Introduzione a Windows LAPS durante gli scenari di distribuzione e migrazione

Esistono molti metodi possibili per distribuire Windows LAPS o eseguire la migrazione da LAPS legacy a Windows LAPS. Questo articolo illustra gli scenari di base insieme a suggerimenti e consigli da tenere presenti.

Quando si esegue la migrazione di dispositivi ibridi esistenti da LAPS legacy a Windows LAPS, è possibile scegliere se continuare ad archiviare le password in Active Directory o passare all'archiviazione delle password in Microsoft Entra ID.

Preparazione della directory

La maggior parte dei contenuti di questa guida non riguarda specificamente le directory. Sono tuttavia necessari alcuni passaggi preparatori per abilitare la directory (Active Directory o Microsoft Entra ID) per supportare i dispositivi Windows LAPS. Questi passaggi devono essere eseguiti prima di procedere all'implementazione di uno degli altri scenari descritti in questo articolo.

Preparazione di Active Directory di Windows Server

Prima di configurare i dispositivi aggiunti o collegati in modo ibrido ad Active Directory per eseguire il backup delle password di un account gestito in Active Directory, è necessario seguire i passaggi seguenti.

1. Estendere lo schema AD per supportare Windows LAPS. Vedere Aggiornare lo schema di Active Directory di Windows Server.
2. Se si usa un archivio centrale oggetto Criteri di gruppo, copiare manualmente i file del modello di Criteri di gruppo di Windows LAPS nell'archivio centrale. Vedere Archivio centrale oggetto Criteri di gruppo.
3. Assegnare autorizzazioni di scrittura automatica del dispositivo. Vedere Concedere al dispositivo gestito l'autorizzazione per aggiornare la password.
4. Analizzare, determinare e configurare le autorizzazioni di Active Directory appropriate per la scadenza e il recupero della password. Vedere Password di Active Directory di Windows Server.
5. Analizzare e determinare i gruppi autorizzati appropriati per decrittografare le password. Vedere Password di Active Directory di Windows Server.
6. Creare un nuovo criterio Windows LAPS destinato ai dispositivi gestiti con le impostazioni appropriate come determinato nei passaggi precedenti.

Suggerimento

Se si prevede di eseguire il backup solo delle password in Microsoft Entra ID, non è necessario eseguire nessuno di questi passaggi, inclusa l'estensione dello schema di Active Directory.

Preparazione di Microsoft Entra ID

È necessario seguire la procedura seguente prima di configurare i dispositivi aggiunti a Microsoft Entra o ibridi per eseguire il backup delle password di un account gestito in Microsoft Entra ID.

1. Esaminare l'appartenenza ai ruoli predefiniti di Microsoft Entra che dispongono per impostazione predefinita dell'accesso alle password Windows LAPS archiviate in Microsoft Entra ID. Per impostazione predefinita, questi ruoli hanno privilegi elevati, pertanto non ci dovrebbero essere sorprese in questo passaggio.
2. Abilitare il tenant di Microsoft Entra per supportare il backup delle password Windows LAPS. Consultare la sezione Abilitazione di Windows LAPS con Microsoft Entra ID.

Nuovo scenario di installazione del sistema operativo con criteri di Windows LAPS

Windows LAPS è integrato nel sistema operativo Windows. Si tratta di una funzionalità di sicurezza di base di Windows e non può essere disinstallata. È quindi importante tenere presente l'effetto che un criterio di Windows LAPS potrebbe avere durante una nuova installazione del sistema operativo.

Il fattore principale da tenere presente è che Windows LAPS è sempre "attivo". Non appena viene applicato un criterio di Windows LAPS al dispositivo, tale criterio inizia immediatamente ad essere implementato da Windows LAPS. Questo comportamento può causare interruzioni se a un certo punto il flusso di lavoro di distribuzione del sistema operativo comporta l'aggiunta di un dispositivo a un'unità organizzativa con un criterio di Windows LAPS abilitato. Se il criterio di Windows LAPS è destinato allo stesso account locale con cui è stato effettuato l'accesso al flusso di lavoro di distribuzione, la conseguente modifica immediata della password dell'account locale probabilmente interromperà il flusso di lavoro, ad esempio dopo un riavvio durante l'accesso automatico.

La prima tecnica per attenuare questo problema consiste nell'usare un'unità organizzativa (OU) di "staging" pulita. Un'unità organizzativa di staging è considerata una home page temporanea per l'account del dispositivo che applica un set minimo di criteri obbligatori e non deve applicare un criterio LAPS di Windows. Solo alla conclusione del flusso di lavoro di distribuzione del sistema operativo è che l'account del dispositivo viene spostato nell'unità organizzativa di destinazione finale. Microsoft consiglia l'uso di un'unità organizzativa di staging pulita come procedura consigliata generica.

Una seconda tecnica consiste nel configurare i criteri LAPS di Windows per specificare un account diverso da quello usato dal flusso di lavoro di distribuzione del sistema operativo. Come procedura consigliata, tutti gli account locali non necessario alla fine del flusso di lavoro di distribuzione del sistema operativo devono essere eliminati.

Nuovo scenario di installazione del sistema operativo con criteri LAPS legacy

Questo scenario presenta gli stessi problemi di base dello scenario di installazione del nuovo sistema operativo con un criterioLAPS di Windows, ma presenta alcuni problemi speciali relativi al supporto di Windows LAPS per la modalità di emulazione LAPS legacy.

Anche in questo caso, il fattore principale da tenere presente è che Windows LAPS è sempre "attivo". Non appena viene applicato un criterio LAPS legacy al dispositivo e presupponendo che tutti i criteri di emulazione LAPS legacy siano soddisfatti, Windows LAPS inizia immediatamente ad applicare i criteri. Questo comportamento può causare interruzioni se a un certo punto il flusso di lavoro di distribuzione del sistema operativo comporta l'aggiunta di un dispositivo a un'unità organizzativa con criteri LAPS legacy abilitati. Se il criterio LAPS legacy è destinato allo stesso account locale con cui è connesso il flusso di lavoro di distribuzione, è probabile che la modifica immediata risultante della password dell'account locale interrompa il flusso di lavoro, ad esempio dopo un riavvio durante l'accesso automatico.

La prima tecnica per attenuare questo problema consiste nell'usare un'unità organizzativa (OU) di "staging" pulita. Un'unità organizzativa di staging è considerata una home page temporanea per l'account del dispositivo che applica un set minimo di criteri obbligatori e non deve applicare criteri LAPS legacy. Solo al termine del flusso di lavoro di distribuzione del sistema operativo l'account del dispositivo viene spostato nell'unità organizzativa di destinazione finale. Microsoft consiglia l'uso di un'unità organizzativa di gestione temporanea pulita come procedura consigliata generica.

Una seconda tecnica consiste nel configurare i criteri LAPS legacy per specificare un account diverso da quello usato dal flusso di lavoro di distribuzione del sistema operativo. Come procedura consigliata, tutti gli account locali non necessari alla fine del flusso di lavoro di distribuzione del sistema operativo devono essere eliminati.

Una terza tecnica consiste nel disabilitare la modalità di emulazione LAPS legacy all'inizio del flusso di lavoro di distribuzione del sistema operativo e nell'abilitarla (se necessario) alla fine di tale flusso.

Scenario di coesistenza (side-by-side) con LAPS legacy

È possibile usare sia Windows LAPS che LAPS legacy in uno scenario side-by-side. Affinché lo scenario side-by-side venga eseguito correttamente, entrambi i criteri DEVONO essere destinati ad account locali diversi. L'obiettivo a lungo termine deve tuttavia essere quello di eseguire la migrazione da LAPS legacy a Windows LAPS.

Scenari di migrazione da LAPS legacy a Windows LAPS nei dispositivi esistenti

Microsoft consiglia di eseguire la migrazione da LAPS legacy a Windows LAPS. In questa sezione vengono descritte le procedure per eseguire la migrazione nei dispositivi esistenti.

Esistono due approcci di base che è possibile usare. Il primo approccio consiste in una transizione immediata, mentre il secondo approccio prevede un periodo di coesistenza side-by-side seguito da una transizione finale.

Approccio di transizione immediata

È possibile eseguire immediatamente la migrazione da LAPS legacy a Windows LAPS nei dispositivi esistenti attenendosi alla procedura seguente:

1. Disabilitare\rimuovere i criteri LAPS legacy
2. Creare e applicare un criterio di Windows LAPS
3. Monitorare il dispositivo gestito per confermare una transizione riuscita
4. Rimuovere il software LAPS legacy

I primi due passaggi devono essere eseguiti contemporaneamente (o il più vicino possibile).

L'approccio più semplice quando si configurano i criteri di Windows LAPS consiste nell'usare lo stesso account di destinazione precedentemente destinato ai criteri LAPS legacy. Se si sceglie di impostare un account diverso, è responsabilità dell'utente creare il nuovo account prima di applicare il criterio di Windows LAPS. Il primo account deve essere rimosso se non è più necessario.

I criteri Windows LAPS possono anche essere configurati con funzionalità (backup in Microsoft Entra ID o abilitazione della crittografia delle password di Active Directory) che non erano disponibili nel software LAPS legacy.

Quando viene applicato un criterio di Windows LAPS, il dispositivo gestito esegue una rotazione immediata della password dell'account locale. È necessario monitorare il dispositivo gestito per assicurarsi che la transizione sia stata completata correttamente.

Al termine della transizione, il passaggio finale deve essere quello di rimuovere il software LAPS legacy dal dispositivo gestito.

Approccio di coesistenza side-by-side temporanea

È possibile implementare una procedura di migrazione più graduale da LAPS legacy a Windows LAPS. I passaggi di base per eseguire questa transizione sui dispositivi esistenti sono i seguenti:

1. Configurare il dispositivo gestito con un secondo account locale
2. Creare e applicare un criterio di Windows LAPS
3. Monitorare il dispositivo gestito per confermare un'applicazione corretta dei criteri di Windows LAPS
4. Disabilitare\rimuovere i criteri LAPS legacy
5. Rimuovere il software LAPS legacy
6. Rimuovere l'account aggiuntivo

Con questo approccio, è necessario creare un secondo account locale, poiché non è consentito disporre di un criterio di Windows LAPS e di un criterio di LAPS legacy per lo stesso account.

Dopo aver verificato che Windows LAPS funzioni correttamente, è possibile lasciare il dispositivo gestito in questo stato per tutto il tempo necessario prima di eseguire il resto dei passaggi di migrazione.

Monitoraggio di una transizione riuscita

Una volta eseguita la transizione di un dispositivo gestito a un criterio di Windows LAPS, esistono più approcci per monitorare che il risultato abbia un esito positivo:

• È possibile monitorare il canale del registro eventi Windows LAPS del dispositivo gestito per verificare la presenza di eventi di aggiornamento della password (per Microsoft Entra ID o AD). Una soluzione centralizzata per la raccolta dei registri degli eventi può essere d'aiuto in questo caso.
• Quando si archiviano le password in Active Directory, è possibile verificare la comparsa di un attributo msLAPS-PasswordExpirationTime nuovo\aggiornato nell'oggetto computer AD del dispositivo gestito. Il Get-LapsADPassword cmdlet di PowerShell può essere usato per automatizzare questa analisi.
• Quando si archiviano le password in Microsoft Entra ID, è possibile controllare Microsoft Entra ID o i portali di gestione di Intune per verificare che il dispositivo abbia aggiornato la password. Il cmdlet Get-LapsAADPassword di PowerShell può essere usato per automatizzare questa analisi.

Rimozione del software LAPS legacy da un dispositivo gestito

I passaggi specifici necessari per rimuovere il software LAPS legacy dal dispositivo gestito dipendono dalla modalità di installazione iniziale del software.

Installazione di LAPS legacy tramite il pacchetto di installazione MSI

In questo caso, è possibile disinstallare manualmente il software LAPS legacy dal pannello di controllo per scenari di gestione ad hoc.

In alternativa, è possibile automatizzare questo processo con un comando di disinstallazione MSI silenzioso, eseguito sul dispositivo gestito:

C:\>msiexec.exe /q /uninstall {97E2CA7B-B657-4FF7-A6DB-30ECC73E1E28}

Installazione di LAPS legacy tramite copiatura e registrazione manuale della CSE dll di LAPS legacy

In questo caso, è necessario disinstallare manualmente e quindi eliminare la CSE dll di LAPS legacy:

regsvr32.exe /s /u AdmPwd.dll
delete AdmPwd.dll

Se necessario, è possibile eseguire query sul percorso in cui è stato copiato il file binario di CSE di LAPS legacy, ad esempio dal Registro di sistema:

C:\>reg.exe query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}" /v DllName

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}
    DllName    REG_EXPAND_SZ    C:\windows\system32\AdmPwd.dll

Vedi anche

• Microsoft LAPS legacy
• Linee guida per la risoluzione dei problemi di Windows LAPS

Passaggi successivi

• Configurare le impostazioni dei criteri di Windows LAPS