Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sie können Windows Local Administrator Password Solution (Windows LAPS) so einrichten, dass die Gruppenrichtlinieneinstellungen der Legacyversionen von Microsoft LAPS beachtet werden, allerdings mit einigen Einschränkungen. Das Feature wird als veralteter Microsoft LAPS-Emulationsmodus bezeichnet. Sie können den Emulationsmodus verwenden, wenn Sie eine vorhandene Bereitstellung von älteren Microsoft LAPS zu Windows LAPS migrieren.
Wie Microsoft LAPS unterstützt der Emulationsmodus die Speicherung von Kennwörtern in Windows Server Active Directory nur in Klartextform. Um die Sicherheit zu erhöhen, empfehlen wir, zur nativen Verwendung von Windows LAPS zu migrieren, damit Sie die Kennwortverschlüsselung nutzen können.
Setup und Konfiguration
Wenn Sie Windows LAPS im älteren Microsoft LAPS-Emulationsmodus konfigurieren, geht Windows LAPS davon aus, dass Ihre Windows Server Active Directory-Umgebung so eingerichtet ist, dass ältere Microsoft LAPS ausgeführt werden. Weitere Informationen zur älteren Microsoft LAPS-Konfiguration finden Sie in der älteren Microsoft LAPS-Dokumentation.
Anforderungen und Einschränkungen
Die folgenden Anforderungen und Einschränkungen gelten für die Unterstützung des älteren Microsoft LAPS-Emulationsmodus:
Windows LAPS unterstützt das Hinzufügen des älteren Microsoft LAPS Windows Server Active Directory-Schemas nicht.
Sie müssen ältere Microsoft LAPS auf einem Domänencontroller oder einem anderen Verwaltungsclient installieren, um Ihr Windows Server Active Directory-Schema mit den älteren Microsoft LAPS-Schemaelementen zu erweitern. Verwenden Sie das
Update-AdmPwdADSchemaCmdlet, um das Schema zu erweitern. Das Windows LAPS-CmdletUpdate-LapsADSchemafügt die älteren Microsoft LAPS-Schemaelemente nicht hinzu.Windows LAPS installiert die älteren Microsoft LAPS-Gruppenrichtliniendefinitionsdateien nicht.
Um ältere Microsoft LAPS-Gruppenrichtlinien zu definieren und zu verwalten, müssen Sie ältere Microsoft LAPS auf einem Domänencontroller oder einem anderen Verwaltungsclient installieren.
Windows LAPS unterstützt die Verwaltung von älteren Microsoft LAPS Active Directory-Zugriffssteuerungslisten (ACCESS Control Lists, ACLs) nicht.
Um die älteren Microsoft LAPS Windows Server Active Directory ACLs zu verwalten, müssen Sie ältere Microsoft LAPS auf einem Domänencontroller oder einem anderen Verwaltungsclient installieren. Beispielsweise, um das Cmdlet
Set-AdmPwdComputerSelfPermissionsverwenden zu können.Auf den Computer können keine anderen Windows LAPS-Richtlinien angewendet werden.
Wenn eine Windows LAPS-Richtlinie auf dem Computer vorhanden ist, hat sie immer Vorrang, unabhängig davon, wie sie angewendet wurde (Konfigurationsdienstanbieter, Gruppenrichtlinienobjekt oder unformatierte Registrierungsänderung). Wenn eine Windows LAPS-Richtlinie vorhanden ist, wird eine ältere Microsoft LAPS-Richtlinie immer ignoriert. Weitere Informationen finden Sie unter Windows LAPS-Richtlinieneinstellungen.
Vorgängerversion von Microsoft LAPS darf nicht auf dem Computer installiert werden.
Diese Einschränkung vermeidet ein Szenario, in dem Windows LAPS und ältere Microsoft LAPS gleichzeitig versuchen, dasselbe lokale Administratorkonto zu verwalten. Zwei Entitäten verwalten dasselbe Konto, ist ein Sicherheitsrisiko und wird nicht unterstützt.
Für das Emulationsfeature gilt die Legacyversion von Microsoft LAPS als installiert, wenn die Legacyversion der clientseitigen Erweiterung (Client Side Extension, CSE) der Microsoft LAPS-Gruppenrichtlinie installiert ist. Um die Erweiterung zu erkennen, fragen Sie den
DllNameRegistrierungswert unter diesem Registrierungsschlüssel ab:HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}Wenn der DllName-Wert vorhanden ist und sich der Wert auf eine Datei auf dem Datenträger bezieht (die Datei wird nicht geladen oder anderweitig überprüft), gilt Microsoft LAPS als installiert.
Die Windows Server Active Directory-Benutzer- und Computer-Verwaltungskonsole unterstützt das Lesen oder Schreiben von älteren Microsoft LAPS-Schemaattributen nicht.
Windows LAPS ignoriert immer eine ältere Microsoft LAPS-Richtlinie, wenn Windows LAPS auf einem Windows Server Active Directory-Domänencontroller konfiguriert ist.
Alle Windows LAPS-Richtlinieneinstellungen, die in einer LAPS-Legacyrichtlinie nicht unterstützt werden, werden standardmäßig auf ihre deaktivierten Einstellungen oder Standardeinstellungen festgelegt.
Wenn Sie z. B. Windows LAPS im älteren Microsoft LAPS-Emulationsmodus ausführen, können Sie Windows LAPS nicht so konfigurieren, dass Aufgaben wie das Verschlüsseln von Kennwörtern oder das Speichern von Kennwörtern in der Microsoft Entra-ID ausgeführt werden.
Wenn alle diese Einschränkungen erfüllt sind, berücksichtigt Windows LAPS ältere Microsoft LAPS-Gruppenrichtlinieneinstellungen. Das angegebene verwaltete lokale Administratorkonto wird identisch wie in Legacyversionen von Microsoft LAPS verwaltet.
Deaktivieren des älteren Microsoft LAPS-Emulationsmodus
Windows LAPS weist bei der Planung einer Bereitstellung oder Migration von älteren Microsoft LAPS einen wichtigen Unterschied auf. Windows LAPS ist immer vorhanden und aktiv, sobald ein Gerät entweder mit microsoft Entra ID oder Windows Server Active Directory verknüpft wurde. Die Installation der älteren Microsoft LAPS CSE wird häufig als Mechanismus verwendet, um zu steuern, wann die ältere Microsoft LAPS-Richtlinie erzwungen wird. Als integriertes Windows-Feature erzwingt Windows LAPS eine ältere Microsoft LAPS-Richtlinie, sobald sie auf das Gerät angewendet wird. Eine solche sofortige Durchsetzung kann störend sein, z. B. wenn die Erzwingung während des Setup- und Konfigurationsworkflows für ein neues Betriebssystem auftritt.
Um solche potenziellen Unterbrechungen zu verhindern, können Sie den älteren Microsoft LAPS-Emulationsmodus deaktivieren, indem Sie einen REG_DWORD Registrierungswert BackupDirectory unter dem HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\Config Schlüssel erstellen und auf den Wert Null (0) festlegen. Durch Festlegen dieses Werts wird verhindert, dass Windows LAPS den älteren Microsoft LAPS-Emulationsmodus eingibt, unabhängig davon, ob das ältere Microsoft LAPS CSE installiert ist oder nicht. Dieser Wert kann vorübergehend oder dauerhaft verwendet werden. Wenn eine neue Windows LAPS-Richtlinie konfiguriert ist, hat diese neue Richtlinie Vorrang. Weitere Informationen zur Rangfolge von Windows LAPS-Richtlinien finden Sie unter Konfigurieren der Windows LAPS-Richtlinieneinstellungen.
Eingeschränkter Administrativer Support
Das Get-LapsADPassword Cmdlet unterstützt das Abrufen des älteren Microsoft LAPS-Kennwortattributes (ms-Mcs-AdmPwd). Die Felder Account und PasswordUpdateTime in der resultierenden Ausgabe sind immer leer. For example:
PS C:\> Get-LapsADPassword -Identity lapsAD2 -AsPlainText
ComputerName : LAPSAD2
DistinguishedName : CN=LAPSAD2,OU=LapsTestOU,DC=laps,DC=com
Account :
Password : <masked>
PasswordUpdateTime :
ExpirationTimestamp : 7/31/2022 12:43:10 PM
Source : LegacyLapsCleartextPassword
DecryptionStatus : NotApplicable
AuthorizedDecryptor : NotApplicable
Das Cmdlet Set-LapsADPasswordExpirationTime unterstützt nicht das Ablaufenlassen oder Ändern des Kennwortablaufattributs (ms-Mcs-AdmPwdExpirationTime) von Legacyversionen von Microsoft LAPS.
Die Windows LAPS-Eigenschaftenseite in der Windows Server Active Directory-Benutzer- und Computer-Verwaltungskonsole unterstützt nicht das Anzeigen oder Verwalten von älteren Microsoft LAPS-Attributen.
Logging
Wenn Windows LAPS im älteren Microsoft LAPS-Emulationsmodus ausgeführt wird, wird ein 10023-Ereignis protokolliert, um die aktuelle Richtlinienkonfiguration zu erläutern:
Andernfalls werden dieselben Ereignisse, die von Windows LAPS protokolliert werden, wenn die Lösung nicht im Microsoft LAPS-Legacyemulationsmodus ausgeführt wird, auch protokolliert, wenn sie im Microsoft LAPS-Legacyemulationsmodus ausgeführt wird.
See also
Dieser Artikel befasst sich nicht mit dem Verwalten anderer Aspekte von Vorgängerversionen von Microsoft LAPS. Weitere Informationen finden Sie in der älteren Microsoft LAPS-Dokumentation auf der Downloadseite: