Delen via


Beleidsinstellingen configureren voor Windows LAPS

Met Windows Local Administrator Password Solution (Windows LAPS) kunt u beleidsinstellingen configureren om lokale beheerderswachtwoorden veilig en automatisch te beheren. In dit artikel wordt elke beleidsinstelling uitgelegd en hoe u deze beheert voor verbeterde beveiliging en naleving.

Ondersteunde beleidswortels

Hoewel dit niet wordt aanbevolen, kunt u een apparaat beheren met behulp van meerdere mechanismen voor beleidsbeheer. Om dit scenario op een begrijpelijke en voorspelbare manier te ondersteunen, wordt aan elk Windows LAPS-beleidsmechanisme een afzonderlijke registerhoofdsleutel toegewezen:

Policy name Hoofdregister van beleid registersleutel
LAPS CSP HKLM\Software\Microsoft\Policies\LAPS
LAPS-groepsbeleid HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\LAPS
Lokale LAPS-configuratie HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\Config
Verouderde Microsoft LAPS HKLM\Software\Policies\Microsoft Services\AdmPwd

Windows LAPS voert een query uit op alle bekende registersleutelbeleidswortels, te beginnen bij de bovenkant en naar beneden te werken. Als er geen instellingen worden gevonden onder een hoofdmap, wordt die hoofdmap overgeslagen en wordt de query naar de volgende hoofdmap uitgevoerd. Wanneer een hoofdmap met ten minste één expliciet gedefinieerde instelling wordt gevonden, wordt die hoofdmap gebruikt als het actieve beleid. Als er instellingen ontbreken in de gekozen root, krijgen de instellingen hun standaardwaarden toegewezen.

Beleidsinstellingen worden nooit gedeeld of overgenomen tussen hoofdniveaus van beleidsleutels.

Tip

De lokale LAPS-configuratiesleutel is opgenomen in de voorgaande tabel voor volledigheid. U kunt deze sleutel indien nodig gebruiken, maar de sleutel is voornamelijk bedoeld om te worden gebruikt voor testen en ontwikkelen. Er zijn geen beheerhulpprogramma's of beleidsmechanismen gericht op deze sleutel.

Ondersteunde beleidsinstellingen door BackupDirectory

Windows LAPS ondersteunt meerdere beleidsinstellingen die u kunt beheren via verschillende beleidsbeheeroplossingen, of zelfs rechtstreeks via het register. Sommige van deze instellingen zijn alleen van toepassing bij het maken van back-ups van wachtwoorden naar Active Directory, en sommige instellingen zijn gebruikelijk voor zowel ad- als Microsoft Entra-scenario's.

In de volgende tabel wordt aangegeven welke instellingen van toepassing zijn op apparaten met de opgegeven BackupDirectory-instelling:

Setting name Van toepassing als BackupDirectory=Microsoft Entra ID? Van toepassing wanneer BackupDirectory=AD?
AdministratorAccountName Yes Yes
PasswordAgeDays Yes Yes
PasswordLength Yes Yes
PassphraseLength Yes Yes
PasswordComplexity Yes Yes
PostAuthenticationResetDelay Yes Yes
PostAuthenticationActions Yes Yes
ADPasswordEncryptionEnabled No Yes
ADPasswordEncryptionPrincipal No Yes
ADEncryptedPasswordHistorySize No Yes
ADBackupDSRMPassword No Yes
PasswordExpirationProtectionEnabled No Yes
AutomaticAccountManagementEnabled Yes Yes
AutomaticAccountManagementTarget Yes Yes
AutomaticAccountManagementNameOrPrefix Yes Yes
AutomaticAccountManagementEnableAccount Yes Yes
AutomaticAccountManagementRandomizeName Yes Yes

Als BackupDirectory is ingesteld op Uitgeschakeld, worden alle andere instellingen genegeerd.

U kunt bijna alle instellingen beheren met behulp van elk mechanisme voor beleidsbeheer. De Windows LAPS-configuratieserviceprovider (CSP) heeft twee uitzonderingen op deze regel. De Windows LAPS CSP ondersteunt twee instellingen die zich niet in de voorgaande tabel bevinden: ResetPassword en ResetPasswordStatus. Windows LAPS CSP biedt ook geen ondersteuning voor de ADBackupDSRMPassword-instelling (domeincontrollers worden nooit beheerd via CSP). Zie de LAPS CSP-documentatie voor meer informatie.

Windows LAPS-groepsbeleid

Windows LAPS bevat een nieuw groepsbeleidsobject dat u kunt gebruiken om beleidsinstellingen te beheren op apparaten die lid zijn van een Active Directory-domein. To access the Windows LAPS Group Policy, in Group Policy Management Editor, go to Computer Configuration>Administrative Templates>System>LAPS. In de volgende afbeelding ziet u een voorbeeld:

Schermopname van de Editor voor groepsbeleidsbeheer met de beleidsinstellingen van Windows LAPS.

The template for this new Group Policy object is installed as part of Windows at %windir%\PolicyDefinitions\LAPS.admx.

Centrale opslagplaats voor groepsbeleidobjecten

Important

De windows LAPS GPO-sjabloonbestanden worden niet automatisch gekopieerd naar uw centrale GPO-archief als onderdeel van een windows Update-patchbewerking, ervan uitgaande dat u ervoor hebt gekozen om die aanpak te implementeren. Instead you must manually copy the LAPS.admx to the GPO central store location. Zie Central Store maken en beheren.

Windows LAPS CSP

Windows LAPS bevat een specifieke CSP die u kunt gebruiken om beleidsinstellingen te beheren op aan Microsoft Entra gekoppelde apparaten. Beheer de Windows LAPS-CSP met behulp van Microsoft Intune.

Beleidsinstellingen toepassen

In de volgende secties wordt beschreven hoe u verschillende beleidsinstellingen voor Windows LAPS gebruikt en toepast.

BackupDirectory

Gebruik deze instelling om te bepalen in welke map het wachtwoord voor het beheerde account wordt opgeslagen.

Value Beschrijving van instelling
0 Uitgeschakeld (er wordt geen back-up gemaakt van het wachtwoord)
1 Het wachtwoord back-uppen naar alleen Microsoft Entra.
2 Alleen een back-up maken van het wachtwoord voor Windows Server Active Directory

If not specified, this setting defaults to 0 (Disabled).

AdministratorAccountName

Gebruik deze instelling om de naam van het beheerde lokale beheerdersaccount te configureren.

Als deze instelling niet is opgegeven, wordt standaard het ingebouwde lokale beheerdersaccount beheerd.

Important

Geef deze instelling alleen op als u een ander account dan het ingebouwde lokale beheerdersaccount wilt beheren. Het lokale beheerdersaccount wordt automatisch geïdentificeerd door de bekende relatieve id (RID).

Important

U kunt het opgegeven account (ingebouwd of aangepast) configureren als ingeschakeld of uitgeschakeld. Windows LAPS beheert het wachtwoord van dat account in beide toestanden. Als het account echter is uitgeschakeld, moet het uiteraard eerst worden ingeschakeld om daadwerkelijk te kunnen worden gebruikt.

Important

Als u Windows LAPS configureert voor het beheren van een aangepast lokaal beheerdersaccount, moet u ervoor zorgen dat het account wordt gemaakt. Windows LAPS maakt het account niet.

Important

Deze instelling wordt genegeerd wanneer AutomaticAccountManagementEnabled is ingeschakeld.

PasswordAgeDays

Met deze instelling bepaalt u de maximale wachtwoordduur van het beheerde lokale beheerdersaccount. Ondersteunde waarden zijn:

  • Minimum: 1 day (When the backup directory is configured to be Microsoft Entra ID, the minimum is 7 days.)
  • Maximum: 365 days

Als deze instelling niet is opgegeven, wordt deze standaard ingesteld op 30 dagen.

Important

Wijzigingen in de PasswordAgeDays beleidsinstelling hebben geen invloed op de verlooptijd van het huidige wachtwoord. Wijzigingen in de PasswordAgeDays beleidsinstelling zorgen er ook niet voor dat het beheerde apparaat een wachtwoordrotatie start.

PasswordLength

Gebruik deze instelling om de lengte van het wachtwoord van het beheerde lokale beheerdersaccount te configureren. Ondersteunde waarden zijn:

  • Minimum: 8 characters
  • Maximum: 64 characters

Als dit niet is opgegeven, wordt deze instelling standaard ingesteld op 14 tekens.

Important

Configureer niet PasswordLength voor een waarde die niet compatibel is met het lokale wachtwoordbeleid van het beheerde apparaat. Dit leidt ertoe dat Windows LAPS geen nieuw compatibel wachtwoord kan maken (zoek naar een 10027-gebeurtenis in het Windows LAP-gebeurtenislogboek).

De instelling PasswordLength wordt genegeerd, tenzij PasswordComplexity is geconfigureerd voor een van de wachtwoordopties.

PassphraseLength

Gebruik deze instelling om het aantal woorden in de wachtwoordzin van het beheerde lokale beheerdersaccount te configureren. Ondersteunde waarden zijn:

  • Minimum: 3 words
  • Maximum: 10 words

Als dit niet is opgegeven, wordt deze instelling standaard ingesteld op 6 woorden.

De instelling PassphraseLength wordt genegeerd, tenzij PasswordComplexity is geconfigureerd voor een van de opties voor de wachtwoordzin.

Important

PassphraseLength wordt alleen ondersteund in Windows 11 24H2, Windows Server 2025 en latere versies.

PasswordComplexity

Gebruik deze instelling om de vereiste wachtwoordcomplexiteit van het beheerde lokale beheerdersaccount te configureren of om op te geven dat er een wachtwoordzin wordt gemaakt.

Value Beschrijving van instelling
1 Large letters
2 Grote letters + kleine letters
3 Grote letters + kleine letters + cijfers
4 Grote letters + kleine letters + cijfers + speciale tekens
5 Grote letters + kleine letters + cijfers + speciale tekens (verbeterde leesbaarheid)
6 Wachtwoordzin (lange woorden)
7 Wachtwoordzin (korte woorden)
8 Wachtwoordzin (korte woorden met unieke voorvoegsels)

If not specified, this setting defaults to 4.

Important

Windows ondersteunt de lagere instellingen voor wachtwoordcomplexiteit (1, 2 en 3) alleen voor achterwaartse compatibiliteit met verouderde Microsoft LAPS. U wordt aangeraden deze instelling altijd te configureren op 4 (of een hogere waarde als deze wordt ondersteund).

Important

Configureer niet PasswordComplexity voor een instelling die niet compatibel is met het lokale wachtwoordbeleid van het beheerde apparaat. Dit leidt ertoe dat Windows LAPS geen nieuw compatibel wachtwoord kan maken (zoek naar een 10027-gebeurtenis in het Windows LAPS-gebeurtenislogboek).

Important

PasswordComplexity waarden 5 tot en met 8 worden alleen ondersteund in Windows 11 24H2, Windows Server 2025 en latere versies.

PasswordExpirationProtectionEnabled

Gebruik deze instelling om afdwingen van de maximale wachtwoordduur voor het beheerde lokale beheerdersaccount te configureren.

Supported values are either 1 (True) or 0 (False).

If not specified, this setting defaults to 1 (True).

Tip

In legacy Microsoft LAPS mode, this setting defaults to False for backward compatibility.

ADPasswordEncryptionEnabled

Gebruik deze instelling om versleuteling van wachtwoorden in Active Directory in te schakelen.

Supported values are either 1 (True) or 0 (False).

Important

Als u deze instelling inschakelt, moet uw Active Directory-domein worden uitgevoerd op domeinfunctionaliteitsniveau 2016 of hoger.

ADPasswordEncryptionPrincipal

Gebruik deze instelling om de naam of beveiligings-id (SID) van een gebruiker of groep te configureren die het wachtwoord dat is opgeslagen in Active Directory kan ontsleutelen.

Deze instelling wordt genegeerd als het wachtwoord momenteel is opgeslagen in Azure.

Als dit niet is opgegeven, kunnen alleen leden van de groep Domeinadministrators in het domein van het apparaat het wachtwoord ontsleutelen.

Indien opgegeven, kan de opgegeven gebruiker of groep het wachtwoord ontsleutelen dat is opgeslagen in Active Directory.

Important

De tekenreeks die in deze instelling is opgeslagen, is een SID in tekenreeksvorm of de volledig gekwalificeerde naam van een gebruiker of groep. Geldige voorbeelden zijn:

  • S-1-5-21-2127521184-1604012920-1887927527-35197
  • contoso\LAPSAdmins
  • lapsadmins@contoso.com

De principal die is geïdentificeerd (op SID of op gebruikersnaam of groepsnaam) moet bestaan en door het apparaat kunnen worden opgelost.

De gegevens die in deze instelling zijn opgegeven, worden ingevoerd as-is; Voeg bijvoorbeeld geen aanhalingstekens of haakjes toe.

This setting is ignored unless ADPasswordEncryptionEnabled is configured to True and all other prerequisites are met.

Deze instelling wordt genegeerd wanneer een back-up van DSRM-accountwachtwoorden (Directory Services Repair Mode) wordt gemaakt op een domeincontroller. In dat scenario wordt deze instelling altijd standaard ingesteld op de groep Domeinadministrators van het domein van de domeincontroller.

ADEncryptedPasswordHistorySize

Gebruik deze instelling om te configureren hoeveel eerdere versleutelde wachtwoorden worden onthouden in Active Directory. Ondersteunde waarden zijn:

  • Minimum : 0 passwords
  • Maximum: 12 passwords

Als dit niet is opgegeven, wordt deze instelling standaard ingesteld op 0 wachtwoorden (uitgeschakeld).

Important

Deze instelling wordt genegeerd, tenzij ADPasswordEncryptionEnabled is geconfigureerd op True en aan alle andere vereisten wordt voldaan.

Deze instelling wordt ook van kracht op domeincontrollers die een back-up maken van hun DSRM-wachtwoorden.

ADBackupDSRMPassword

Gebruik deze instelling om een back-up van het wachtwoord voor het DSRM-account op Windows Server Active Directory-domeincontrollers in te schakelen.

Supported values are either 1 (True) or 0 (False).

This setting defaults to 0 (False).

Important

Deze instelling wordt genegeerd, tenzij ADPasswordEncryptionEnabled is geconfigureerd op True en aan alle andere vereisten wordt voldaan.

PostAuthenticationResetDelay

Gebruik deze instelling om de hoeveelheid tijd (in uren) op te geven die moet worden gewacht na een verificatie voordat de opgegeven acties na verificatie worden uitgevoerd (zie PostAuthenticationActions). Ondersteunde waarden zijn:

  • Minimum : 0 hours (setting this value to 0 disables all post-authentication actions)
  • Maximum: 24 hours

Als dit niet is opgegeven, wordt deze instelling standaard ingesteld op 24 uur.

PostAuthenticationActions

Gebruik deze instelling om de acties op te geven die moeten worden uitgevoerd bij het verlopen van de geconfigureerde respijtperiode (zie PostAuthenticationResetDelay).

Deze instelling kan een van de volgende waarden hebben:

Value Name Acties die worden uitgevoerd wanneer de gratieperiode verloopt Comments
1 Reset password Het wachtwoord van het beheerde account wordt opnieuw ingesteld.
3 Wachtwoord opnieuw instellen en afmelden Het wachtwoord voor het beheerde account wordt opnieuw ingesteld, interactieve aanmeldingssessies met het beheerde account worden beëindigd en SMB-sessies met het beheerde account worden verwijderd. Interactieve aanmeldingssessies ontvangen een niet-geconfigureerde waarschuwing van twee minuten om hun werk op te slaan en af te melden.
5 Wachtwoord opnieuw instellen en opnieuw opstarten Het wachtwoord van het beheerde account wordt opnieuw ingesteld en het beheerde apparaat wordt opnieuw opgestart. Het beheerde apparaat wordt opnieuw opgestart na een niet-configureerbare vertraging van één minuut.
11 Wachtwoord opnieuw instellen en afmelden Het wachtwoord voor het beheerde account wordt opnieuw ingesteld, interactieve aanmeldingssessies met behulp van het beheerde account worden beëindigd, SMB-sessies met het beheerde account worden verwijderd en alle resterende processen die worden uitgevoerd onder de beheerde account-id, worden beëindigd. Interactieve aanmeldingssessies ontvangen een niet-geconfigureerde waarschuwing van twee minuten om hun werk op te slaan en af te melden.

If not specified, this setting defaults to 3.

Important

De toegestane acties na verificatie zijn bedoeld om de hoeveelheid tijd te beperken waarop een Windows LAPS-wachtwoord kan worden gebruikt voordat het opnieuw wordt ingesteld. Afmelden bij het beheerde account of het opnieuw opstarten van het apparaat zijn opties waarmee u ervoor kunt zorgen dat de tijd beperkt is. Het plotseling beëindigen van aangemelde sessies of het opnieuw opstarten van het apparaat kan leiden tot gegevensverlies.

Vanuit beveiligingsperspectief heeft een kwaadwillende gebruiker die beheerdersbevoegdheden op een apparaat krijgt met behulp van een geldig Windows LAPS-wachtwoord de ultieme mogelijkheid om deze mechanismen te voorkomen of te omzeilen.

Important

PostAuthenticationActions waarde 11 wordt alleen ondersteund in Windows 11 24H2, Windows Server 2025 en latere versies.

AutomaticAccountManagementEnabled

Gebruik deze instelling om automatisch accountbeheer in te schakelen.

Supported values are either 1 (True) or 0 (False).

This setting defaults to 0 (False).

Important

AutomaticAccountManagementEnabled wordt alleen ondersteund in Windows 11 24H2, Windows Server 2025 en latere versies.

AutomaticAccountManagementTarget

Gebruik deze instelling om op te geven of het ingebouwde Administrator-account automatisch wordt beheerd of een nieuw aangepast account.

Value Beschrijving van instelling
0 Het ingebouwde beheerdersaccount automatisch beheren
1 Automatisch een nieuw aangepast account beheren

This setting defaults to 1.

Deze instelling wordt genegeerd, tenzij AutomaticAccountManagementEnabled is ingeschakeld.

Important

AutomaticAccountManagementTarget wordt alleen ondersteund in Windows 11 24H2, Windows Server 2025 en latere versies.

AutomaticAccountManagementNameOrPrefix

Gebruik deze instelling om de naam of het naamvoorvoegsel van het automatisch beheerde account op te geven.

Deze instelling wordt standaard ingesteld op WLapsAdmin.

This setting is treated as a name if AutomaticAccountManagementRandomizeName is 0 (False).

This setting is treated as a name prefix if AutomaticAccountManagementRandomizeName is 1 (True).

Deze instelling wordt genegeerd, tenzij AutomaticAccountManagementEnabled is ingeschakeld.

Important

AutomaticAccountManagementNameOrPrefix wordt alleen ondersteund in Windows 11 24H2, Windows Server 2025 en latere versies.

AutomaticAccountManagementEnableAccount

Gebruik deze instelling om het automatisch beheerde account in of uit te schakelen.

Value Beschrijving van instelling
0 Het automatisch beheerde account uitschakelen
1 Het automatisch beheerde account inschakelen

This setting defaults to 0.

Deze instelling wordt genegeerd, tenzij AutomaticAccountManagementEnabled is ingeschakeld.

Important

AutomaticAccountManagementEnableAccount wordt alleen ondersteund in Windows 11 24H2, Windows Server 2025 en latere versies.

AutomaticAccountManagementRandomizeName

Gebruik deze instelling om randomisatie van de naam van het automatisch beheerde account in te schakelen.

Wanneer deze instelling is ingeschakeld, wordt de naam van het beheerde account (bepaald door de AutomaticAccountManagementNameOrPrefix-instelling) aangevuld met een willekeurig zes-cijferig achtervoegsel telkens wanneer het wachtwoord wordt gewijzigd.

Namen van lokale Windows-accounts hebben een maximale lengte van 20 tekens, wat betekent dat het naamonderdeel maximaal 14 tekens lang moet zijn om voldoende ruimte te hebben voor het willekeurige achtervoegsel. Accountnamen gespecificeerd door AutomaticAccountManagementNameOrPrefix die langer zijn dan 14 tekens, worden ingekort.

Value Beschrijving van instelling
0 De naam van het automatisch beheerde account niet willekeurig maken
1 De naam van het automatisch beheerde account randomiseren

This setting defaults to 0.

Deze instelling wordt genegeerd, tenzij AutomaticAccountManagementEnabled is ingeschakeld.

Important

AutomaticAccountManagementRandomizeName wordt alleen ondersteund in Windows 11 24H2, Windows Server 2025 en latere versies.

Standaardbeleidswaarden voor Windows LAPS

Alle windows LAPS-beleidsinstellingen hebben een standaardwaarde. De standaardwaarde wordt toegepast wanneer een beheerder een bepaalde instelling niet configureert. De standaardwaarde wordt ook toegepast wanneer een beheerder een bepaalde instelling configureert met een niet-ondersteunde waarde.

Setting name Default value
BackupDirectory Disabled
AdministratorAccountName Null\empty
PasswordAgeDays 30
PasswordLength 14
PassphraseLength 6
PasswordComplexity 4
PostAuthenticationResetDelay 24
PostAuthenticationActions 3 (Wachtwoord opnieuw instellen en afmelden)
ADPasswordEncryptionEnabled True
ADPasswordEncryptionPrincipal Domain Admins
ADEncryptedPasswordHistorySize 0
ADBackupDSRMPassword False
PasswordExpirationProtectionEnabled True
AutomaticAccountManagementEnabled False
AutomaticAccountManagementTarget Yes
AutomaticAccountManagementNameOrPrefix Yes
AutomaticAccountManagementEnableAccount False
AutomaticAccountManagementRandomizeName False

Important

ADPasswordEncryptionPrincipal is een uitzondering op de verkeerd geconfigureerde instellingsregel. Deze instelling wordt standaard ingesteld op Domeinadministratoren als de instelling niet is geconfigureerd. In het geval dat er een ongeldige gebruikersnaam of groepsnaam is opgegeven, wordt er een beleidsverwerkingsfout opgetreden en wordt er geen back-up gemaakt van het wachtwoord van het beheerde account.

Houd rekening met deze standaardinstellingen bij het configureren van nieuwe Windows LAPS-functies, bijvoorbeeld ondersteuning voor wachtwoordzinnen. Als u een beleid configureert met de waarde PasswordComplexity van 6 (wachtwoordzinnen voor lange woorden), past u dat beleid toe op een ouder besturingssysteem dat die waarde niet ondersteunt, gebruikt het doelbesturingssystem de standaardwaarde 4. U kunt dit resultaat voorkomen door twee verschillende beleidsregels te maken: een voor het oudere besturingssysteem en een voor het nieuwere besturingssysteem.