Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
È possibile configurare la Soluzione Password Amministratore Locale di Windows (Windows LAPS) per rispettare le impostazioni di politiche di gruppo Microsoft LAPS legacy, ma con alcune restrizioni. La funzionalità è denominata modalità di emulazione Microsoft LAPS legacy. È possibile usare la modalità di emulazione se si esegue la migrazione di una distribuzione esistente di Microsoft LAPS legacy a Windows LAPS.
Come Microsoft LAPS, la modalità di emulazione supporta l'archiviazione delle password in Windows Server Active Directory solo in formato non crittografato. Per aumentare la sicurezza, è consigliabile eseguire la migrazione a usando Windows LAPS in modo nativo, in modo da poter sfruttare la crittografia delle password.
Installazione e configurazione
Quando si configura Windows LAPS in modalità di emulazione Microsoft LAPS legacy, Windows LAPS presuppone che l'ambiente Active Directory di Windows Server sia configurato per l'esecuzione di Microsoft LAPS legacy. Per altre informazioni sulla configurazione di Microsoft LAPS legacy, vedere la documentazione di Microsoft LAPS legacy.
Requisiti e limitazioni
I requisiti e le limitazioni seguenti si applicano al supporto della modalità di emulazione MICROSOFT LAPS legacy:
Windows LAPS non supporta l'aggiunta dello schema legacy di Microsoft LAPS per Windows Server Active Directory.
È necessario installare Microsoft LAPS legacy in un controller di dominio o in un altro client di gestione per estendere lo schema di Windows Server Active Directory con gli elementi dello schema MICROSOFT LAPS legacy. Usare il
Update-AdmPwdADSchemacmdlet per estendere lo schema. Il cmdlet LAPS di Windows non aggiunge gli elementi dello schema Microsoft LAPSUpdate-LapsADSchemalegacy.Windows LAPS non installa i file di definizione legacy dei Criteri di gruppo Microsoft LAPS.
Per definire e amministrare i criteri di gruppo Microsoft LAPS legacy, è necessario installare Microsoft LAPS legacy in un controller di dominio o in un altro client di gestione.
Windows LAPS non supporta la gestione degli elenchi di controllo di accesso di Microsoft LAPS Active Directory legacy.
Per gestire gli elenchi di controllo di accesso di Microsoft LAPS di Windows Server Active Directory legacy, è necessario installare Microsoft LAPS legacy in un controller di dominio o in un altro client di gestione. Ad esempio, per usare il
Set-AdmPwdComputerSelfPermissionscmdlet .Nessun altro criterio LAPS di Windows può essere applicato al computer.
Se nel computer è presente un criterio LAPS di Windows, ha sempre la precedenza, indipendentemente dalla modalità di applicazione (provider di servizi di configurazione, oggetto Criteri di gruppo o modifica del Registro di sistema non elaborato). Se è presente un criterio LAPS di Windows, i criteri MICROSOFT LAPS legacy vengono sempre ignorati. Per altre informazioni, vedere Impostazioni dei criteri di Windows LAPS.
Microsoft LAPS legacy non deve essere installato nel computer.
Questa restrizione evita uno scenario in cui Windows LAPS e Microsoft LAPS legacy tentano simultaneamente di gestire lo stesso account amministratore locale. La gestione dello stesso account da parte di due entità è un rischio per la sicurezza e non è supportata.
Per la funzionalità di emulazione, Microsoft LAPS legacy viene considerato installato se è installata l'Estensione Client di Criteri di Gruppo legacy di Microsoft LAPS. Per rilevare l'estensione, eseguire una query sul valore del
DllNamedel Registro di sistema in questa chiave del registro.HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}Quando il valore DllName è presente e il valore fa riferimento a un file su disco (il file non viene caricato o verificato in altro modo), microsoft LAPS legacy viene considerato installato.
La console di gestione utenti e computer di Windows Server Active Directory non supporta la lettura o la scrittura di attributi dello schema Microsoft LAPS legacy.
Windows LAPS ignora sempre un criterio Microsoft LAPS legacy quando Windows LAPS è configurato in un controller di dominio di Windows Server Active Directory.
Tutte le impostazioni dei criteri LAPS di Windows non supportate nei criteri LAPS legacy vengono impostate su disabilitato o predefinito.
Ad esempio, quando si esegue Windows LAPS in modalità di emulazione Microsoft LAPS legacy, non è possibile configurare Windows LAPS per eseguire attività come crittografare le password o salvare le password in Microsoft Entra ID.
Se tutte queste restrizioni sono soddisfatte, Windows LAPS onora le impostazioni dei Criteri di gruppo legacy di Microsoft LAPS. L'account amministratore locale gestito specificato viene gestito in modo identico a come viene gestito in Microsoft LAPS legacy.
Disabilitazione della modalità di emulazione Microsoft LAPS legacy
Windows LAPS presenta una differenza importante da tenere presente quando si pianifica una distribuzione o una migrazione da Microsoft LAPS legacy. Windows LAPS è sempre presente e attivo dopo che un dispositivo è stato aggiunto a Microsoft Entra ID o Windows Server Active Directory. L'installazione di Microsoft LAPS CSE legacy viene spesso usata come meccanismo per controllare quando vengono applicati i criteri MICROSOFT LAPS legacy. Come funzionalità predefinita di Windows, Windows LAPS inizia ad applicare un criterio Microsoft LAPS legacy non appena viene applicato al dispositivo. Tale imposizione immediata può causare interruzioni, ad esempio se l'imposizione si verifica durante il flusso di lavoro di installazione e configurazione per un nuovo sistema operativo.
Per evitare potenziali interruzioni, è possibile disabilitare la modalità di emulazione MICROSOFT LAPS legacy creando un valore del Registro di sistema REG_DWORD denominato BackupDirectory sotto la HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\Config chiave e impostarlo sul valore zero (0). L'impostazione di questo valore impedisce a Windows LAPS di accedere alla modalità legacy di emulazione MICROSOFT LAPS, indipendentemente dal fatto che l'estensione CSE Microsoft LAPS legacy sia installata o meno. Questo valore può essere usato temporaneamente o in modo permanente. Quando viene configurato un nuovo criterio LAPS di Windows, il nuovo criterio ha la precedenza. Per altre informazioni sull'ordinamento delle precedenze dei criteri di Windows LAPS, vedere Configurare le impostazioni dei criteri LAPS di Windows.
Supporto amministrativo limitato
Il cmdlet Get-LapsADPassword supporta il recupero dell'attributo password legacy di Microsoft LAPS (ms-Mcs-AdmPwd). I Account campi e PasswordUpdateTime nell'output risultante sono sempre vuoti. For example:
PS C:\> Get-LapsADPassword -Identity lapsAD2 -AsPlainText
ComputerName : LAPSAD2
DistinguishedName : CN=LAPSAD2,OU=LapsTestOU,DC=laps,DC=com
Account :
Password : <masked>
PasswordUpdateTime :
ExpirationTimestamp : 7/31/2022 12:43:10 PM
Source : LegacyLapsCleartextPassword
DecryptionStatus : NotApplicable
AuthorizedDecryptor : NotApplicable
Il Set-LapsADPasswordExpirationTime cmdlet non supporta la scadenza o la modifica dell'attributo di scadenza della password Microsoft LAPS legacy (ms-Mcs-AdmPwdExpirationTime).
La pagina delle proprietà Windows LAPS nella console di gestione Utenti e computer di Windows Server Active Directory non supporta la visualizzazione o l'amministrazione degli attributi Microsoft LAPS legacy.
Logging
Quando Windows LAPS viene eseguito in modalità di emulazione Microsoft LAPS legacy, viene registrato un evento 10023 per dettagliare la configurazione dei criteri corrente:
In caso contrario, gli stessi eventi registrati da Windows LAPS quando non vengono eseguiti in modalità di emulazione Microsoft LAPS legacy vengono registrati anche quando viene eseguito in modalità di emulazione Microsoft LAPS legacy.
See also
Questo articolo non illustra in dettaglio la gestione di altri aspetti di Microsoft LAPS legacy. Per altre informazioni, vedere la documentazione di Microsoft LAPS legacy nella pagina di download: