在旧版 Microsoft LAPS 中的管理方式相同。
禁用旧版 Microsoft LAPS 仿真模式
在规划从旧版 Microsoft LAPS 进行部署或迁移时,Windows LAPS 有一个重要的不同之处需要注意。 设备加入 Microsoft Entra ID 或 Windows Server Active Directory 后,Windows LAPS 将始终存在并处于活动状态。 旧版 Microsoft LAPS CSE 的安装常用作一种机制来控制何时执行旧版 Microsoft LAPS 策略。 作为一项内置 Windows 功能,Windows LAPS 会在旧版 Microsoft LAPS 策略应用于设备后开始执行该策略。 这种即时强制执行可能会造成中断,例如,如果强制执行发生在新操作系统的设置和配置工作流期间。
为防止出现这种可能的服务中断,可禁用旧版 Microsoft LAPS 仿真模式,方法是在 HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\Config
项下创建名为 BackupDirectory
的 REG_DWORD 注册表值,并将该值设置为零 (0)。 设置此值可阻止 Windows LAPS 进入旧版 Microsoft LAPS 仿真模式,无论是否安装了旧版 Microsoft LAPS CSE。 此值可暂时使用,也可永久使用。 如果配置了新的 Windows LAPS 策略,该新策略优先。 有关 Windows LAPS 策略优先顺序的详细信息,请参阅配置 Windows LAPS 策略设置。
受限管理支持
Get-LapsADPassword
cmdlet 支持检索旧版 Microsoft LAPS 密码属性 (ms-Mcs-AdmPwd
)。 生成的输出中的 Account
和 PasswordUpdateTime
字段始终为空。 例如:
PS C:\> Get-LapsADPassword -Identity lapsAD2 -AsPlainText
ComputerName : LAPSAD2
DistinguishedName : CN=LAPSAD2,OU=LapsTestOU,DC=laps,DC=com
Account :
Password : SV6[y1n3JG+3l8
PasswordUpdateTime :
ExpirationTimestamp : 7/31/2022 12:43:10 PM
Source : LegacyLapsCleartextPassword
DecryptionStatus : NotApplicable
AuthorizedDecryptor : NotApplicable
Set-LapsADPasswordExpirationTime
cmdlet 不支持使旧版 Microsoft LAPS 密码过期,也不支持修改其过期属性 (ms-Mcs-AdmPwdExpirationTime
)。
Windows Server Active Directory 用户和计算机管理控制台中的 Windows LAPS 属性页不支持显示或管理旧版 Microsoft LAPS 属性。
Logging
当 Windows LAPS 在旧版 Microsoft LAPS 仿真模式下运行时,将记录 10023 事件以详细说明当前策略配置:
否则,当 Windows LAPS 在旧版 Microsoft LAPS 仿真模式下运行时,也会记录它不在旧版 Microsoft LAPS 仿真模式下运行时记录的相同事件。
另请参阅
本文不会详细介绍如何管理旧版 Microsoft LAPS 的其他方面。 有关详细信息,请参阅下载页上的旧版 Microsoft LAPS 文档: