Windows LAPS 帳戶管理模式
了解 Windows 本機管理員密碼解決方案 (Windows LAPS) 支援的不同帳戶管理模式。
重要
Windows LAPS 自動帳戶管理功能僅在 Windows 11 24H2、Windows Server 2025 和更新版本中受支援。
概觀
Windows LAPS 的主要用途是定期輪替本機 Windows 帳戶的密碼。 此帳戶可以是內建管理員帳戶,或自訂的新帳戶。 IT 管理員有兩種不同的模式可供選擇,可設定和管理目標帳戶:手動和自動。 這兩種模式各有其優缺點。
有兩種不同的模式可用來管理目標帳戶。
手動帳戶管理模式是預設模式。 在手動模式中,IT 管理員負責設定受控帳戶的所有層面,但 Windows LAPS 管理和控制的密碼除外。
自動帳戶管理模式是選擇性模式。 在自動模式中,Windows LAPS 負責設定受管理帳戶的所有層面,包括視需要建立和刪除基本帳戶,以及帳戶的密碼。
手動帳戶管理模式
手動模式是預設模式。 IT 管理員可以選擇以內建管理員帳戶為目標,或是以自訂新帳戶為目標。 此選擇是透過 AdministratorAccountName 原則設定來進行設定。 如果 AdministratorAccountName 設定是空的,則會管理內建管理員帳戶,否則 AdministratorAccountName 會指定自訂本機帳戶的名稱。
指定自定義本機帳戶時,IT 系統管理員會負責在啟用 Windows LAPS - Windows LAPS 之前建立該帳戶 - Windows LAPS 不會在此模式中建立帳戶。 有許多方式可以建立本機帳戶:
- 設定帳戶 CSP
- 部署自定義原則驅動管理腳本
- 將目標帳戶新增至基底OS映像。
這些機制增加了額外的複雜性,可以使用自動帳戶管理模式來避免這種複雜性。
在此模式中,目標帳戶的密碼會受到保護,以防止意外或不小心竄改。 允許所有其他帳戶組態變更。
自動帳戶管理模式
自動模式是預設模式。 開啟之後,IT 管理員可以從下列組態詳細資料中做選擇:
- 以內建管理員帳戶或自訂新帳戶為目標
- 帳戶的名稱
- 是否啟用或停用帳戶
- 是否將帳戶名稱隨機化
自動帳戶組態詳細資訊
啟用自動模式時,受控帳戶組態設定如下:
- 該帳戶將成為本機 Administrators 群組的成員
- 不需要的密碼設定已停用
- 密碼永不過期旗標已停用
- 帳戶描述已修改為表示 Windows LAPS 正在控制帳戶
自動帳戶管理安全性改善和考慮
如同任何用戶帳戶,Windows 本機帳戶代表攻擊者的潛在弱點向量。 Windows LAPS 管理的帳戶也存在這種威脅,雖然 Windows LAPS 產生的高度複雜密碼(且定期輪替)也大幅降低。 自動帳戶管理提供兩項改善,可進一步降低高威脅環境所需的保證時的威脅。
首先,在停用狀態中維護受管理的帳戶完全消除帳戶可能是密碼噴洒或類似攻擊的目標。 不過,讓受管理的帳戶處於停用狀態確實會造成摩擦:必須先啟用受控帳戶(透過 GPO 或 MDM 原則操作),才能使用帳戶。
其次,維護每個裝置的唯一受控帳戶名稱(透過帳戶名稱隨機化)會使攻擊者的工作更加困難。 攻擊者必須以某種方式找出指定目標裝置上的帳戶名稱,而不是事先知道要攻擊所有裝置的帳戶。 這裡也有更多的摩擦,因為IT人員必須經過訓練,才能不依賴知道一個常見的全組織受控帳戶名稱。
在安全性關鍵環境中部署 Windows LAPS 的 IT 系統管理員應考慮這些功能。 採用這些功能所引進的摩擦是否可接受,取決於 Windows LAPS 管理帳戶需要使用的頻率,以及指定 IT 環境的安全性需求。
與本機帳戶管理原則整合
Windows 支援多個原則來管理 Windows 本機群組的成員資格:
- RestrictedGroups 原則 CSP
- LocalUsersAndGroups 原則 CSP
- 本機使用者和群組 (群組原則)
- 限制的群組 (群組原則)
上述每個原則都支援組態模式,可用來強制移除指定之本機群組的所有成員。 上述原則現在會忽略任何從本機管理員群組中移除 Windows LAPS 自動受控帳戶的動作。
帳戶竄改保護
帳戶竄改保護以自動模式展開。 Windows LAPS 會控制自動管理帳戶的所有組態層面。 封鎖從外部修改受控帳戶。 IT 管理員不應撰寫嘗試修改受控帳戶的原則或指令碼。
Windows LAPS 拒絕使用 STATUS_POLICY_CONTROLLED_ACCOUNT(0xC000A08B) 或ERROR_POLICY_CONTROLLED_ACCOUNT (0x21CE\8654) 錯誤,未預期地嘗試修改帳戶密碼。 每個拒絕在 Windows LAPS 事件記錄通道中,都具有相關聯的事件。 系統會記錄事件 10101-10104,其對應至要求的修改類型 (基本修改、安全性描述項修改、刪除或從本機管理員群組移除)。
選擇模式
手動模式是需要唯一及/或詳細設定目標帳戶的情況的最佳選擇。
自動模式是較不詳細需求的情況的最佳選擇,例如,您只需要受控帳戶可供使用,並準備好在具有 Administrator 權限的基本組態中使用。 自動模式也支援建立自訂的新帳戶。
| 功能 | 手動模式 | 自動模式 |
|---|---|---|
| 由 Windows LAPS 控制的密碼 | Yes | Yes |
| IT 管理員可以自訂帳戶 | 是 | No |
| 支援自動建立帳戶 | No | Yes |
| 支援自動帳戶命名 | No | Yes |
| 支援自動帳戶啟用\停用 | No | Yes |
| 支援自動帳戶名稱隨機化 | No | Yes |
| 支援與本機帳戶原則整合 | No | 是 |
重要
Microsoft建議客戶隨時偏好自動帳戶管理模式,但需要唯一設定目標管理帳戶的情況除外。 建議您進一步將自動帳戶管理模式設定為建立\以自定義帳戶為目標,且內建的系統管理員帳戶會保持未使用,並維持處於停用狀態。
目錄服務修復模式帳戶管理
Windows LAPS 支援管理網域控制器上目錄服務修復模式帳戶 (DSRM) 的密碼。 本文所述之手動和自動帳戶管理模式不適用於 DSRM 帳戶。
另請參閱
下一步
現在您已了解不同的帳戶管理模式,請查看這些的其他章節內容。