Usare i registri eventi di Windows LAPS
La Soluzione password dell'amministratore locale di Windows (Windows LAPS) ha un canale del registro eventi dedicato. Tutte le operazioni di Windows LAPS vengono registrate con eventi ricchi di informazioni. Informazioni sugli eventi chiave e su come visualizzare il log.
Visualizzare il registro eventi
Per visualizzare il canale del registro eventi di Windows LAPS, in Visualizzatore eventi di Windows Server passare a Applicazioni e servizi>Log>Microsoft>Windows>LAPS>Operativo.
Eventi chiave
È importante conoscere eventi chiave di Windows LAPS e sapere come visualizzarli nei registri eventi:
- Eventi di avvio e arresto dell'elaborazione dei criteri
- Dettagli sulla configurazione dei criteri
- Eventi di conferma dell'aggiornamento password
- Richiesta di modifica password esterna bloccata
- Eventi correlati ad azioni post-autenticazione
Avvio e arresto del ciclo di elaborazione dei criteri
Quando Windows LAPS avvia un ciclo di elaborazione dei criteri in background, lo stato di avanzamento dell'operazione viene registrato nel registro eventi. Conoscere gli specifici eventi che indicano l'inizio e la fine di ogni ciclo semplifica la lettura del registro eventi e la comprensione degli eventi.
Ogni ciclo di elaborazione dei criteri in background inizia con un evento 10003:
LAPS policy processing is now starting.
Ogni evento 10003 è seguito da diversi altri eventi che descrivono ciò che accade. Al termine del ciclo, l'evento finale contrassegna l'operazione come riuscita o non riuscita.
Un ciclo riuscito è indicato da un evento 10004. Ecco un esempio di evento 10004:
LAPS policy processing succeeded.
Un ciclo non riuscito è indicato da un evento 10005. Ecco un esempio di evento 10005:
LAPS policy processing failed with the error code below.
Error code: 80070032
Se si verifica un errore, è possibile usare il codice di errore per la risoluzione dei problemi. È anche possibile esaminare gli eventi coinvolti per informazioni dettagliate.
Dettagli di configurazione dei criteri
Quando è abilitato il backup delle password, viene generato un evento di configurazione dei criteri per ogni ciclo di elaborazione dei criteri in background di Windows LAPS. L'evento registra lo specifico valore di impostazione del criterio per ogni iterazione del ciclo.
Quando il criterio è configurato per eseguire il backup della password in Windows Server Active Directory, viene registrato un evento 10021. Ecco un esempio di evento 10021:
The current LAPS policy is configured as follows:
Policy source: GPO
Backup directory: Active Directory
Local administrator account name:
Password age in days: 30
Password complexity: 4
Password length: 14
Password expiration protection enabled: 1
Password encryption enabled: 1
Password encryption target principal: LapsAdministrators@contoso.com
Password encrypted history size: 12
Backup DSRM password on domain controllers: 0
Post authentication grace period (hours): 8
Post authentication actions: 1
Quando il criterio è configurato per eseguire il backup della password in Microsoft Entra ID, viene registrato un evento 10022. Ecco un esempio di evento 10022:
The current LAPS policy is configured as follows:
Policy source: CSP
Backup directory: Azure AD
Local administrator account name: ContosoLocalAdminAccount
Password age in days: 7
Password complexity: 4
Password length: 64
Post authentication grace period (hours): 8
Post authentication actions: 3
Quando Windows LAPS è configurato per l'uso di un criterio di Microsoft LAPS legacy, viene registrato un evento 10023. Ecco un esempio di evento 10023:
The current LAPS policy is configured as follows:
Policy source: Legacy LAPS
Backup directory: Active Directory
Local administrator account name:
Password age in days: 30
Password complexity: 4
Password length: 8
Password expiration protection enabled: 0
Questi valori di impostazione dei criteri sono esempi e non devono essere considerati consigli.
Eventi di conferma dell'aggiornamento password
Quando Windows L piattaforma di strumenti analitici aggiorna correttamente la directory configurata (Windows Server Active Directory o Microsoft Entra ID) con una nuova password, viene registrato un evento di operazione riuscita: 10018 per gli aggiornamenti delle password in Windows Server Active Directory e 10029 per gli aggiornamenti delle password in Microsoft Entra ID.
Ecco un esempio di evento 10018:
LAPS successfully updated Active Directory with the new password.
Ecco un esempio di evento 10029:
LAPS successfully updated Azure Active Directory with the new password.
Quando la directory viene aggiornata con la nuova password, Windows LAPS aggiorna anche l'account locale gestito. Se l'esito è positivo, viene registrato un evento 10020.
Ecco un esempio di evento 10020:
LAPS successfully updated the local admin account with the new password.
Account name: ContosoLocalAdminAccount
Account RID: 1087
Richiesta di modifica password esterna bloccata
Quando Windows LAPS è abilitato, protegge la password dell'account gestito specificato dalla modifica da parte di qualsiasi entità diversa da Windows LAPS. Quando viene bloccato un tentativo di modifica della password, viene registrato un evento 10031.
Ecco un esempio di evento 10031:
LAPS blocked an external request that tried to modify the password of the current managed account.
Account name: ContosoLocalAdminAccount
Account RID: 1087
Eventi di azioni post-autenticazione
Quando sono configurate azioni di post-autenticazione, Windows LAPS monitora le autenticazioni riuscite dall'account gestito specificato. Quando viene rilevata un'autenticazione, viene registrato un evento 10041.
Ecco un esempio di evento 10041:
LAPS detected a successful authentication for the currently managed account. A background task has been scheduled to execute the configured post-authentication actions after the configured grace period has expired.%n
Account name: ContosoLocalAdminAccount
Account RID: 1087
Password reset timer deadline: %3%n
Quando viene raggiunta la scadenza elencata nell'evento 10041, Windows LAPS registra un evento 10042:
The post-authentication grace period has expired per policy. The configured post-authentication actions will now be executed.
Account name: ContosoLocalAdminAccount
Account RID: 1087
Windows LAPS prova quindi a ruotare la password ed eseguire le azioni post-autenticazione specificate. Quando la rotazione della password ha esito positivo, viene registrato un evento 10044.
Ecco un esempio di evento 10044:
LAPS successfully reset the password for the currently managed account and completed all configured post-authentication actions.%n
%n
Account name: ContosoLocalAdminAccount
Account RID: 1087
Se la rotazione della password ha esito negativo, viene registrato un evento 10043. Ecco un esempio di evento 10043:
LAPS failed to reset the password for the currently managed account. The password is considered expired due to an authentication event. LAPS will continue retrying the password reset operation until it succeeds.
Account name: ContosoLocalAdminAccount
Account RID: 1087
Password reset retry count: 1
Error code: 80070032
Differenza tra registro eventi del client e registro eventi del controller di dominio di AD
Il canale del registro eventi di Windows LAPS contiene eventi correlati al computer locale che funge da client. Il canale del registro eventi di Windows LAPS in un controller di dominio di Active Directory contiene solo eventi correlati alla gestione dell'account DSRM locale, se abilitato, e non contiene mai eventi correlati ai comportamenti dei client aggiunti a un dominio.