Mulai menggunakan Windows LAPS dalam mode emulasi Microsoft LAPS warisan

• Berlaku untuk:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows 11, ✅ Windows 10

Anda dapat menyiapkan Windows Local Administrator Password Solution (Windows LAPS) untuk mematuhi pengaturan Kebijakan Grup Microsoft LAPS warisan, tetapi dengan beberapa batasan dan batasan. Fitur ini disebut mode emulasi Microsoft LAPS warisan. Anda dapat menggunakan mode emulasi jika Anda memigrasikan penyebaran Microsoft LAPS warisan yang ada ke Windows LAPS.

Seperti Microsoft LAPS, mode emulasi mendukung penyimpanan kata sandi di Windows Server Active Directory hanya dalam bentuk teks yang jelas. Untuk meningkatkan keamanan, kami sarankan Anda bermigrasi menggunakan Windows LAPS secara asli sehingga Anda dapat memanfaatkan enkripsi kata sandi.

Penyiapan dan konfigurasi

Saat Anda mengonfigurasi Windows LAPS dalam mode emulasi Microsoft LAPS warisan, Windows LAPS mengasumsikan bahwa lingkungan Direktori Aktif Windows Server Anda disiapkan untuk menjalankan Microsoft LAPS warisan. Untuk informasi selengkapnya tentang konfigurasi Microsoft LAPS warisan, lihat dokumentasi Microsoft LAPS warisan.

Persyaratan dan batasan

Persyaratan dan batasan berikut berlaku untuk dukungan mode emulasi Microsoft LAPS warisan:

• Windows LAPS tidak mendukung penambahan skema Microsoft LAPS Windows Server Active Directory warisan.

  Anda harus menginstal Microsoft LAPS warisan pada pengendali domain atau klien manajemen lain untuk memperluas skema Windows Server Active Directory Anda dengan elemen skema Microsoft LAPS warisan. Update-AdmPwdADSchema Gunakan cmdlet untuk memperluas skema. Cmdlet Windows LAPS Update-LapsADSchema tidak menambahkan elemen skema Microsoft LAPS warisan.

• Windows LAPS tidak menginstal file definisi Kebijakan Grup Microsoft LAPS warisan.

  Untuk menentukan dan mengelola kebijakan grup Microsoft LAPS warisan, Anda harus menginstal Microsoft LAPS warisan pada pengendali domain atau klien manajemen lain.

• Windows LAPS tidak mendukung pengelolaan daftar kontrol akses (ACL) Microsoft LAPS Active Directory warisan.

  Untuk mengelola ACL Microsoft LAPS Windows Server Active Directory warisan, Anda harus menginstal Microsoft LAPS warisan pada pengendali domain atau klien manajemen lain. Misalnya, untuk menggunakan Set-AdmPwdComputerSelfPermissions cmdlet.

• Tidak ada kebijakan Windows LAPS lain yang dapat diterapkan ke komputer.

  Jika kebijakan Windows LAPS ada di komputer, kebijakan tersebut selalu diutamakan, terlepas dari bagaimana kebijakan tersebut diterapkan (penyedia layanan konfigurasi, Objek Kebijakan Grup, atau modifikasi registri mentah). Jika kebijakan Windows LAPS ada, kebijakan Microsoft LAPS warisan selalu diabaikan. Untuk informasi selengkapnya, lihat Pengaturan kebijakan Windows LAPS.

• Microsoft LAPS warisan tidak boleh diinstal pada komputer.

  Pembatasan ini menghindari skenario di mana Windows LAPS dan Warisan Microsoft LAPS secara bersamaan mencoba mengelola akun administrator lokal yang sama. Memiliki dua entitas yang mengelola akun yang sama adalah risiko keamanan dan tidak didukung.

  Untuk fitur emulasi, Microsoft LAPS warisan dianggap diinstal jika Microsoft LAPS Group Policy Client Side Extension (CSE) warisan diinstal. Untuk mendeteksi ekstensi, kueri DllName nilai registri di bawah kunci registri ini:

  HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}

  Saat nilai DllName ada dan nilai mengacu pada file pada disk (file tidak dimuat atau diverifikasi), Microsoft LAPS warisan dianggap diinstal.

• Konsol Manajemen Komputer dan Pengguna Direktori Aktif Windows Server tidak mendukung pembacaan atau penulisan atribut skema Microsoft LAPS warisan.

• Windows LAPS selalu mengabaikan kebijakan Microsoft LAPS warisan ketika Windows LAPS dikonfigurasi pada pengendali domain Direktori Aktif Windows Server.

• Semua kenop kebijakan Windows LAPS yang tidak didukung dalam kebijakan LAPS warisan default ke pengaturan yang dinonaktifkan atau default.

  Misalnya, saat Anda menjalankan Windows LAPS dalam mode emulasi Microsoft LAPS warisan, Anda tidak dapat mengonfigurasi Windows LAPS untuk melakukan tugas seperti mengenkripsi kata sandi atau menyimpan kata sandi ke ID Microsoft Entra.

Jika semua batasan ini terpenuhi, Windows LAPS mematuhi pengaturan Kebijakan Grup Microsoft LAPS warisan. Akun administrator lokal terkelola yang ditentukan dikelola secara identik dengan cara pengelolaannya di Microsoft LAPS warisan.

Menonaktifkan mode emulasi Microsoft LAPS warisan

Windows LAPS memiliki perbedaan penting yang perlu diperhatikan saat merencanakan penyebaran atau migrasi dari Microsoft LAPS warisan. Windows LAPS selalu ada dan aktif setelah perangkat bergabung ke ID Microsoft Entra atau Windows Server Active Directory. Penginstalan CSE Microsoft LAPS warisan sering digunakan sebagai mekanisme untuk mengontrol kapan kebijakan Microsoft LAPS warisan diberlakukan. Sebagai fitur Windows bawaan, Windows LAPS mulai memberlakukan kebijakan Microsoft LAPS warisan segera setelah diterapkan ke perangkat. Penegakan segera tersebut mungkin mengganggu, misalnya jika penegakan terjadi selama alur kerja penyiapan dan konfigurasi untuk sistem operasi baru.

Untuk mencegah potensi gangguan tersebutHKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\Config, Anda dapat menonaktifkan mode emulasi Microsoft LAPS warisan dengan membuat nilai registri REG_DWORD bernama BackupDirectory di bawah kunci dan mengaturnya ke nilai nol (0). Mengatur nilai ini mencegah Windows LAPS memasuki mode emulasi Microsoft LAPS warisan, terlepas dari apakah Microsoft LAPS CSE warisan diinstal atau tidak. Nilai ini dapat digunakan untuk sementara atau secara permanen. Ketika kebijakan Windows LAPS baru dikonfigurasi, kebijakan baru tersebut lebih diutamakan. Untuk informasi selengkapnya tentang urutan kebijakan Windows LAPS, lihat Mengonfigurasi pengaturan kebijakan Windows LAPS.

Dukungan administratif terbatas

Get-LapsADPassword Cmdlet mendukung pengambilan atribut kata sandi Microsoft LAPS warisan (ms-Mcs-AdmPwd). Bidang Account dan PasswordUpdateTime dalam output yang dihasilkan selalu kosong. Contohnya:

PS C:\> Get-LapsADPassword -Identity lapsAD2 -AsPlainText

ComputerName        : LAPSAD2
DistinguishedName   : CN=LAPSAD2,OU=LapsTestOU,DC=laps,DC=com
Account             :
Password            : SV6[y1n3JG+3l8
PasswordUpdateTime  :
ExpirationTimestamp : 7/31/2022 12:43:10 PM
Source              : LegacyLapsCleartextPassword
DecryptionStatus    : NotApplicable
AuthorizedDecryptor : NotApplicable

Set-LapsADPasswordExpirationTime Cmdlet tidak mendukung kedaluwarsa atau memodifikasi atribut kedaluwarsa kata sandi Microsoft LAPS warisan (ms-Mcs-AdmPwdExpirationTime).

Halaman properti Windows LAPS di konsol manajemen Pengguna dan Komputer Windows Server Active Directory tidak mendukung penayangan atau pengelolaan atribut Microsoft LAPS warisan.

Pencatatan

Saat Windows LAPS berjalan dalam mode emulasi Microsoft LAPS warisan, peristiwa 10023 dicatat untuk merinci konfigurasi kebijakan saat ini:

Jika tidak, peristiwa yang sama yang dicatat oleh Windows LAPS ketika tidak berjalan dalam mode emulasi Microsoft LAPS warisan juga dicatat ketika berjalan dalam mode emulasi Microsoft LAPS warisan.

Lihat juga

Artikel ini tidak menjelaskan secara rinci tentang mengelola aspek lain dari Microsoft LAPS warisan. Untuk informasi selengkapnya, lihat dokumentasi Microsoft LAPS warisan di halaman unduhan:

• Warisan Microsoft LAPS
• Panduan Pemecahan Masalah Windows LAPS

Langkah berikutnya

• Mulai menggunakan skenario penyebaran dan migrasi Windows LAPS