Condividi tramite

Eseguire la migrazione a Windows LAPS da LAPS legacy

Windows Local Administrator Password Solution (Windows LAPS) consente di gestire in modo sicuro le password di amministratore locale nei dispositivi Windows usando Microsoft Entra ID o Active Directory. Questo articolo illustra come eseguire la migrazione da Microsoft LAPS legacy a Windows LAPS per migliorare la sicurezza e la gestione.

È possibile utilizzare sia Windows LAPS che LAPS legacy in uno scenario affiancato. Affinché lo scenario fianco a fianco abbia successo, entrambe le politiche devono indirizzarsi a account locali diversi. L'obiettivo a lungo termine deve tuttavia essere quello di eseguire la migrazione da LAPS legacy a Windows LAPS.

Prerequisiti

Prima di iniziare il processo di migrazione, assicurarsi di aver configurato Windows LAPS. Per altre informazioni, vedere Introduzione a Windows LAPS e Microsoft Entra ID o Introduzione a Windows LAPS e Windows Server Active Directory.

Scenari di migrazione da LAPS legacy a Windows LAPS nei dispositivi esistenti

Microsoft consiglia di eseguire la migrazione da LAPS legacy a Windows LAPS. In questa sezione vengono descritte le procedure per eseguire la migrazione nei dispositivi esistenti.

Esistono due approcci di base che è possibile usare. Il primo approccio consiste in una transizione immediata, mentre il secondo approccio prevede un periodo di coesistenza side-by-side seguito da una transizione finale.

Approccio di transizione immediata

È possibile eseguire la migrazione da LAPS legacy a Windows LAPS in dispositivi esistenti usando il processo seguente:

  1. Disabilitare o rimuovere il criterio LAPS legacy.
  2. Creare e applicare una policy LAPS di Windows.
  3. Monitorare il dispositivo gestito per confermare una transizione corretta.
  4. Rimuovere il software LAPS legacy.

I primi due passaggi devono essere eseguiti contemporaneamente (o il più vicino possibile).

L'approccio più semplice quando si configurano i criteri di Windows LAPS consiste nell'usare lo stesso account di destinazione precedentemente destinato ai criteri LAPS legacy. Se si sceglie di impostare come destinazione un account diverso, è necessario creare il nuovo account prima di applicare i criteri DI Windows LAPS. Il primo account deve essere rimosso se non è più necessario.

I criteri di Windows LAPS potrebbero anche essere configurati con funzionalità, come ad esempio il backup in Microsoft Entra ID o l'abilitazione della crittografia delle password di Active Directory, che non erano disponibili con LAPS legacy.

Quando viene applicato un criterio di Windows LAPS, il dispositivo gestito esegue una rotazione immediata della password dell'account locale. Per altre informazioni, vedere Come viene applicato un criterio LAPS di Windows a un nuovo dispositivo client. È necessario monitorare il dispositivo gestito per assicurarsi che la transizione sia riuscita.

Al termine della transizione, il passaggio finale deve essere quello di rimuovere il software LAPS legacy dal dispositivo gestito.

Approccio di coesistenza temporanea affiancata

È possibile implementare una procedura di migrazione più graduale da LAPS legacy a Windows LAPS. I passaggi generali per eseguire questa transizione sui dispositivi esistenti sono i seguenti:

  1. Configurare il dispositivo gestito con un secondo account locale.
  2. Creare e applicare una policy LAPS di Windows.
  3. Monitorare il dispositivo gestito per confermare un'applicazione corretta dei criteri DI Windows LAPS.
  4. Disabilitare o rimuovere il criterio LAPS legacy.
  5. Rimuovere il software LAPS legacy.
  6. Rimuovere l'account aggiuntivo.

Con questo approccio, è necessario creare un secondo account locale perché non sono supportati sia i criteri LAPS di Windows che i criteri LAPS legacy destinati allo stesso account.

Dopo aver verificato che Windows LAPS funzioni correttamente, è possibile lasciare il dispositivo gestito in questo stato per tutto il tempo necessario prima di eseguire il resto dei passaggi di migrazione.

Monitorare una transizione riuscita

Dopo aver eseguito la transizione di un dispositivo gestito a un criterio WINDOWS LAPS, esistono più approcci al monitoraggio per un esito positivo:

  • È possibile monitorare il canale del registro eventi Windows LAPS del dispositivo gestito per verificare la presenza di eventi di aggiornamento della password (per Microsoft Entra ID o AD). Una soluzione centralizzata per la raccolta di log eventi può essere utile qui.
  • Quando si archiviano le password in Active Directory, è possibile cercare la comparsa di un attributo nuovo o aggiornato msLAPS-PasswordExpirationTime nell'oggetto computer AD del dispositivo gestito. Il Get-LapsADPassword cmdlet di PowerShell può essere usato per automatizzare questa analisi.
  • Quando si archiviano le password in Microsoft Entra ID, è possibile controllare i portali di gestione di Microsoft Entra ID o Intune per verificare che la password del dispositivo sia aggiornata. Il Get-LapsAADPassword cmdlet di PowerShell può essere usato per automatizzare questa analisi.

Rimuovere il software LAPS legacy da un dispositivo gestito

I passaggi specifici necessari per rimuovere il software LAPS legacy dal dispositivo gestito dipendono dalla modalità di installazione iniziale del software.

  • Se è stato installato LAPS legacy usando il pacchetto del programma di installazione MSI, è possibile disinstallare manualmente il software LAPS legacy da programmi di aggiunta/rimozione oppure eseguire il comando seguente dalla riga di comando in esecuzione come amministratore nel dispositivo:

    msiexec.exe /q /uninstall {97E2CA7B-B657-4FF7-A6DB-30ECC73E1E28}

  • Se hai installato LAPS legacy copiando e registrando manualmente il file CSE AdmPwd.dll di LAPS legacy, devi deregistrarlo manualmente e poi eliminarlo AdmPwd.dll. Eseguire il comando seguente dalla riga di comando in esecuzione come amministratore sul dispositivo. Se è stato copiato AdmPwd.dll in una posizione diversa, è necessario regolare il percorso di conseguenza. È possibile trovare il percorso del file controllando la chiave HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA} del Registro di sistema per il DllName valore .

    regsvr32.exe /s /u AdmPwd.dll
delete C:\windows\system32\AdmPwd.dll

Passo successivo