Mode manajemen akun Windows LAPS
Pelajari tentang berbagai mode manajemen akun yang didukung oleh Windows Local Administrator Password Solution (Windows LAPS).
Penting
Fitur manajemen akun otomatis Windows LAPS didukung di Windows Server 2025 dan yang lebih baru.
Gambaran Umum
Tujuan utama Windows LAPS secara teratur memutar kata sandi akun Windows lokal. Akun ini dapat berupa akun Administrator bawaan, atau akun baru kustom. Admin TI memiliki dua mode berbeda untuk dipilih untuk mengonfigurasi dan mengelola akun target: manual dan otomatis. Kedua mode memiliki pro dan kontra mereka.
Ada dua mode berbeda yang tersedia untuk mengelola akun target.
Mode manajemen akun manual adalah mode default. Dalam mode manual, admin TI bertanggung jawab atas konfigurasi semua aspek akun terkelola kecuali kata sandi, yang dikelola dan dikontrol windows LAPS.
Mode manajemen akun otomatis adalah mode opsional. Dalam mode otomatis, Windows LAPS bertanggung jawab atas konfigurasi semua aspek akun terkelola, termasuk pembuatan dan penghapusan akun dasar sesuai kebutuhan, ditambah kata sandi akun.
Mode manajemen akun manual
Mode manual adalah mode default. Admin TI memiliki pilihan apakah akan menargetkan akun Administrator bawaan, atau akun baru kustom. Pilihan ini dikonfigurasi melalui pengaturan kebijakan AdministratorAccountName. Jika pengaturan AdministratorAccountName kosong, akun Administrator bawaan dikelola, jika tidak, AdministratorAccountName menentukan nama akun lokal kustom.
Ketika akun lokal kustom ditentukan, admin TI bertanggung jawab untuk membuat akun tersebut sebelum mengaktifkan Windows LAPS - Windows LAPS tidak membuat akun dalam mode ini.
Dalam mode ini, kata sandi akun target dilindungi dari perubahan yang tidak disengaja atau ceroboh. Semua perubahan konfigurasi akun lainnya diizinkan.
Mode manajemen akun otomatis
Mode otomatis adalah mode non-default. Setelah diaktifkan, admin TI dapat memilih dari detail konfigurasi berikut:
- Apakah akan menargetkan akun Administrator bawaan atau akun baru kustom
- Nama akun
- Apakah akan mengaktifkan atau menonaktifkan akun
- Apakah akan mengacak nama akun
Detail konfigurasi akun otomatis
Saat mode otomatis diaktifkan, akun terkelola dikonfigurasi sebagai berikut:
- Akun ini dijadikan anggota grup Administrator lokal
- Pengaturan yang tidak diperlukan kata sandi dinonaktifkan
- Bendera yang tidak pernah kedaluwarsa kata sandi dinonaktifkan
- Deskripsi akun dimodifikasi untuk menunjukkan bahwa Windows LAPS mengontrol akun
Integrasi dengan kebijakan manajemen akun lokal
Windows mendukung beberapa kebijakan untuk mengelola keanggotaan grup lokal Windows:
- CSP Kebijakan RestrictedGroups
- LocalUsersAndGroups Policy CSP
- Pengguna dan Grup Lokal (Kebijakan Grup)
- Grup Terbatas (Kebijakan Grup)
Setiap kebijakan di atas mendukung mode konfigurasi yang dapat digunakan untuk memaksa penghapusan semua anggota grup lokal tertentu. Kebijakan di atas sekarang mengabaikan upaya untuk menghapus akun terkelola Windows LAPS secara otomatis dari grup Administrator lokal.
Perlindungan perubah akun
Perlindungan perusakan akun diperluas dalam mode otomatis. Windows LAPS mengontrol semua aspek konfigurasi dari akun yang dikelola secara otomatis. Upaya eksternal untuk mengubah akun terkelola diblokir. Admin TI tidak boleh menulis kebijakan atau skrip yang mencoba mengubah akun terkelola.
Windows LAPS menolak upaya tak terduga untuk mengubah akun dengan STATUS_POLICY_CONTROLLED_ACCOUNT kesalahan (0xC000A08B) atau ERROR_POLICY_CONTROLLED_ACCOUNT (0x21CE\8654). Setiap penolakan memiliki peristiwa terkait di saluran log peristiwa Windows LAPS. Peristiwa 10101-10104 dicatat, sesuai dengan jenis modifikasi apa yang diminta (modifikasi dasar, modifikasi deskriptor keamanan, penghapusan, atau penghapusan dari grup Administrator lokal).
Memilih mode
Mode manual adalah pilihan terbaik untuk situasi yang memerlukan konfigurasi unik dan\atau terperinci dari akun target.
Mode otomatis adalah pilihan terbaik untuk situasi dengan persyaratan yang kurang terperinci, misalnya Anda hanya memerlukan akun terkelola untuk tersedia dan siap digunakan dalam konfigurasi dasar dengan hak istimewa Administrator. Mode otomatis juga mendukung pembuatan akun baru kustom.
| Fitur | Mode manual | Mode otomatis |
|---|---|---|
| Kata sandi yang dikontrol oleh Windows LAPS | Ya | Ya |
| Admin TI dapat menyesuaikan akun | Ya | Tidak |
| Mendukung pembuatan akun otomatis | Tidak | Ya |
| Mendukung penamaan akun otomatis | Tidak | Ya |
| Mendukung pengaktifan\penonaktifan akun otomatis | Tidak | Ya |
| Mendukung pengacakan nama akun otomatis | Tidak | Ya |
| Mendukung integrasi dengan kebijakan akun lokal | Tidak | Ya |
Manajemen akun Mode Perbaikan Layanan Direktori
Windows LAPS mendukung pengelolaan kata sandi akun Mode Perbaikan Layanan Direktori (DSRM) pada pengendali domain. Mode manajemen akun manual dan otomatis yang dijelaskan dalam artikel ini tidak berlaku untuk akun DSRM.
Lihat juga
Langkah berikutnya
Sekarang setelah Anda memahami berbagai mode manajemen akun, lihat bagian lain ini.