在舊版 Microsoft LAPS 模擬模式中開始使用 Windows LAPS
您可以設定 Windows 區域系統管理員密碼解決方案 (Windows LAPS) 以遵循舊版 Microsoft LAPS 群組原則設定,但是有一些限制。 此功能稱為「舊版 Microsoft LAPS 模擬模式」。 如果您將舊版 Microsoft LAPS 的現有部署移轉至 Windows LAPS,您可以使用模擬模式。
如同 Microsoft LAPS,模擬模式僅支援以明碼格式儲存 Windows Server Active Directory 中的密碼。 若要提高安全性,建議您移轉成以原生方式使用 Windows LAPS,以便充分利用密碼加密。
安裝及設定
當您以舊版 Microsoft LAPS 模擬模式設定 Windows LAPS 時,Windows LAPS 會假設您的 Windows Server Active Directory 環境已設定為執行舊版 Microsoft LAPS。 如需舊版 Microsoft LAPS 設定的詳細資訊,請參閱舊版 Microsoft LAPS 文件。
需求和限制
下列需求和限制適用於舊版 Microsoft LAPS 模擬模式支援:
Windows LAPS 不支援新增舊版 Microsoft LAPS Windows Server Active Directory 結構描述。
您必須在網域控制站或其他管理用戶端上安裝舊版 Microsoft LAPS,以使用舊版 Microsoft LAPS 結構描述元素來擴充 Windows Server Active Directory 結構描述。 使用
Update-AdmPwdADSchemacmdlet 來擴充結構描述。 Windows LAPSUpdate-LapsADSchemacmdlet 不會新增舊版 Microsoft LAPS 結構描述元素。Windows LAPS 不會安裝舊版 Microsoft LAPS 群組原則定義檔案。
若要定義和管理舊版 Microsoft LAPS 群組原則,您必須在網域控制站或其他管理用戶端上安裝舊版 Microsoft LAPS。
Windows LAPS 不支援管理舊版 Microsoft LAPS Active Directory 存取控制清單 (ACL)。
若要管理舊版 Microsoft LAPS Windows Server Active Directory ACL,您必須在網域控制站或其他管理用戶端上安裝舊版 Microsoft LAPS。 例如,使用
Set-AdmPwdComputerSelfPermissionscmdlet。不能將其他 Windows LAPS 原則套用至電腦。
如果電腦上存在 Windows LAPS 原則,則一律會優先使用,不論其套用方式為何 (設定服務提供者、群組原則物件或原始登錄修改)。 如果存在 Windows LAPS 原則,則一律會忽略舊版 Microsoft LAPS 原則。 如需詳細資訊,請參閱 Windows LAPS 原則設定 (部分機器翻譯)。
舊版 Microsoft LAPS 不得安裝在電腦上。
此限制可避免 Windows LAPS 和舊版 Microsoft LAPS 同時嘗試管理相同區域系統管理員帳戶的情況。 讓兩個實體管理相同的帳戶會有安全性風險,且不受支援。
針對模擬功能,如果已安裝舊版 Microsoft LAPS 群組原則用戶端延伸模組 (CSE),則會視為已安裝舊版 Microsoft LAPS。 若要偵測延伸模組,請在此登錄機碼下查詢
DllName登錄值:HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}當 DllName 值存在,而且該值參考磁碟上的檔案 (檔案未載入或未以其他方式驗證),則會視為已安裝舊版 Microsoft LAPS。
Windows Server Active Directory 使用者和電腦管理主控台不支援讀取或寫入舊版 Microsoft LAPS 結構描述屬性。
在 Windows Server Active Directory 網域控制站上設定 Windows LAPS 時,Windows LAPS 一律會忽略舊版 Microsoft LAPS 原則。
所有在舊版 LAPS 原則中不受支援的 Windows LAPS 原則旋鈕,會預設為停用或預設設定。
例如,在舊版 Microsoft LAPS 模擬模式下執行 Windows LAPS 時,無法將 Windows LAPS 設定為執行加密密碼,或將密碼保存到 Microsoft Entra ID 等任務。
如果滿足所有這些條件約束,Windows LAPS 會遵循舊版 Microsoft LAPS 群組原則設定。 指定的受控區域系統管理員帳戶的管理方式與舊版 Microsoft LAPS 中的管理方式相同。
停用舊版 Microsoft LAPS 模擬模式
在規劃部署或從舊版 Microsoft LAPS 移轉時,Windows LAPS 有一個重要差異需要注意。 一旦將裝置加入 Microsoft Entra ID 或 Windows Server Active Directory,Windows LAPS 會一直存在,並且處於使用中狀態。 舊版 Microsoft LAPS CSE 的安裝通常會用來作為一種控制何時強制執行舊版 Microsoft LAPS 原則的機制。 Windows LAPS 是內建的 Windows 功能,一旦套用至裝置,Windows LAPS 就會立即開始強制執行舊版 Microsoft LAPS 原則。 這種立即強制執行可能會造成中斷,例如,如果強制執行發生在新作業系統的設定期間和設定工作流程期間。
若要防止這種潛在中斷,您可以藉由在 HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\Config 機碼下建立名為 BackupDirectory 的 REG_DWORD 登錄值並將其設定為零 (0),來停用舊版 Microsoft LAPS 模擬模式。 設定此值可防止 Windows LAPS 進入舊版 Microsoft LAPS 模擬模式,無論是否已安裝舊版 Microsoft LAPS CSE。 這個值可以暫時或永久使用。 當新的 Windows LAPS 原則已設定時,該新原則優先。 如需 Windows LAPS 原則優先順序排序的詳細資訊,請參閱設定 Windows LAPS 原則設定 (部分機器翻譯)。
有限的系統管理支援
Get-LapsADPassword cmdlet 支援擷取舊版 Microsoft LAPS 密碼屬性 (ms-Mcs-AdmPwd)。 所產生之輸出中的 Account 和 PasswordUpdateTime 欄位一律為空白。 例如:
PS C:\> Get-LapsADPassword -Identity lapsAD2 -AsPlainText
ComputerName : LAPSAD2
DistinguishedName : CN=LAPSAD2,OU=LapsTestOU,DC=laps,DC=com
Account :
Password : SV6[y1n3JG+3l8
PasswordUpdateTime :
ExpirationTimestamp : 7/31/2022 12:43:10 PM
Source : LegacyLapsCleartextPassword
DecryptionStatus : NotApplicable
AuthorizedDecryptor : NotApplicable
Set-LapsADPasswordExpirationTime cmdlet 不支援過期或修改舊版 Microsoft LAPS 密碼到期屬性 (ms-Mcs-AdmPwdExpirationTime)。
Windows Server Active Directory 使用者和電腦管理主控台中的 Windows LAPS 屬性頁不支援顯示或管理舊版 Microsoft LAPS 屬性。
記錄
當 Windows LAPS 以舊版 Microsoft LAPS 模擬模式執行時,會記錄 10023 事件以詳細說明目前的原則設定:
否則,在 Windows LAPS 未以舊版 Microsoft LAPS 模擬模式執行時記錄的相同事件,也會在舊版 Microsoft LAPS 模擬模式中執行時記錄。
另請參閱
本文不會詳細說明如何管理舊版 Microsoft LAPS 的其他層面。 如需詳細資訊,請參閱下載頁面上的舊版 Microsoft LAPS 文件:
下一步
- 開始使用 Windows LAPS 部署和移轉案例 (部分機器翻譯)