Erste Schritte mit Windows LAPS im Legacy-Microsoft LAPS-Emulationsmodus
Sie können Windows Local Administrator Password Solution (Windows LAPS) so einrichten, dass die Gruppenrichtlinieneinstellungen von Legacy-Microsoft LAPS beachtet werden, allerdings mit einigen Einschränkungen. Das Feature wird als Legacy-Microsoft LAPS-Emulationsmodus bezeichnet. Sie können den Emulationsmodus verwenden, wenn Sie eine vorhandene Bereitstellung von Legacy-Microsoft LAPS zu Windows LAPS migrieren.
Wie Microsoft LAPS unterstützt der Emulationsmodus die Speicherung von Kennwörtern in Windows Server Active Directory nur in Klartextform. Für mehr Sicherheit empfehlen wir Ihnen, auf die native Verwendung von Windows LAPS umzusteigen, damit Sie in den Genuss der Vorteile der Kennwortverschlüsselung kommen können.
Setup und Konfiguration
Wenn Sie Windows LAPS im Legacy-Microsoft LAPS-Emulationsmodus konfigurieren, geht Windows LAPS davon aus, dass Ihre Windows Server Active Directory-Umgebung für die Ausführung von Legacy-Microsoft LAPS eingerichtet ist. Weitere Informationen zur Legacy-Microsoft LAPS-Konfiguration finden Sie in der Dokumentation zu Legacy-Microsoft LAPS.
Anforderungen und Einschränkungen
Die folgenden Anforderungen und Einschränkungen gelten für die Unterstützung des Legacy-Microsoft LAPS-Emulationsmodus:
Windows LAPS unterstützt nicht das Hinzufügen des Windows Server Active Directory-Schemas von Legacy-Microsoft LAPS.
Sie müssen Legacy-Microsoft LAPS auf einem Domänencontroller oder anderen Verwaltungsclient installieren, um Ihr Windows Server Active Directory-Schema mit den Elementen des Legacy-Microsoft LAPS-Schemas zu erweitern. Erweitern Sie das Schema mit dem Cmdlet
Update-AdmPwdADSchema. Das Windows LAPS-CmdletUpdate-LapsADSchemafügt keine Elemente des Legacy-Microsoft LAPS-Schemas hinzu.Windows LAPS installiert nicht die Dateien mit den Gruppenrichtliniendefinitionen von Legacy-Microsoft LAPS.
Um Legacy-Microsoft LAPS-Gruppenrichtlinien definieren und verwalten zu können, müssen Sie Legacy-Microsoft LAPS auf einem Domänencontroller oder anderen Verwaltungsclient installieren.
Windows LAPS unterstützt nicht die Verwaltung von Active Directory-Zugriffssteuerungslisten (ACLs) für Legacy-Microsoft LAPS.
Um die Windows Server Active Directory-Zugriffssteuerungslisten (ACLs) für Legacy-Microsoft LAPS verwalten zu können, müssen Sie Legacy-Microsoft LAPS auf einem Domänencontroller oder anderen Verwaltungsclient installieren. Beispielsweise, um das Cmdlet
Set-AdmPwdComputerSelfPermissionsverwenden zu können.Auf den Computer können keine anderen Windows LAPS-Richtlinien angewendet werden.
Wenn eine Windows LAPS-Richtlinie auf dem Computer vorhanden ist, hat sie stets unabhängig davon Vorrang, wie sie angewendet wurde (Konfigurationsdienstanbieter, Gruppenrichtlinienobjekt oder direkte Registrierungsänderung). Wenn eine Windows LAPS-Richtlinie vorhanden ist, wird eine Legacy-Microsoft LAPS-Richtlinie stets ignoriert. Weitere Informationen finden Sie unter Windows LAPS-Richtlinieneinstellungen.
Legacy-Microsoft LAPS darf nicht auf dem Computer installiert sein.
Diese Einschränkung verhindert ein Szenario, in dem Windows LAPS und Legacy-Microsoft LAPS gleichzeitig versuchen, dasselbe lokale Administratorkonto zu verwalten. Zwei Entitäten, die dasselbe Konto verwalten, stellen ein Sicherheitsrisiko dar und werden daher nicht unterstützt.
Für das Emulationsfeature gilt die Legacyversion von Microsoft LAPS als installiert, wenn die Legacyversion der clientseitigen Erweiterung (Client Side Extension, CSE) der Microsoft LAPS-Gruppenrichtlinie installiert ist. Um die Erweiterung zu ermitteln, fragen Sie den Registrierungswert
DllNameunter diesem Registrierungsschlüssel ab:HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}Wenn der Wert DllName vorhanden ist und sich der Wert auf eine Datei auf dem Datenträger bezieht (die Datei wird nicht geladen oder anderweitig überprüft), gilt Legacy-Microsoft LAPS als installiert.
Die Windows Server Active Directory-Verwaltungskonsole „Benutzer- und -Computer“ unterstützt das Lesen bzw. Schreiben von Schemaattributen für Legacy-Microsoft LAPS nicht.
Windows LAPS ignoriert stets eine Microsoft LAPS-Legacyrichtlinie, wenn Windows LAPS auf einem Windows Server Active Directory-Domänencontroller konfiguriert ist.
Alle Windows LAPS-Richtlinieneinstellungen, die in einer LAPS-Legacyrichtlinie nicht unterstützt werden, werden standardmäßig auf ihre deaktivierten Einstellungen oder Standardeinstellungen festgelegt.
Wenn Sie beispielsweise Windows LAPS im Legacy-Microsoft LAPS-Emulationsmodus ausführen, können Sie Windows LAPS nicht konfigurieren, um Aufgaben wie das Verschlüsseln oder Speichern von Kennwörtern in Microsoft Entra ID durchzuführen.
Wenn alle diese Einschränkungen erfüllt sind, berücksichtigt Windows LAPS die Gruppenrichtlinieneinstellungen von Legacy-Microsoft LAPS. Das angegebene verwaltete lokale Administratorkonto wird identisch mit der Verwaltung in Legacy-Microsoft LAPS verwaltet.
Deaktivieren des Emulationsmodus für die Legacyversion von Microsoft LAPS
Bei der Planung einer Bereitstellung oder Migration von einer Microsoft LAPS-Legacyversion muss ein wichtiger Unterschied im Zusammenhang mit Windows LAPS beachtet werden. Windows LAPS ist auf einem Gerät, das in Microsoft Entra ID oder Windows Server Active Directory eingebunden wurde, immer vorhanden und aktiv. Die Installation der Legacyversion der clientseitigen Erweiterung für Microsoft LAPS wird häufig als Mechanismus verwendet, um zu steuern, wann die Legacyversion der Microsoft LAPS-Richtlinie erzwungen wird. Als integriertes Windows-Feature beginnt Windows LAPS mit der Erzwingung einer Legacyversion der Microsoft LAPS-Richtlinie, sobald sie auf das Gerät angewendet wird. Eine solche sofortige Erzwingung kann störend sein – etwa, wenn die Erzwingung während des Setup- und Konfigurationsworkflows für ein neues Betriebssystem erfolgt.
Um eine solche potenzielle Unterbrechung zu verhindern, können Sie den Emulationsmodus für die Microsoft LAPS-Legacyversion deaktivieren, indem Sie unter dem Schlüssel HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\Config einen REG_DWORD-Registrierungswert namens BackupDirectory erstellen und auf den Wert „0“ festlegen. Durch Festlegen dieses Werts wird verhindert, dass Windows LAPS in den Emulationsmodus für die Legacyversion von Microsoft LAPS wechselt, und zwar unabhängig davon, ob die Legacyversion der clientseitigen Erweiterung für Microsoft LAPS installiert ist. Dieser Wert kann vorübergehend oder dauerhaft verwendet werden. Wird eine neue Windows LAPS-Richtlinie konfiguriert, hat diese neue Richtlinie Vorrang. Weitere Informationen zur Rangfolge von Windows LAPS-Richtlinien finden Sie unter Konfigurieren von Richtlinieneinstellungen für Windows LAPS.
Eingeschränkte administrative Unterstützung
Das Cmdlet Get-LapsADPassword unterstützt den Abruf des Kennwortattributs (ms-Mcs-AdmPwd) von Legacy-Microsoft LAPS. Die Felder Account und PasswordUpdateTime in der resultierenden Ausgabe sind stets leer. Beispiel:
PS C:\> Get-LapsADPassword -Identity lapsAD2 -AsPlainText
ComputerName : LAPSAD2
DistinguishedName : CN=LAPSAD2,OU=LapsTestOU,DC=laps,DC=com
Account :
Password : SV6[y1n3JG+3l8
PasswordUpdateTime :
ExpirationTimestamp : 7/31/2022 12:43:10 PM
Source : LegacyLapsCleartextPassword
DecryptionStatus : NotApplicable
AuthorizedDecryptor : NotApplicable
Das Cmdlet Set-LapsADPasswordExpirationTime unterstützt nicht das Ablaufenlassen oder Ändern des Kennwortablaufattributs (ms-Mcs-AdmPwdExpirationTime) von Legacy-Microsoft LAPS.
Die Windows LAPS-Eigenschaftenseite in der Windows Server Active Directory-Verwaltungskonsole „Benutzer und -Computer“ unterstützt nicht das Anzeigen oder Verwalten von Legacy-Microsoft LAPS-Attributen.
Protokollierung
Wenn Windows LAPS im Legacy-Microsoft LAPS-Emulationsmodus ausgeführt wird, wird das Ereignis 10023 protokolliert, um die aktuelle Richtlinienkonfiguration detailliert zu beschreiben:
Andernfalls werden dieselben Ereignisse, die von Windows LAPS protokolliert werden, wenn die Lösung nicht im Microsoft LAPS-Legacyemulationsmodus ausgeführt wird, auch protokolliert, wenn sie im Microsoft LAPS-Legacyemulationsmodus ausgeführt wird.
Siehe auch
In diesem Artikel wird nicht näher auf die Verwaltung anderer Aspekte von Legacy-Microsoft LAPS eingegangen. Weitere Informationen finden Sie in der Dokumentation zu Legacy-Microsoft LAPS auf der Downloadseite: