Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Met Windows Local Administrator Password Solution (Windows LAPS) kunt u beleidsinstellingen configureren om lokale beheerderswachtwoorden veilig en automatisch te beheren. In dit artikel wordt elke beleidsinstelling uitgelegd en hoe u deze beheert voor verbeterde beveiliging en naleving.
Ondersteunde beleidswortels
Hoewel dit niet wordt aanbevolen, kunt u een apparaat beheren met behulp van meerdere mechanismen voor beleidsbeheer. Om dit scenario op een begrijpelijke en voorspelbare manier te ondersteunen, wordt aan elk Windows LAPS-beleidsmechanisme een afzonderlijke registerhoofdsleutel toegewezen:
| Policy name | Hoofdregister van beleid registersleutel |
|---|---|
| LAPS CSP | HKLM\Software\Microsoft\Policies\LAPS |
| LAPS-groepsbeleid | HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\LAPS |
| Lokale LAPS-configuratie | HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\Config |
| Verouderde Microsoft LAPS | HKLM\Software\Policies\Microsoft Services\AdmPwd |
Windows LAPS voert een query uit op alle bekende registersleutelbeleidswortels, te beginnen bij de bovenkant en naar beneden te werken. Als er geen instellingen worden gevonden onder een hoofdmap, wordt die hoofdmap overgeslagen en wordt de query naar de volgende hoofdmap uitgevoerd. Wanneer een hoofdmap met ten minste één expliciet gedefinieerde instelling wordt gevonden, wordt die hoofdmap gebruikt als het actieve beleid. Als er instellingen ontbreken in de gekozen root, krijgen de instellingen hun standaardwaarden toegewezen.
Beleidsinstellingen worden nooit gedeeld of overgenomen tussen hoofdniveaus van beleidsleutels.
Tip
De lokale LAPS-configuratiesleutel is opgenomen in de voorgaande tabel voor volledigheid. U kunt deze sleutel indien nodig gebruiken, maar de sleutel is voornamelijk bedoeld om te worden gebruikt voor testen en ontwikkelen. Er zijn geen beheerhulpprogramma's of beleidsmechanismen gericht op deze sleutel.
Ondersteunde beleidsinstellingen door BackupDirectory
Windows LAPS ondersteunt meerdere beleidsinstellingen die u kunt beheren via verschillende beleidsbeheeroplossingen, of zelfs rechtstreeks via het register. Sommige van deze instellingen zijn alleen van toepassing bij het maken van back-ups van wachtwoorden naar Active Directory, en sommige instellingen zijn gebruikelijk voor zowel ad- als Microsoft Entra-scenario's.
In de volgende tabel wordt aangegeven welke instellingen van toepassing zijn op apparaten met de opgegeven BackupDirectory-instelling:
| Setting name | Van toepassing als BackupDirectory=Microsoft Entra ID? | Van toepassing wanneer BackupDirectory=AD? |
|---|---|---|
| AdministratorAccountName | Yes | Yes |
| PasswordAgeDays | Yes | Yes |
| PasswordLength | Yes | Yes |
| PassphraseLength | Yes | Yes |
| PasswordComplexity | Yes | Yes |
| PostAuthenticationResetDelay | Yes | Yes |
| PostAuthenticationActions | Yes | Yes |
| ADPasswordEncryptionEnabled | No | Yes |
| ADPasswordEncryptionPrincipal | No | Yes |
| ADEncryptedPasswordHistorySize | No | Yes |
| ADBackupDSRMPassword | No | Yes |
| PasswordExpirationProtectionEnabled | No | Yes |
| AutomaticAccountManagementEnabled | Yes | Yes |
| AutomaticAccountManagementTarget | Yes | Yes |
| AutomaticAccountManagementNameOrPrefix | Yes | Yes |
| AutomaticAccountManagementEnableAccount | Yes | Yes |
| AutomaticAccountManagementRandomizeName | Yes | Yes |
Als BackupDirectory is ingesteld op Uitgeschakeld, worden alle andere instellingen genegeerd.
U kunt bijna alle instellingen beheren met behulp van elk mechanisme voor beleidsbeheer. De Windows LAPS-configuratieserviceprovider (CSP) heeft twee uitzonderingen op deze regel. De Windows LAPS CSP ondersteunt twee instellingen die zich niet in de voorgaande tabel bevinden: ResetPassword en ResetPasswordStatus. Windows LAPS CSP biedt ook geen ondersteuning voor de ADBackupDSRMPassword-instelling (domeincontrollers worden nooit beheerd via CSP). Zie de LAPS CSP-documentatie voor meer informatie.
Windows LAPS-groepsbeleid
Windows LAPS bevat een nieuw groepsbeleidsobject dat u kunt gebruiken om beleidsinstellingen te beheren op apparaten die lid zijn van een Active Directory-domein. To access the Windows LAPS Group Policy, in Group Policy Management Editor, go to Computer Configuration>Administrative Templates>System>LAPS. In de volgende afbeelding ziet u een voorbeeld:
The template for this new Group Policy object is installed as part of Windows at %windir%\PolicyDefinitions\LAPS.admx.
Centrale opslagplaats voor groepsbeleidobjecten
Important
De windows LAPS GPO-sjabloonbestanden worden niet automatisch gekopieerd naar uw centrale GPO-archief als onderdeel van een windows Update-patchbewerking, ervan uitgaande dat u ervoor hebt gekozen om die aanpak te implementeren. Instead you must manually copy the LAPS.admx to the GPO central store location. Zie Central Store maken en beheren.
Windows LAPS CSP
Windows LAPS bevat een specifieke CSP die u kunt gebruiken om beleidsinstellingen te beheren op aan Microsoft Entra gekoppelde apparaten. Beheer de Windows LAPS-CSP met behulp van Microsoft Intune.
Beleidsinstellingen toepassen
In de volgende secties wordt beschreven hoe u verschillende beleidsinstellingen voor Windows LAPS gebruikt en toepast.
BackupDirectory
Gebruik deze instelling om te bepalen in welke map het wachtwoord voor het beheerde account wordt opgeslagen.
| Value | Beschrijving van instelling |
|---|---|
| 0 | Uitgeschakeld (er wordt geen back-up gemaakt van het wachtwoord) |
| 1 | Het wachtwoord back-uppen naar alleen Microsoft Entra. |
| 2 | Alleen een back-up maken van het wachtwoord voor Windows Server Active Directory |
If not specified, this setting defaults to 0 (Disabled).
AdministratorAccountName
Gebruik deze instelling om de naam van het beheerde lokale beheerdersaccount te configureren.
Als deze instelling niet is opgegeven, wordt standaard het ingebouwde lokale beheerdersaccount beheerd.
Important
Geef deze instelling alleen op als u een ander account dan het ingebouwde lokale beheerdersaccount wilt beheren. Het lokale beheerdersaccount wordt automatisch geïdentificeerd door de bekende relatieve id (RID).
Important
U kunt het opgegeven account (ingebouwd of aangepast) configureren als ingeschakeld of uitgeschakeld. Windows LAPS beheert het wachtwoord van dat account in beide toestanden. Als het account echter is uitgeschakeld, moet het uiteraard eerst worden ingeschakeld om daadwerkelijk te kunnen worden gebruikt.
Important
Als u Windows LAPS configureert voor het beheren van een aangepast lokaal beheerdersaccount, moet u ervoor zorgen dat het account wordt gemaakt. Windows LAPS maakt het account niet.
Important
Deze instelling wordt genegeerd wanneer AutomaticAccountManagementEnabled is ingeschakeld.
PasswordAgeDays
Met deze instelling bepaalt u de maximale wachtwoordduur van het beheerde lokale beheerdersaccount. Ondersteunde waarden zijn:
- Minimum: 1 day (When the backup directory is configured to be Microsoft Entra ID, the minimum is 7 days.)
- Maximum: 365 days
Als deze instelling niet is opgegeven, wordt deze standaard ingesteld op 30 dagen.
Important
Wijzigingen in de PasswordAgeDays beleidsinstelling hebben geen invloed op de verlooptijd van het huidige wachtwoord. Wijzigingen in de PasswordAgeDays beleidsinstelling zorgen er ook niet voor dat het beheerde apparaat een wachtwoordrotatie start.
PasswordLength
Gebruik deze instelling om de lengte van het wachtwoord van het beheerde lokale beheerdersaccount te configureren. Ondersteunde waarden zijn:
- Minimum: 8 characters
- Maximum: 64 characters
Als dit niet is opgegeven, wordt deze instelling standaard ingesteld op 14 tekens.
Important
Configureer niet PasswordLength voor een waarde die niet compatibel is met het lokale wachtwoordbeleid van het beheerde apparaat. Dit leidt ertoe dat Windows LAPS geen nieuw compatibel wachtwoord kan maken (zoek naar een 10027-gebeurtenis in het Windows LAP-gebeurtenislogboek).
De instelling PasswordLength wordt genegeerd, tenzij PasswordComplexity is geconfigureerd voor een van de wachtwoordopties.
PassphraseLength
Gebruik deze instelling om het aantal woorden in de wachtwoordzin van het beheerde lokale beheerdersaccount te configureren. Ondersteunde waarden zijn:
- Minimum: 3 words
- Maximum: 10 words
Als dit niet is opgegeven, wordt deze instelling standaard ingesteld op 6 woorden.
De instelling PassphraseLength wordt genegeerd, tenzij PasswordComplexity is geconfigureerd voor een van de opties voor de wachtwoordzin.
Important
PassphraseLength wordt alleen ondersteund in Windows 11 24H2, Windows Server 2025 en latere versies.
PasswordComplexity
Gebruik deze instelling om de vereiste wachtwoordcomplexiteit van het beheerde lokale beheerdersaccount te configureren of om op te geven dat er een wachtwoordzin wordt gemaakt.
| Value | Beschrijving van instelling |
|---|---|
| 1 | Large letters |
| 2 | Grote letters + kleine letters |
| 3 | Grote letters + kleine letters + cijfers |
| 4 | Grote letters + kleine letters + cijfers + speciale tekens |
| 5 | Grote letters + kleine letters + cijfers + speciale tekens (verbeterde leesbaarheid) |
| 6 | Wachtwoordzin (lange woorden) |
| 7 | Wachtwoordzin (korte woorden) |
| 8 | Wachtwoordzin (korte woorden met unieke voorvoegsels) |
If not specified, this setting defaults to 4.
Important
Windows ondersteunt de lagere instellingen voor wachtwoordcomplexiteit (1, 2 en 3) alleen voor achterwaartse compatibiliteit met verouderde Microsoft LAPS. U wordt aangeraden deze instelling altijd te configureren op 4 (of een hogere waarde als deze wordt ondersteund).
Important
Configureer niet PasswordComplexity voor een instelling die niet compatibel is met het lokale wachtwoordbeleid van het beheerde apparaat. Dit leidt ertoe dat Windows LAPS geen nieuw compatibel wachtwoord kan maken (zoek naar een 10027-gebeurtenis in het Windows LAPS-gebeurtenislogboek).
Important
PasswordComplexity waarden 5 tot en met 8 worden alleen ondersteund in Windows 11 24H2, Windows Server 2025 en latere versies.
PasswordExpirationProtectionEnabled
Gebruik deze instelling om afdwingen van de maximale wachtwoordduur voor het beheerde lokale beheerdersaccount te configureren.
Supported values are either 1 (True) or 0 (False).
If not specified, this setting defaults to 1 (True).
Tip
In legacy Microsoft LAPS mode, this setting defaults to False for backward compatibility.
ADPasswordEncryptionEnabled
Gebruik deze instelling om versleuteling van wachtwoorden in Active Directory in te schakelen.
Supported values are either 1 (True) or 0 (False).
Important
Als u deze instelling inschakelt, moet uw Active Directory-domein worden uitgevoerd op domeinfunctionaliteitsniveau 2016 of hoger.
ADPasswordEncryptionPrincipal
Gebruik deze instelling om de naam of beveiligings-id (SID) van een gebruiker of groep te configureren die het wachtwoord dat is opgeslagen in Active Directory kan ontsleutelen.
Deze instelling wordt genegeerd als het wachtwoord momenteel is opgeslagen in Azure.
Als dit niet is opgegeven, kunnen alleen leden van de groep Domeinadministrators in het domein van het apparaat het wachtwoord ontsleutelen.
Indien opgegeven, kan de opgegeven gebruiker of groep het wachtwoord ontsleutelen dat is opgeslagen in Active Directory.
Important
De tekenreeks die in deze instelling is opgeslagen, is een SID in tekenreeksvorm of de volledig gekwalificeerde naam van een gebruiker of groep. Geldige voorbeelden zijn:
S-1-5-21-2127521184-1604012920-1887927527-35197contoso\LAPSAdminslapsadmins@contoso.com
De principal die is geïdentificeerd (op SID of op gebruikersnaam of groepsnaam) moet bestaan en door het apparaat kunnen worden opgelost.
De gegevens die in deze instelling zijn opgegeven, worden ingevoerd as-is; Voeg bijvoorbeeld geen aanhalingstekens of haakjes toe.
This setting is ignored unless ADPasswordEncryptionEnabled is configured to True and all other prerequisites are met.
Deze instelling wordt genegeerd wanneer een back-up van DSRM-accountwachtwoorden (Directory Services Repair Mode) wordt gemaakt op een domeincontroller. In dat scenario wordt deze instelling altijd standaard ingesteld op de groep Domeinadministrators van het domein van de domeincontroller.
ADEncryptedPasswordHistorySize
Gebruik deze instelling om te configureren hoeveel eerdere versleutelde wachtwoorden worden onthouden in Active Directory. Ondersteunde waarden zijn:
- Minimum : 0 passwords
- Maximum: 12 passwords
Als dit niet is opgegeven, wordt deze instelling standaard ingesteld op 0 wachtwoorden (uitgeschakeld).
Important
Deze instelling wordt genegeerd, tenzij ADPasswordEncryptionEnabled is geconfigureerd op True en aan alle andere vereisten wordt voldaan.
Deze instelling wordt ook van kracht op domeincontrollers die een back-up maken van hun DSRM-wachtwoorden.
ADBackupDSRMPassword
Gebruik deze instelling om een back-up van het wachtwoord voor het DSRM-account op Windows Server Active Directory-domeincontrollers in te schakelen.
Supported values are either 1 (True) or 0 (False).
This setting defaults to 0 (False).
Important
Deze instelling wordt genegeerd, tenzij ADPasswordEncryptionEnabled is geconfigureerd op True en aan alle andere vereisten wordt voldaan.
PostAuthenticationResetDelay
Gebruik deze instelling om de hoeveelheid tijd (in uren) op te geven die moet worden gewacht na een verificatie voordat de opgegeven acties na verificatie worden uitgevoerd (zie PostAuthenticationActions). Ondersteunde waarden zijn:
- Minimum : 0 hours (setting this value to 0 disables all post-authentication actions)
- Maximum: 24 hours
Als dit niet is opgegeven, wordt deze instelling standaard ingesteld op 24 uur.
PostAuthenticationActions
Gebruik deze instelling om de acties op te geven die moeten worden uitgevoerd bij het verlopen van de geconfigureerde respijtperiode (zie PostAuthenticationResetDelay).
Deze instelling kan een van de volgende waarden hebben:
| Value | Name | Acties die worden uitgevoerd wanneer de gratieperiode verloopt | Comments |
|---|---|---|---|
| 1 | Reset password | Het wachtwoord van het beheerde account wordt opnieuw ingesteld. | |
| 3 | Wachtwoord opnieuw instellen en afmelden | Het wachtwoord voor het beheerde account wordt opnieuw ingesteld, interactieve aanmeldingssessies met het beheerde account worden beëindigd en SMB-sessies met het beheerde account worden verwijderd. | Interactieve aanmeldingssessies ontvangen een niet-geconfigureerde waarschuwing van twee minuten om hun werk op te slaan en af te melden. |
| 5 | Wachtwoord opnieuw instellen en opnieuw opstarten | Het wachtwoord van het beheerde account wordt opnieuw ingesteld en het beheerde apparaat wordt opnieuw opgestart. | Het beheerde apparaat wordt opnieuw opgestart na een niet-configureerbare vertraging van één minuut. |
| 11 | Wachtwoord opnieuw instellen en afmelden | Het wachtwoord voor het beheerde account wordt opnieuw ingesteld, interactieve aanmeldingssessies met behulp van het beheerde account worden beëindigd, SMB-sessies met het beheerde account worden verwijderd en alle resterende processen die worden uitgevoerd onder de beheerde account-id, worden beëindigd. | Interactieve aanmeldingssessies ontvangen een niet-geconfigureerde waarschuwing van twee minuten om hun werk op te slaan en af te melden. |
If not specified, this setting defaults to 3.
Important
De toegestane acties na verificatie zijn bedoeld om de hoeveelheid tijd te beperken waarop een Windows LAPS-wachtwoord kan worden gebruikt voordat het opnieuw wordt ingesteld. Afmelden bij het beheerde account of het opnieuw opstarten van het apparaat zijn opties waarmee u ervoor kunt zorgen dat de tijd beperkt is. Het plotseling beëindigen van aangemelde sessies of het opnieuw opstarten van het apparaat kan leiden tot gegevensverlies.
Vanuit beveiligingsperspectief heeft een kwaadwillende gebruiker die beheerdersbevoegdheden op een apparaat krijgt met behulp van een geldig Windows LAPS-wachtwoord de ultieme mogelijkheid om deze mechanismen te voorkomen of te omzeilen.
Important
PostAuthenticationActions waarde 11 wordt alleen ondersteund in Windows 11 24H2, Windows Server 2025 en latere versies.
AutomaticAccountManagementEnabled
Gebruik deze instelling om automatisch accountbeheer in te schakelen.
Supported values are either 1 (True) or 0 (False).
This setting defaults to 0 (False).
Important
AutomaticAccountManagementEnabled wordt alleen ondersteund in Windows 11 24H2, Windows Server 2025 en latere versies.
AutomaticAccountManagementTarget
Gebruik deze instelling om op te geven of het ingebouwde Administrator-account automatisch wordt beheerd of een nieuw aangepast account.
| Value | Beschrijving van instelling |
|---|---|
| 0 | Het ingebouwde beheerdersaccount automatisch beheren |
| 1 | Automatisch een nieuw aangepast account beheren |
This setting defaults to 1.
Deze instelling wordt genegeerd, tenzij AutomaticAccountManagementEnabled is ingeschakeld.
Important
AutomaticAccountManagementTarget wordt alleen ondersteund in Windows 11 24H2, Windows Server 2025 en latere versies.
AutomaticAccountManagementNameOrPrefix
Gebruik deze instelling om de naam of het naamvoorvoegsel van het automatisch beheerde account op te geven.
Deze instelling wordt standaard ingesteld op WLapsAdmin.
This setting is treated as a name if AutomaticAccountManagementRandomizeName is 0 (False).
This setting is treated as a name prefix if AutomaticAccountManagementRandomizeName is 1 (True).
Deze instelling wordt genegeerd, tenzij AutomaticAccountManagementEnabled is ingeschakeld.
Important
AutomaticAccountManagementNameOrPrefix wordt alleen ondersteund in Windows 11 24H2, Windows Server 2025 en latere versies.
AutomaticAccountManagementEnableAccount
Gebruik deze instelling om het automatisch beheerde account in of uit te schakelen.
| Value | Beschrijving van instelling |
|---|---|
| 0 | Het automatisch beheerde account uitschakelen |
| 1 | Het automatisch beheerde account inschakelen |
This setting defaults to 0.
Deze instelling wordt genegeerd, tenzij AutomaticAccountManagementEnabled is ingeschakeld.
Important
AutomaticAccountManagementEnableAccount wordt alleen ondersteund in Windows 11 24H2, Windows Server 2025 en latere versies.
AutomaticAccountManagementRandomizeName
Gebruik deze instelling om randomisatie van de naam van het automatisch beheerde account in te schakelen.
Wanneer deze instelling is ingeschakeld, wordt de naam van het beheerde account (bepaald door de AutomaticAccountManagementNameOrPrefix-instelling) aangevuld met een willekeurig zes-cijferig achtervoegsel telkens wanneer het wachtwoord wordt gewijzigd.
Namen van lokale Windows-accounts hebben een maximale lengte van 20 tekens, wat betekent dat het naamonderdeel maximaal 14 tekens lang moet zijn om voldoende ruimte te hebben voor het willekeurige achtervoegsel. Accountnamen gespecificeerd door AutomaticAccountManagementNameOrPrefix die langer zijn dan 14 tekens, worden ingekort.
| Value | Beschrijving van instelling |
|---|---|
| 0 | De naam van het automatisch beheerde account niet willekeurig maken |
| 1 | De naam van het automatisch beheerde account randomiseren |
This setting defaults to 0.
Deze instelling wordt genegeerd, tenzij AutomaticAccountManagementEnabled is ingeschakeld.
Important
AutomaticAccountManagementRandomizeName wordt alleen ondersteund in Windows 11 24H2, Windows Server 2025 en latere versies.
Standaardbeleidswaarden voor Windows LAPS
Alle windows LAPS-beleidsinstellingen hebben een standaardwaarde. De standaardwaarde wordt toegepast wanneer een beheerder een bepaalde instelling niet configureert. De standaardwaarde wordt ook toegepast wanneer een beheerder een bepaalde instelling configureert met een niet-ondersteunde waarde.
| Setting name | Default value |
|---|---|
| BackupDirectory | Disabled |
| AdministratorAccountName | Null\empty |
| PasswordAgeDays | 30 |
| PasswordLength | 14 |
| PassphraseLength | 6 |
| PasswordComplexity | 4 |
| PostAuthenticationResetDelay | 24 |
| PostAuthenticationActions | 3 (Wachtwoord opnieuw instellen en afmelden) |
| ADPasswordEncryptionEnabled | True |
| ADPasswordEncryptionPrincipal | Domain Admins |
| ADEncryptedPasswordHistorySize | 0 |
| ADBackupDSRMPassword | False |
| PasswordExpirationProtectionEnabled | True |
| AutomaticAccountManagementEnabled | False |
| AutomaticAccountManagementTarget | Yes |
| AutomaticAccountManagementNameOrPrefix | Yes |
| AutomaticAccountManagementEnableAccount | False |
| AutomaticAccountManagementRandomizeName | False |
Important
ADPasswordEncryptionPrincipal is een uitzondering op de verkeerd geconfigureerde instellingsregel. Deze instelling wordt standaard ingesteld op Domeinadministratoren als de instelling niet is geconfigureerd. In het geval dat er een ongeldige gebruikersnaam of groepsnaam is opgegeven, wordt er een beleidsverwerkingsfout opgetreden en wordt er geen back-up gemaakt van het wachtwoord van het beheerde account.
Houd rekening met deze standaardinstellingen bij het configureren van nieuwe Windows LAPS-functies, bijvoorbeeld ondersteuning voor wachtwoordzinnen. Als u een beleid configureert met de waarde PasswordComplexity van 6 (wachtwoordzinnen voor lange woorden), past u dat beleid toe op een ouder besturingssysteem dat die waarde niet ondersteunt, gebruikt het doelbesturingssystem de standaardwaarde 4. U kunt dit resultaat voorkomen door twee verschillende beleidsregels te maken: een voor het oudere besturingssysteem en een voor het nieuwere besturingssysteem.