Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Windows Local Administrator Password Solution (Windows LAPS) ondersteunt verschillende instellingen die u kunt beheren met behulp van beleid. Meer informatie over de instellingen en hoe u ze beheert.
Ondersteunde beleidswortels
Hoewel dit niet wordt aanbevolen, kunt u een apparaat beheren met behulp van meerdere mechanismen voor beleidsbeheer. Om dit scenario op een begrijpelijke en voorspelbare manier te ondersteunen, wordt aan elk Windows LAPS-beleidsmechanisme een afzonderlijke registerhoofdsleutel toegewezen:
| Beleidsnaam | Hoofdregister van beleid registersleutel |
|---|---|
| LAPS CSP | HKLM\Software\Microsoft\Policies\LAPS |
| LAPS-groepsbeleid | HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\LAPS |
| Lokale LAPS-configuratie | HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\Config |
| Verouderde Microsoft LAPS | HKLM\Software\Policies\Microsoft Services\AdmPwd |
Windows LAPS voert een query uit op alle bekende registersleutelbeleidswortels, te beginnen bij de bovenkant en naar beneden te werken. Als er geen instellingen worden gevonden onder een hoofdmap, wordt die hoofdmap overgeslagen en wordt de query naar de volgende hoofdmap uitgevoerd. Wanneer een hoofdmap met ten minste één expliciet gedefinieerde instelling wordt gevonden, wordt die hoofdmap gebruikt als het actieve beleid. Als er instellingen ontbreken in de gekozen root, krijgen de instellingen hun standaardwaarden toegewezen.
Beleidsinstellingen worden nooit gedeeld of overgenomen tussen hoofdniveaus van beleidsleutels.
Hint
De lokale LAPS-configuratiesleutel is opgenomen in de voorgaande tabel voor volledigheid. U kunt deze sleutel indien nodig gebruiken, maar de sleutel is voornamelijk bedoeld om te worden gebruikt voor testen en ontwikkelen. Er zijn geen beheerhulpprogramma's of beleidsmechanismen gericht op deze sleutel.
Ondersteunde beleidsinstellingen door BackupDirectory
Windows LAPS ondersteunt meerdere beleidsinstellingen die u kunt beheren via verschillende beleidsbeheeroplossingen, of zelfs rechtstreeks via het register. Sommige van deze instellingen zijn alleen van toepassing bij het maken van back-ups van wachtwoorden naar Active Directory, en sommige instellingen zijn gebruikelijk voor zowel ad- als Microsoft Entra-scenario's.
In de volgende tabel wordt aangegeven welke instellingen van toepassing zijn op apparaten met de opgegeven BackupDirectory-instelling:
| Naam van de instelling | Van toepassing als BackupDirectory=Microsoft Entra ID? | Van toepassing wanneer BackupDirectory=AD? |
|---|---|---|
| AdministratorAccountNaam | Ja | Ja |
| PasswordAgeDays | Ja | Ja |
| Wachtwoordlengte | Ja | Ja |
| Wachtwoordzin-Lengte | Ja | Ja |
| Wachtwoordcomplexiteit | Ja | Ja |
| PostAuthenticationResetDelay | Ja | Ja |
| PostAuthenticationActions | Ja | Ja |
| ADPasswordEncryptionEnabled | Nee. | Ja |
| ADPasswordEncryptionPrincipal | Nee. | Ja |
| ADEncryptedPasswordHistorySize | Nee. | Ja |
| ADBackupDSRMPassword | Nee. | Ja |
| WachtwoordverloopbeschermingIngeschakeld | Nee. | Ja |
| AutomatischAccountbeheerIngeschakeld | Ja | Ja |
| AutomaticAccountManagementTarget | Ja | Ja |
| AutomatischeAccountbeheerNaamOfVoorvoegsel | Ja | Ja |
| AutomatischAccountbeheerAccountInschakelen | Ja | Ja |
| AutomatischeAccountBeheerNaamRandomiseren | Ja | Ja |
Als BackupDirectory is ingesteld op Uitgeschakeld, worden alle andere instellingen genegeerd.
U kunt bijna alle instellingen beheren met behulp van elk mechanisme voor beleidsbeheer. De CSP (Windows LAPS Configuration Service Provider) heeft twee uitzonderingen op deze regel. De Windows LAPS CSP ondersteunt twee instellingen die zich niet in de voorgaande tabel bevinden: ResetPassword en ResetPasswordStatus. Windows LAPS CSP biedt ook geen ondersteuning voor de ADBackupDSRMPassword-instelling (domeincontrollers worden nooit beheerd via CSP). Zie de LAPS CSP-documentatie voor meer informatie.
Windows LAPS-groepsbeleid
Windows LAPS bevat een nieuw groepsbeleidsobject dat u kunt gebruiken om beleidsinstellingen te beheren op apparaten die lid zijn van een Active Directory-domein. Als u toegang wilt krijgen tot het Groepsbeleid van Windows LAPS, gaat u in de Editor voor groepsbeleidsbeheer naar Computerconfiguratie>Beheersjablonen>System>LAPS-. In de volgende afbeelding ziet u een voorbeeld:
De sjabloon voor dit nieuwe groepsbeleidsobject wordt geïnstalleerd als onderdeel van Windows op %windir%\PolicyDefinitions\LAPS.admx.
Centrale opslagplaats voor groepsbeleidobjecten
Belangrijk
De windows LAPS GPO-sjabloonbestanden worden niet automatisch gekopieerd naar uw centrale GPO-archief als onderdeel van een windows Update-patchbewerking, ervan uitgaande dat u ervoor hebt gekozen om die aanpak te implementeren. In plaats daarvan moet u de LAPS.admx handmatig kopiëren naar de centrale opslaglocatie van het GPO. Zie Central Store-maken en beheren.
Windows LAPS CSP
Windows LAPS bevat een specifieke CSP die u kunt gebruiken om beleidsinstellingen te beheren op aan Microsoft Entra gekoppelde apparaten. Beheer de Windows LAPS CSP met Microsoft Intune.
Beleidsinstellingen toepassen
In de volgende secties wordt beschreven hoe u verschillende beleidsinstellingen voor Windows LAPS gebruikt en toepast.
BackupDirectory
Gebruik deze instelling om te bepalen in welke map het wachtwoord voor het beheerde account wordt opgeslagen.
| Waarde | Beschrijving van instelling |
|---|---|
| 0 | Uitgeschakeld (er wordt geen back-up gemaakt van het wachtwoord) |
| 1 | Het wachtwoord back-uppen naar alleen Microsoft Entra. |
| 2 | Alleen een back-up maken van het wachtwoord voor Windows Server Active Directory |
Als dit niet is opgegeven, wordt deze instelling standaard ingesteld op 0 (uitgeschakeld).
Administratoraccountnaam
Gebruik deze instelling om de naam van het beheerde lokale beheerdersaccount te configureren.
Als deze instelling niet is opgegeven, wordt standaard het ingebouwde lokale beheerdersaccount beheerd.
Belangrijk
Geef deze instelling alleen op als u een ander account dan het ingebouwde lokale beheerdersaccount wilt beheren. Het lokale beheerdersaccount wordt automatisch geïdentificeerd door de bekende relatieve id (RID).
Belangrijk
U kunt het opgegeven account (ingebouwd of aangepast) configureren als ingeschakeld of uitgeschakeld. Windows LAPS beheert het wachtwoord van dat account in beide toestanden. Als het account echter is uitgeschakeld, moet het uiteraard eerst worden ingeschakeld om daadwerkelijk te kunnen worden gebruikt.
Belangrijk
Als u Windows LAPS configureert voor het beheren van een aangepast lokaal beheerdersaccount, moet u ervoor zorgen dat het account wordt gemaakt. Windows LAPS maakt het account niet.
Belangrijk
Deze instelling wordt genegeerd wanneer AutomaticAccountManagementEnabled is ingeschakeld.
PasswordAgeDays
Met deze instelling bepaalt u de maximale wachtwoordduur van het beheerde lokale beheerdersaccount. Ondersteunde waarden zijn:
- Minimum: 1 dag (Het minimum is 7 dagen wanneer de backupmap is geconfigureerd als Microsoft Entra ID.)
- Maximum: 365 dagen
Als deze instelling niet is opgegeven, wordt deze standaard ingesteld op 30 dagen.
Belangrijk
Wijzigingen in de PasswordAgeDays beleidsinstelling hebben geen invloed op de verlooptijd van het huidige wachtwoord. Wijzigingen in de PasswordAgeDays beleidsinstelling zorgen er ook niet voor dat het beheerde apparaat een wachtwoordrotatie start.
Wachtwoordlengte
Gebruik deze instelling om de lengte van het wachtwoord van het beheerde lokale beheerdersaccount te configureren. Ondersteunde waarden zijn:
- minimum: 8 tekens
- Maximum aantal: 64 tekens
Als dit niet is opgegeven, wordt deze instelling standaard ingesteld op 14 tekens.
Belangrijk
Configureer PasswordLength niet voor een waarde die niet compatibel is met het lokale wachtwoordbeleid van het beheerde apparaat. Dit leidt ertoe dat Windows LAPS geen nieuw compatibel wachtwoord kan maken (zoek naar een 10027-gebeurtenis in het Windows LAP-gebeurtenislogboek).
De instelling PasswordLength wordt genegeerd, tenzij PasswordComplexity is geconfigureerd voor een van de wachtwoordopties.
Lengte van de wachtwoordzin
Gebruik deze instelling om het aantal woorden in de wachtwoordzin van het beheerde lokale beheerdersaccount te configureren. Ondersteunde waarden zijn:
- Minimum: 3 woorden
- Maximum: 10 woorden
Als dit niet is opgegeven, wordt deze instelling standaard ingesteld op 6 woorden.
De instelling PassphraseLength wordt genegeerd, tenzij PasswordComplexity is geconfigureerd voor een van de opties voor de wachtwoordzin.
Wachtwoordcomplexiteit
Gebruik deze instelling om de vereiste wachtwoordcomplexiteit van het beheerde lokale beheerdersaccount te configureren of om op te geven dat er een wachtwoordzin wordt gemaakt.
| Waarde | Beschrijving van instelling |
|---|---|
| 1 | Grote letters |
| 2 | Grote letters + kleine letters |
| 3 | Grote letters + kleine letters + cijfers |
| 4 | Grote letters + kleine letters + cijfers + speciale tekens |
| 5 | Grote letters + kleine letters + cijfers + speciale tekens (verbeterde leesbaarheid) |
| 6 | Wachtwoordzin (lange woorden) |
| 7 | Wachtwoordzin (korte woorden) |
| 8 | Wachtwoordzin (korte woorden met unieke voorvoegsels) |
Als deze instelling niet is opgegeven, wordt deze instelling standaard ingesteld op 4.
Belangrijk
Windows ondersteunt de lagere instellingen voor wachtwoordcomplexiteit (1, 2 en 3) alleen voor achterwaartse compatibiliteit met verouderde Microsoft LAPS. U wordt aangeraden deze instelling altijd te configureren op 4.
Belangrijk
Configureer PasswordComplexity niet voor een instelling die niet compatibel is met het lokale wachtwoordbeleid van het beheerde apparaat. Dit leidt ertoe dat Windows LAPS geen nieuw compatibel wachtwoord kan maken (zoek naar een 10027-gebeurtenis in het Windows LAPS-gebeurtenislogboek).
Wachtwoordvervalbescherming Ingeschakeld
Gebruik deze instelling om afdwingen van de maximale wachtwoordduur voor het beheerde lokale beheerdersaccount te configureren.
Ondersteunde waarden zijn 1 (waar) of 0 (onwaar).
Als dit niet is opgegeven, wordt deze instelling standaard ingesteld op 1 (Waar).
Hint
In de verouderde Microsoft LAPS-modus wordt deze instelling standaard ingesteld op False voor achterwaartse compatibiliteit.
AD-wachtwoordversleuteling ingeschakeld
Gebruik deze instelling om versleuteling van wachtwoorden in Active Directory in te schakelen.
Ondersteunde waarden zijn 1 (waar) of 0 (onwaar).
Belangrijk
Als u deze instelling inschakelt, moet uw Active Directory-domein worden uitgevoerd op domeinfunctionaliteitsniveau 2016 of hoger.
ADWachtwoordVersleutelingsPrincipe
Gebruik deze instelling om de naam of beveiligings-id (SID) van een gebruiker of groep te configureren die het wachtwoord dat is opgeslagen in Active Directory kan ontsleutelen.
Deze instelling wordt genegeerd als het wachtwoord momenteel is opgeslagen in Azure.
Als dit niet is opgegeven, kunnen alleen leden van de groep Domeinadministrators in het domein van het apparaat het wachtwoord ontsleutelen.
Indien opgegeven, kan de opgegeven gebruiker of groep het wachtwoord ontsleutelen dat is opgeslagen in Active Directory.
Belangrijk
De tekenreeks die in deze instelling is opgeslagen, is een SID in tekenreeksvorm of de volledig gekwalificeerde naam van een gebruiker of groep. Geldige voorbeelden zijn:
S-1-5-21-2127521184-1604012920-1887927527-35197contoso\LAPSAdminslapsadmins@contoso.com
De principal die is geïdentificeerd (op SID of op gebruikersnaam of groepsnaam) moet bestaan en door het apparaat kunnen worden opgelost.
OPMERKING: de gegevens die in deze instelling zijn opgegeven, worden ingevoerd as-is; voeg bijvoorbeeld geen aanhalingstekens of haakjes toe niet.
Deze instelling wordt genegeerd, tenzij ADPasswordEncryptionEnabled is geconfigureerd voor True en aan alle andere vereisten wordt voldaan.
Deze instelling wordt genegeerd wanneer een back-up van DSRM-accountwachtwoorden (Directory Services Repair Mode) wordt gemaakt op een domeincontroller. In dat scenario wordt deze instelling altijd standaard ingesteld op de groep Domeinadministrators van het domein van de domeincontroller.
ADEncryptedPasswordHistorySize
Gebruik deze instelling om te configureren hoeveel eerdere versleutelde wachtwoorden worden onthouden in Active Directory. Ondersteunde waarden zijn:
- Minimum: 0 wachtwoorden
- Maximaal: 12 wachtwoorden
Als dit niet is opgegeven, wordt deze instelling standaard ingesteld op 0 wachtwoorden (uitgeschakeld).
Belangrijk
Deze instelling wordt genegeerd, tenzij ADPasswordEncryptionEnabled is geconfigureerd op True en aan alle andere vereisten wordt voldaan.
Deze instelling wordt ook van kracht op domeincontrollers die een back-up maken van hun DSRM-wachtwoorden.
ADBackupDSRMPassword
Gebruik deze instelling om een back-up van het wachtwoord voor het DSRM-account op Windows Server Active Directory-domeincontrollers in te schakelen.
Ondersteunde waarden zijn 1 (waar) of 0 (onwaar).
Deze instelling wordt standaard ingesteld op 0 (onwaar).
Belangrijk
Deze instelling wordt genegeerd, tenzij ADPasswordEncryptionEnabled is geconfigureerd op True en aan alle andere vereisten wordt voldaan.
PostAuthenticationResetDelay
Gebruik deze instelling om de hoeveelheid tijd (in uren) op te geven die moet worden gewacht na een verificatie voordat de opgegeven acties na verificatie worden uitgevoerd (zie PostAuthenticationActions). Ondersteunde waarden zijn:
- Minimale: 0 uur (als u deze waarde instelt op 0, worden alle acties na verificatie uitgeschakeld)
- Maximum: 24 uur
Als dit niet is opgegeven, wordt deze instelling standaard ingesteld op 24 uur.
PostAuthenticationActions
Gebruik deze instelling om de acties op te geven die moeten worden uitgevoerd bij het verlopen van de geconfigureerde respijtperiode (zie PostAuthenticationResetDelay).
Deze instelling kan een van de volgende waarden hebben:
| Waarde | Naam | Acties die worden uitgevoerd wanneer de gratieperiode verloopt | Opmerkingen |
|---|---|---|---|
| 1 | Wachtwoord opnieuw instellen | Het wachtwoord van het beheerde account wordt opnieuw ingesteld. | |
| 3 | Wachtwoord opnieuw instellen en afmelden | Het wachtwoord voor het beheerde account wordt opnieuw ingesteld, interactieve aanmeldingssessies met het beheerde account worden beëindigd en SMB-sessies met het beheerde account worden verwijderd. | Interactieve aanmeldingssessies ontvangen een niet-geconfigureerde waarschuwing van twee minuten om hun werk op te slaan en af te melden. |
| 5 | Wachtwoord opnieuw instellen en opnieuw opstarten | Het wachtwoord van het beheerde account wordt opnieuw ingesteld en het beheerde apparaat wordt opnieuw opgestart. | Het beheerde apparaat wordt opnieuw opgestart na een niet-configureerbare vertraging van één minuut. |
| 11 | Wachtwoord opnieuw instellen en afmelden | Het wachtwoord voor het beheerde account wordt opnieuw ingesteld, interactieve aanmeldingssessies met behulp van het beheerde account worden beëindigd, SMB-sessies met het beheerde account worden verwijderd en alle resterende processen die worden uitgevoerd onder de beheerde account-id, worden beëindigd. | Interactieve aanmeldingssessies ontvangen een niet-geconfigureerde waarschuwing van twee minuten om hun werk op te slaan en af te melden. |
Als deze instelling niet is opgegeven, wordt deze instelling standaard ingesteld op 3.
Belangrijk
De toegestane acties na verificatie zijn bedoeld om de hoeveelheid tijd te beperken waarop een Windows LAPS-wachtwoord kan worden gebruikt voordat het opnieuw wordt ingesteld. Afmelden bij het beheerde account of het opnieuw opstarten van het apparaat zijn opties waarmee u ervoor kunt zorgen dat de tijd beperkt is. Het plotseling beëindigen van aangemelde sessies of het opnieuw opstarten van het apparaat kan leiden tot gegevensverlies.
Vanuit beveiligingsperspectief heeft een kwaadwillende gebruiker die beheerdersbevoegdheden op een apparaat krijgt met behulp van een geldig Windows LAPS-wachtwoord de ultieme mogelijkheid om deze mechanismen te voorkomen of te omzeilen.
Belangrijk
PostAuthenticationActions waarde 11 wordt alleen ondersteund in Windows 11 24H2, Windows Server 2025 en hoger.
Automatisch accountbeheer ingeschakeld
Gebruik deze instelling om automatisch accountbeheer in te schakelen.
Ondersteunde waarden zijn 1 (waar) of 0 (onwaar).
Deze instelling wordt standaard ingesteld op 0 (onwaar).
DoelwitAutomatischAccountBeheer
Gebruik deze instelling om op te geven of het ingebouwde Administrator-account automatisch wordt beheerd of een nieuw aangepast account.
| Waarde | Beschrijving van instelling |
|---|---|
| 0 | Het ingebouwde beheerdersaccount automatisch beheren |
| 1 | Automatisch een nieuw aangepast account beheren |
Deze instelling wordt standaard ingesteld op 1.
Deze instelling wordt genegeerd, tenzij AutomaticAccountManagementEnabled is ingeschakeld.
AutomatischAccountbeheerNaamOfVoorvoegsel
Gebruik deze instelling om de naam of het naamvoorvoegsel van het automatisch beheerde account op te geven.
Deze instelling wordt standaard ingesteld op WLapsAdmin.
Deze instelling wordt genegeerd, tenzij AutomaticAccountManagementEnabled is ingeschakeld.
AutomatischAccountBeheerAccountInschakelen
Gebruik deze instelling om het automatisch beheerde account in of uit te schakelen.
| Waarde | Beschrijving van instelling |
|---|---|
| 0 | Het automatisch beheerde account uitschakelen |
| 1 | Het automatisch beheerde account inschakelen |
Deze instelling wordt standaard ingesteld op 0.
Deze instelling wordt genegeerd, tenzij AutomaticAccountManagementEnabled is ingeschakeld.
AutomaticAccountManagementRandomizeName
Gebruik deze instelling om randomisatie van de naam van het automatisch beheerde account in te schakelen.
Wanneer deze instelling is ingeschakeld, wordt de naam van het beheerde account (bepaald door de AutomaticAccountManagementNameOrPrefix-instelling) aangevuld met een willekeurig zes-cijferig achtervoegsel telkens wanneer het wachtwoord wordt gewijzigd.
Namen van lokale Windows-accounts hebben een maximale lengte van 20 tekens, wat betekent dat het naamonderdeel maximaal 14 tekens lang moet zijn om voldoende ruimte te hebben voor het willekeurige achtervoegsel. Accountnamen gespecificeerd door AutomaticAccountManagementNameOrPrefix die langer zijn dan 14 tekens, worden ingekort.
| Waarde | Beschrijving van instelling |
|---|---|
| 0 | De naam van het automatisch beheerde account niet willekeurig maken |
| 1 | De naam van het automatisch beheerde account randomiseren |
Deze instelling wordt standaard ingesteld op 0.
Deze instelling wordt genegeerd, tenzij AutomaticAccountManagementEnabled is ingeschakeld.
Standaardbeleidswaarden voor Windows LAPS
Alle windows LAPS-beleidsinstellingen hebben een standaardwaarde. De standaardwaarde wordt toegepast wanneer een beheerder een bepaalde instelling niet configureert. De standaardwaarde wordt ook toegepast wanneer een beheerder een bepaalde instelling configureert met een niet-ondersteunde waarde.
| Instellingsnaam | Standaardwaarde |
|---|---|
| BackupDirectory | Uitgeschakeld |
| BeheerdersaccountNaam | Null\leeg |
| PasswordAgeDays | 30 |
| Wachtwoordlengte | 14 |
| Wachtwoordzinlengte | 6 |
| Wachtwoordcomplexiteit | 4 |
| PostAuthenticationResetDelay | 24 |
| PostAuthenticationActions | 3 (Wachtwoord opnieuw instellen en afmelden) |
| ADPasswordEncryptionEnabled | Klopt |
| ADPasswordEncryptionPrincipal | Domeinbeheerders |
| ADEncryptedPasswordHistorySize | 0 |
| ADBackupDSRMPassword | Onwaar |
| WachtwoordvervalbeschermingIngeschakeld | Klopt |
| AutomatischAccountBeheerIngeschakeld | Onwaar |
| AutomatischeAccountBeheerdoelstelling | Ja |
| AutomatischAccountBeheerNaamOfVoorvoegsel | Ja |
| AutomatischAccountbeheerAccountInschakelen | Onwaar |
| AutomatischAccountBeheerRandomiserenNaam | Onwaar |
Belangrijk
ADPasswordEncryptionPrincipal is een uitzondering op de verkeerd geconfigureerde instellingsregel. Deze instelling wordt standaard ingesteld op Domeinadministratoren als de instelling niet is geconfigureerd. In het geval dat een ongeldige gebruikersnaam of groepsnaam is opgegeven, veroorzaakt dit een fout bij het verwerken van beleid en wordt er geen back-up gemaakt van het wachtwoord van het beheerde account.
Houd rekening met deze standaardinstellingen bij het configureren van nieuwe Windows LAPS-functies, bijvoorbeeld ondersteuning voor wachtwoordzinnen. Als u een beleid configureert met de waarde PasswordComplexity van 6 (wachtwoordzinnen voor lange woorden), past u dat beleid toe op een ouder besturingssysteem dat die waarde niet ondersteunt, gebruikt het doelbesturingssystem de standaardwaarde 4. U kunt dit resultaat voorkomen door twee verschillende beleidsregels te maken: een voor het oudere besturingssysteem en een voor het nieuwere besturingssysteem.