Introduzione a Windows LAPS per Windows Server Active Directory
Informazioni su come iniziare a usare la Soluzione password dell'amministratore locale di Windows (Windows LAPS) e Windows Server Active Directory. L'articolo descrive le procedure di base per l'uso di Windows LAPS per eseguire il backup delle password in Windows Server Active Directory e come recuperarle.
Requisiti di versione del sistema operativo del controller di dominio e livello funzionale del dominio
Se il dominio è configurato al di sotto del livello di funzionalità del dominio (DFL) 2016, non è possibile abilitare il periodo di crittografia della password LAPS di Windows. Senza la crittografia delle password, i client possono essere configurati solo per archiviare le password in testo non crittografato (protetto dagli ACL di Active Directory) e i controller di dominio non possono essere configurati per gestire l'account DSRM locale.
Una volta raggiunto il dominio 2016 DFL, è possibile abilitare la crittografia password LAPS di Windows. Tuttavia, se si eseguono ancora controller di dominio WS2016, tali controller non supportano Windows LAPS e pertanto non possono usare la funzionalità di gestione degli account DSRM.
È consigliabile usare sistemi operativi supportati precedenti a WS2016 nei controller di dominio, purché siano a conoscenza di queste limitazioni.
La tabella seguente riepiloga i vari scenari supportati o meno:
| Dettagli dominio | Archiviazione password non crittografata supportata | Archiviazione password crittografata supportata (per i client aggiunti a un dominio) | Gestione degli account DSRM supportata (per i controller di dominio) |
|---|---|---|---|
| Below 2016 DFL | Sì | No | No |
| DFL 2016 con uno o più controller di dominio WS2016 | Sì | Sì | Sì, ma solo per WS2019 e versioni successive dei controller di dominio |
| DFL 2016 con solo controller di dominio WS2019 e versioni successive | Sì | Sì | Sì |
Microsoft consiglia vivamente ai clienti di eseguire l'aggiornamento al sistema operativo più recente disponibile su client, server e controller di dominio per sfruttare le funzionalità e i miglioramenti della sicurezza più recenti.
Aggiornamenti dello schema di Active Directory di Windows Server
Lo schema di Active Directory di Windows Server deve essere aggiornato prima di usare Windows LAPS. Questa azione viene eseguita usando il cmdlet Update-LapsADSchema. Si tratta di un'operazione una tantum per l'intera foresta. Questa operazione può essere eseguita su un controller di dominio Windows Server 2022 o Windows Server 2019 aggiornato con Windows LAPS, ma può anche essere eseguita su un controller non di dominio, purché supporti il modulo PowerShell Windows LAPS.
PS C:\> Update-LapsADSchema
Suggerimento
Passare il parametro -Verbose per visualizzare informazioni dettagliate sull'esecuzione del cmdlet Update-LapsADSchema (o di qualsiasi altro cmdlet nel modulo PowerShell LAPS).
Concedere all'utente l'autorizzazione del dispositivo gestito per aggiornarne la password
Al dispositivo gestito deve essere concessa l'autorizzazione per aggiornare la password. Questa azione viene eseguita impostando le autorizzazioni ereditabili per l'unità organizzativa (OU) in cui si trova il dispositivo. L'oggetto Set-LapsADComputerSelfPermission viene usato a questo scopo, ad esempio:
PS C:\> Set-LapsADComputerSelfPermission -Identity NewLaps
Name DistinguishedName
---- -----------------
NewLAPS OU=NewLAPS,DC=laps,DC=com
Suggerimento
Se si preferisce impostare le autorizzazioni ereditabili nella radice del dominio, è possibile specificare l'intera radice del dominio usando la sintassi DN. Ad esempio, specificare 'DC=laps,DC=com' per il parametro -Identity.
Eseguire query sulle autorizzazioni per i diritti estesi
È possibile che ad alcuni utenti o gruppi sia già stata concessa l'autorizzazione Diritti estesi per l'unità organizzativa del dispositivo gestito. Questa autorizzazione è problematica perché concede la possibilità di leggere gli attributi riservati (tutti gli attributi della password LAPS di Windows sono contrassegnati come riservati). Un modo per verificare a chi vengono concesse queste autorizzazioni consiste nell'utilizzare il cmdlet Find-LapsADExtendedRights. Ad esempio:
PS C:\> Find-LapsADExtendedRights -Identity newlaps
ObjectDN ExtendedRightHolders
-------- --------------------
OU=NewLAPS,DC=laps,DC=com {NT AUTHORITY\SYSTEM, LAPS\Domain Admins}
Nell'output di questo esempio, solo le entità attendibili (SYSTEM e Domain Admins) dispongono del privilegio. Non è richiesta alcuna azione ulteriore.
Configurare i criteri dei dispositivi
Completare alcuni passaggi per configurare i criteri del dispositivo.
Scegliere un meccanismo di distribuzione dei criteri
Il primo passaggio consiste nel scegliere come applicare i criteri ai dispositivi.
La maggior parte degli ambienti utilizza Criteri di gruppo di Windows LAPS per distribuire le impostazioni necessarie nei dispositivi aggiunti a un dominio Active Directory di Windows Server.
Se i dispositivi sono anche aggiunti in modo ibrido a Microsoft Entra ID, è possibile distribuire i criteri usando Microsoft Intune con il provider di servizi di configurazione (CSP) di Windows LAPS.
Configurare criteri specifici
Come minimo, è necessario configurare l'impostazione BackupDirectory sul valore 2 (password di backup in Windows Server Active Directory).
Se non si configura l'impostazione AdministratorAccountName, per impostazione predefinita Windows LAPS gestisce l'account amministratore locale integrato predefinito. Questo account integrato viene identificato automaticamente usando l’identificatore relativo noto (RID) e non deve mai essere identificato usando il nome. Il nome dell'account amministratore locale integrato varia a seconda delle impostazioni locali predefinite del dispositivo.
Se si vuole configurare un account Administrator locale personalizzato, è necessario configurare l'impostazione AdministratorAccountName con il nome dell'account.
Importante
Se si configura Windows LAPS per gestire un account Administrator locale personalizzato, è necessario assicurarsi che l'account sia stato creato. Windows LAPS non crea l'account. È consigliabile usare il CSP RestrictedGroups per creare l'account.
È possibile configurare altre impostazioni, ad esempio PasswordLength, in base alle esigenze dell'organizzazione.
Quando non si configura una determinata impostazione, viene applicato il valore predefinito, assicurarsi di comprendere tali impostazioni predefinite. Ad esempio, se si abilita la crittografia delle password, ma non si configura l'impostazione ADPasswordEncryptionPrincipal, la password viene crittografata in modo che solo gli Amministrazione di dominio possano decrittografarlo. È possibile configurare ADPasswordEncryptionPrincipal con un'impostazione diversa se si desidera che gli Amministratori non di dominio siano in grado di decrittografare.
Aggiornare una password in Windows Server Active Directory
Windows LAPS elabora i criteri attualmente attivi su base periodica (ogni ora) e risponde alle notifiche di modifica di Criteri di gruppo. Risponde in base ai criteri e alle notifiche di modifica.
Per verificare che la password sia stata aggiornata correttamente in Windows Server Active Directory, cercare nel registro eventi l'evento 10018:
Per evitare di attendere dopo l'applicazione del criterio, è possibile eseguire il cmdlet Invoke-LapsPolicyProcessing di PowerShell.
Recuperare una password da Windows Server Active Directory
Usare il cmdlet Get-LapsADPassword per recuperare le password da Windows Server Active Directory. Ad esempio:
PS C:\> Get-LapsADPassword -Identity lapsAD2 -AsPlainText
ComputerName : LAPSAD2
DistinguishedName : CN=LAPSAD2,OU=NewLAPS,DC=laps,DC=com
Account : Administrator
Password : Zlh+lzC[0e0/VU
PasswordUpdateTime : 7/1/2022 1:23:19 PM
ExpirationTimestamp : 7/31/2022 1:23:19 PM
Source : EncryptedPassword
DecryptionStatus : Success
AuthorizedDecryptor : LAPS\Domain Admins
Questo risultato di output indica che la crittografia delle password è abilitata (vedere Source). La crittografia delle password richiede che il dominio sia configurato per il livello di funzionalità del dominio di Windows Server 2016 o versione successiva.
Ruotare la password
Windows LAPS legge l'ora di scadenza della password da Windows Server Active Directory durante ogni ciclo di elaborazione dei criteri. Se la password è scaduta, viene generata una nuova password che viene memorizzata immediatamente.
In alcune situazioni(ad esempio, dopo una violazione della sicurezza o per i test ad hoc), potrebbe essere necessario ruotare la password in anticipo. Per forzare manualmente una rotazione delle password, è possibile usare il cmdlet Reset-LapsPassword.
È possibile usare il cmdlet Set-LapsADPasswordExpirationTime per impostare l'ora di scadenza pianificata della password come archiviata in Windows Server Active Directory. Ad esempio:
PS C:\> Set-LapsADPasswordExpirationTime -Identity lapsAD2
DistinguishedName Status
----------------- ------
CN=LAPSAD2,OU=NewLAPS,DC=laps,DC=com PasswordReset
Alla successiva riattivazione di Windows LAPS per elaborare i criteri correnti, visualizza l'ora di scadenza della password modificata e ruota la password. Se non si vuole attendere, è possibile eseguire il cmdlet Invoke-LapsPolicyProcessing.
È possibile usare il cmdlet Reset-LapsPassword per forzare localmente una rotazione immediata della password.
Vedi anche
- Presentazione della soluzione per la password dell'amministratore locale di Windows con Microsoft Entra ID
- Soluzione per la password dell'amministratore locale di Windows in Microsoft Entra ID.
- RestrictedGroups CSP
- Microsoft Intune
- Supporto di Microsoft Intune per Windows LAPS
- Windows LAPS CSP
- Linee guida per la risoluzione dei problemi di Windows LAPS
Passaggi successivi
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per