在部署和移轉案例期間開始使用 Windows LAPS

• 適用於:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows 11, ✅ Windows 10

部署 Windows LAPS 或從舊版 LAPS 移轉至 Windows LAPS 有許多可能的方法。 本文會概述基本案例，以及要注意的秘訣和提示。

將現有混合加入的裝置從舊版 LAPS 遷移到 Windows LAPS 時，可以選擇是繼續將密碼儲存在 Active Directory 中，或是切換到將密碼儲存在 Microsoft Entra ID 中。

目錄準備

本指南中大部分的內容並非目錄專屬。 但是，要使目錄 (Active Directory 或 Microsoft Entra ID) 支援 Windows LAPS 裝置，需要執行一些準備步驟。 請先遵循這些步驟，再繼續實作本文中所述的任何其他案例。

準備 Windows Server Active Directory

請先遵循下列步驟，然後再設定已加入 Active Directory 或混合式加入的裝置，以將受管理帳戶的密碼備份至 Active Directory。

1. 擴充您的 AD 結構描述以支援 Windows LAPS。 請參閱 更新 Windows Server Active Directory 結構描述。
2. 如果您使用 GPO 中央存放區，請手動將 Windows LAPS 群組原則範本檔案複製到中央存放區。 請參閲 GPO 中央存放區。
3. 指派裝置自我寫入權限。 請參閱 授與受控裝置密碼更新許可權。
4. 分析、判斷及設定密碼到期和密碼擷取的適當 AD 權限。 請參閱 Windows Server Active Directory 密碼。
5. 分析並判斷用於解密密碼的適當授權群組。 請參閱 Windows Server Active Directory 密碼。
6. 建立新的 Windows LAPS 原則，以先前步驟中決定的適當設定的受管理裝置為目標。

提示

如果您計劃僅將密碼備份到 Microsoft Entra ID，則無需執行這些步驟，包括擴充 AD 結構描述。

準備 Microsoft Entra ID

在設定已加入 Microsoft Entra 或已混合加入的裝置以將管理帳戶的密碼備份到 Microsoft Entra ID 之前，應遵循以下步驟。

1. 檢閱內建 Microsoft Entra 角色的成員身份，這些角色預設有權存取儲存在 Microsoft Entra ID 中的 Windows LAPS 密碼。 根據預設，這些角色具有高度特殊權限，因此此步驟中應該不會有任何意外。
2. 啟用 Microsoft Entra 租用戶以支援 Windows LAPS 密碼備份。 請參閱透過 Microsoft Entra ID 啟用 Windows LAPS。

具有 Windows LAPS 原則的新 OS 安裝案例

Windows LAPS 內建於 Windows 作業系統中。 這是 Windows 基準安全性功能，無法解除安裝。 因此，請務必注意 Windows LAPS 原則在新作業系統安裝期間可能具有的效果。

要注意的主要因素是 Windows LAPS 一律為「開啟」。 一旦將 Windows LAPS 原則套用至裝置，Windows LAPS 就會立即開始強制執行原則。 如果您的 OS 部署工作流程在某些時候牽涉到將裝置網域加入已啟用 Windows LAPS 原則的 OU，此行為可能會造成中斷。 如果 Windows LAPS 原則是以部署工作流程登入的相同本機帳戶為目標，則結果和本機帳戶密碼的立即修改可能會中斷工作流程 (例如，在自動登入期間重新開機之後)。

減輕此問題的第一個技巧是使用乾淨的「暫存」組織單位 (OU)。 暫存 OU 會被視為裝置的帳戶的暫存首頁，該帳戶會套用一組最低限度的必要原則，而且不應該套用 Windows LAPS 原則。 只有在 OS 部署工作流程結束時，裝置的帳戶才會移至其最終目的地 OU。 Microsoft 建議使用乾淨的暫存 OU 作為一般最佳做法。

第二個技巧是設定 Windows LAPS 原則，以與 OS 部署工作流程所使用的帳戶不同的帳戶為目標。 最佳做法是應該刪除 OS 部署工作流程結尾不需要的任何本機帳戶。

具有舊版 LAPS 原則的新 OS 安裝案例

此案例的基本考慮與 Windows LAPS 原則新的 OS 安裝案例相同，但有一些與 Windows LAPS 支援舊版 LAPS 模擬模式相關的特殊問題。

同樣地，要注意的主要因素是 Windows LAPS 一律為「開啟」。 一旦將舊版 LAPS 原則套用至裝置，並假設符合所有 舊版 LAPS 模擬模式 準則，Windows LAPS 就會立即開始強制執行原則。 如果您的 OS 部署工作流程在某些時候牽涉到將裝置網域加入已啟用舊版 LAPS 原則的 OU，此行為可能會造成中斷。 如果舊版 LAPS 原則是以部署工作流程登入的相同本機帳戶為目標，則結果和本機帳戶密碼的立即修改可能會中斷工作流程 (例如，在自動登入期間重新開機之後)。

減輕此問題的第一個技巧是使用乾淨的「暫存」組織單位 (OU)。 暫存 OU 會被視為裝置的帳戶的暫存首頁，該帳戶會套用一組最低限度的必要原則，而且不應該套用舊版 LAPS 原則。 只有在 OS 部署工作流程結束時，裝置的帳戶才會移至其最終目的地 OU。 Microsoft 建議使用乾淨的暫存 OU 作為一般最佳做法。

第二個技巧是設定舊版 LAPS 原則，以與 OS 部署工作流程所使用的帳戶不同的帳戶為目標。 最佳做法是應該刪除 OS 部署工作流程結尾不需要的任何本機帳戶。

第三個技巧是在 OS 部署工作流程開始時 停用舊版 LAPS 模擬模式，並在 OS 部署工作流程結束時啟用它 (如有需要)。

與舊版 LAPS 並存的共存案例

在並存案例中，可以同時使用 Windows LAPS 和舊版 LAPS。 若要讓並存案例成功，這兩個原則必須以不同的本機帳戶為目標。 不過，您的長期目標應該是從舊版 LAPS 移走至 Windows LAPS。

從舊版 LAPS 移轉至現有裝置上的 Windows LAPS 的案例

Microsoft 建議從舊版 LAPS 移轉至 Windows LAPS。 本章節會說明在現有裝置上完成該移轉的程序。

有兩種基本方法可以使用。 第一種方法是立即轉換，而第二種方法則會有一段並存共存的時期，最後才進行轉換。

立即轉換方法

您可以使用下列步驟，立即從舊版 LAPS 移轉至現有裝置上的 Windows LAPS:

1. 停用\移除舊版 LAPS 原則
2. 建立及套用 Windows LAPS 原則
3. 監視受管理裝置以確認成功轉換
4. 移除舊版 LAPS 軟體

前兩個步驟應同時執行 (或盡可能接近)。

設定 Windows LAPS 原則時最簡單的方法是以先前在舊版 LAPS 原則中鎖定的相同帳戶為目標。 如果您選擇以不同的帳戶為目標，則您必須負責在套用 Windows LAPS 原則之前建立新帳戶。 如果不再需要，應該移除第一個帳戶。

Windows LAPS 原則也可以設定舊版 LAPS 軟體中不可用的功能 (備份到 Microsoft Entra ID 或啟用 AD 密碼加密)。

第一次套用 Windows LAPS 原則時，受管理裝置會立即輪替本機帳戶密碼。 您應該 監視 受管理的裝置，以確保轉換已順利完成。

轉換完成後，最後一個步驟應該是 從受管理的裝置中移除舊版 LAPS 軟體。

暫時性並存共存方法

從舊版 LAPS 轉爲 Windows LAPS，您可能想要實作較爲漸進式的移轉程序。 在現有裝置上執行此轉換的基本步驟如下:

1. 使用第二個本機帳戶設定受管理裝置
2. 建立及套用 Windows LAPS 原則
3. 監視受管理裝置以確認 Windows LAPS 原則成功套用
4. 停用\移除舊版 LAPS 原則
5. 移除舊版 LAPS 軟體
6. 移除額外的帳戶

使用此方法時，必須建立第二個本機帳戶，因為它不支援同時有 Windows LAPS 原則和以相同帳戶為目標的舊版 LAPS 原則。

確認 Windows LAPS 正常運作之後，您可以在執行其餘移轉步驟之前，視需要讓受管理裝置保持此狀態。

正在監視成功轉換

當您將受管理裝置轉換為 Windows LAPS 原則之後，有多個方法可以監視成功的結果:

• 您可以監視受控裝置的 Windows LAPS 事件記錄檔通道，以尋找成功的密碼更新事件 (針對 Microsoft Entra ID 或 AD)。 集中式事件記錄收集解決方案可能在這裡有所幫助。
• 在 Active Directory 中儲存密碼時，您可以在受管理裝置的 AD 電腦物件上尋找新的或更新的 msLAPS-PasswordExpirationTime 屬性的外觀。 Get-LapsADPassword PowerShell Cmdlet 可用來將此分析自動化。
• 在 Microsoft Entra ID 中儲存密碼時，可以檢查 Microsoft Entra ID 或 Intune 管理入口網站，以驗證裝置是否已更新其密碼。 Get-LapsAADPassword PowerShell Cmdlet 可用來將此分析自動化。

從受管理裝置移除舊版 LAPS 軟體

從受管理裝置移除舊版 LAPS 軟體所需的特定步驟取決於最初安裝該軟體的方式。

如果您使用 MSI 安裝程式套件安裝舊版 LAPS

在此情況下，您可以從控制面板手動解除安裝舊版 LAPS 軟體，以進行臨機操作管理案例。

或者，您也可以使用受管理裝置上執行的無訊息 MSI 解除安裝命令，將此流程自動化:

C:\>msiexec.exe /q /uninstall {97E2CA7B-B657-4FF7-A6DB-30ECC73E1E28}

如果您手動複製並註冊舊版 LAPS CSE dll 來安裝舊版 LAPS

在此情況下，您必須手動取消註冊，然後刪除舊版 LAPS CSE dll:

regsvr32.exe /s /u AdmPwd.dll
delete AdmPwd.dll

如有必要，可以從登錄查詢複製舊版 LAPS CSE 二進位檔的位置，例如:

C:\>reg.exe query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}" /v DllName

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}
    DllName    REG_EXPAND_SZ    C:\windows\system32\AdmPwd.dll

另請參閱

• 舊版 Microsoft LAPS
• Windows LAPS 疑難排解指導方針

下一步

• 設定 Windows LAPS 原則設定