Udostępnij za pośrednictwem

Windows LAPS — często zadawane pytania

Ten artykuł zawiera odpowiedzi na wiele często zadawanych pytań dotyczących rozwiązania Windows Local Administrator Password Solution (Windows LAPS).

Ogólne

Czy obsługiwane jest uruchamianie produktów lokalnego menedżera haseł kont innych firm obok systemu Windows LAPS?

Tak, ten scenariusz jest obsługiwany z następującym warunkiem. Należy zadbać o skonfigurowanie usługi Windows LAPS i produktu innej firmy w celu zarządzania różnymi kontami lokalnymi. Jeśli omyłkowo skonfigurujesz oba konta do zarządzania tym samym kontem, system Windows LAPS odrzuca próby przez produkt innej firmy w celu zmodyfikowania hasła konta. Zobacz Ochrona przed naruszeniami haseł konta.

Dlaczego nie mogę zmienić hasła konta administratora lokalnego zarządzanego obecnie przez usługę Windows LAPS?

System Windows LAPS uniemożliwia przypadkowe lub fałszywe zmiany hasła konta zarządzanego. Ta ochrona pomaga zapobiec sytuacji, w której hasło przechowywane w katalogu nie jest zgodne z hasłem przechowywanym lokalnie na urządzeniu. Zobacz Ochrona przed naruszeniami haseł konta.

Dlaczego moduł Windows LAPS PowerShell nie jest hostowany w witrynie GitHub, galerii programu PowerShell lub podobnej?

Moduł Windows LAPS PowerShell jest częścią systemu Windows i niedostępny poza systemem operacyjnym.

Jak mogę skopiować moduł Windows LAPS PowerShell do starszego systemu operacyjnego?

Ten scenariusz nie jest obsługiwany.

Jak przesłać pytania lub żądania funkcji bez odpowiedzi?

Zobacz Prześlij opinię.

Widzę błędy w dzienniku zdarzeń systemu Windows LAPS — jak je naprawić?

Zobacz Wskazówki dotyczące rozwiązywania problemów z systemem Windows LAPS.

Firma Microsoft promuje strategię i kierunek bez hasła. Dlaczego funkcja oparta na hasłach, na przykład Windows LAPS, została dodana do systemu Windows?

Wszystkie scenariusze systemu Windows LAPS obejmują zarządzanie hasłem konta lokalnego systemu Windows do użycia z zadaniami pomocy technicznej, odzyskiwaniem urządzeń i innymi scenariuszami. Ponieważ system Windows obsługuje tylko uwierzytelnianie oparte na hasłach dla kont lokalnych, konieczne jest zarządzanie hasłami.

Windows LAPS i Active Directory

Czy mogę wdrożyć system Windows LAPS i używać go, nawet jeśli moja domena korzysta ze starszych kontrolerów domeny?

Tak z pewnymi ograniczeniami. Zobacz wymagania dotyczące funkcjonalności domeny i wymagania dotyczące wersji kontrolera domeny.

Czy mogę wdrożyć system Windows LAPS i używać go, nawet jeśli moja domena nie jest jeszcze na poziomie funkcjonalności domeny systemu Windows Server 2016?

Tak z pewnymi ograniczeniami. Zobacz wymagania dotyczące funkcjonalności domeny i wymagania dotyczące wersji kontrolera domeny.

Czy muszę wdrożyć kontroler domeny systemu Windows Server 2022 lub 2019 w celu rozszerzenia schematu lasu przy użyciu rozszerzeń schematu systemu Windows LAPS?

Nie — możesz uruchomić polecenie cmdlet Update-LapsADSchema z dowolnego systemu operacyjnego zaktualizowanego za pomocą funkcji WINDOWS LAPS. Jedynym wymaganiem jest to, że poświadczenia klienta są autoryzowane do modyfikowania schematu usługi Active Directory. Zobacz Aktualizowanie schematu usługi Active Directory systemu Windows Server.

Jak skopiować przystawkę Użytkownicy i komputery usługi Active Directory z włączoną obsługą systemu Windows LAPS do starszego systemu operacyjnego?

Ten scenariusz nie jest obsługiwany.

Zainstalowano narzędzie RSAT i nadal nie widzę nowej przystawki Użytkownicy i komputery usługi Active Directory z włączoną obsługą usługi LAPS?

Nowa przystawka jest dostępna tylko w wbudowanych wersjach rsAT systemu Windows na obsługiwanych platformach Windows LAPS. Zobacz windows LAPS przystawki dostępności.

Dlaczego nie widzę nowych zasad systemu Windows LAPS w magazynie centralnym obiektu zasad grupy?

Nowe zasady systemu Windows LAPS nie są instalowane automatycznie w ramach centralnego magazynu obiektu zasad grupy. Zobacz magazyn centralny obiektów zasad grupy.

Czy hasła systemu Windows LAPS są dostępne podczas katastrofalnego scenariusza awarii usługi AD?

Tak, zakładając, że kopie zapasowe bazy danych kontrolera domeny usługi AD są regularnie wykonywane i utrzymywane. Aby uzyskać więcej informacji, zobacz Pobieranie haseł podczas scenariuszy odzyskiwania po awarii usługi AD

Czy jest obsługiwane uruchamianie starszej wersji rozwiązania Microsoft LAPS obok systemu Windows LAPS?

Tak, ten scenariusz jest obsługiwany z następującymi warunkami. Należy skonfigurować nowe zasady systemu Windows LAPS i należy zadbać o skonfigurowanie systemu Windows LAPS i starszych wersji laps w celu zarządzania różnymi kontami lokalnymi.

Co się stanie, jeśli przypadkowo skonfiguruję ustawienie zasad windows LAPS z nieobsługiwaną wartością?

Zobacz wartości domyślnych zasad systemu Windows LAPS.

Jak włączyć hasła, które są dostępne tylko w systemie Windows 11 24H2, ponieważ starsze systemy operacyjne nie obsługują nowych ustawień passwordComplexity związanych z hasłem (6-8)?

W tym scenariuszu istnieją dwie opcje. Zezwól starszym systemom operacyjnym na powrót do ustawienia domyślnego lub utwórz dwie zasady. Zobacz wartości domyślnych zasad systemu Windows LAPS.

Windows LAPS i Microsoft Entra ID

Dlaczego moje urządzenie dołączone do firmy Microsoft entra otrzymuje błąd podczas próby opublikowania hasła do identyfikatora Entra firmy Microsoft?

Najczęstszą przyczyną tego zapomnienia jest włączenie funkcji LAPS dla dzierżawy firmy Microsoft Entra. Zobacz Włączanie usługi Windows LAPS przy użyciu identyfikatora Entra id firmy Microsoft.

Czy muszę rozszerzyć schemat lasu, jeśli planujem tylko tworzenie kopii zapasowych haseł do identyfikatora Entra firmy Microsoft?

Nie.

Czy potrzebuję usługi Intune w celu korzystania z usługi Windows LAPS?

Nie. System Windows LAPS można wdrożyć i używać w trybie usługi Active Directory lub Microsoft Entra bez usługi Intune. Usługa Intune zapewnia wiele korzyści dla scenariusza laps systemu Windows (na przykład wdrażanie zasad na dużą skalę, monitorowanie i obsługa akcji resetowania hasła).

Czy potrzebuję programu Microsoft Entra Connect w celu korzystania z usługi Windows LAPS?

Nie. Nie ma żadnych zależności między tymi dwiema funkcjami. Zobacz Windows LAPS i Microsoft Entra Connect w środowiskach hybrydowych.

Jak skonfigurować urządzenie przyłączone hybrydowo w celu utworzenia kopii zapasowej hasła zarówno do identyfikatora Entra firmy Microsoft, jak i usługi AD?

Ten scenariusz nie jest obsługiwany. Jednocześnie można utworzyć kopię zapasową hasła tylko do jednego katalogu.

Które konkretne chmury platformy Azure obsługują system Windows LAPS?

Aby uzyskać informacje na temat obsługiwanych chmur, zobacz rozwiązanie hasła administratora lokalnego systemu Windows w usłudze Microsoft Entra ID i microsoft Intune dla systemu Windows LAPS.

Czy usługa Microsoft Entra Domain Services obsługuje system Windows LAPS?

microsoft Entra Domain Services obecnie nie obsługuje systemu Windows LAPS.

W jaki sposób hasła systemu Windows LAPS są chronione w przypadku przechowywania w usłudze Microsoft Entra ID?

Hasła systemu Windows LAPS są zawsze chronione podczas przesyłania (https) podczas wysyłania z urządzenia zarządzanego do chmury. Hasła systemu Windows LAPS przechowywane w chmurze są zawsze szyfrowane przy użyciu usługi AES256. Klucze odszyfrowywania są dostępne tylko dla wewnętrznych usług Firmy Microsoft Entra, które mają techniczną potrzebę rzeczywistego obsługi haseł w postaci zwykłego tekstu, na przykład podczas operacji magazynowania lub zapytań. Ta warstwa szyfrowania jest specyficzna dla haseł systemu Windows LAPS i jest zawsze włączona oprócz domyślnych mechanizmów ochrony danych firmy Microsoft Entra — zobacz Zagadnienia dotyczące zabezpieczeń danych firmy Microsoft.

Widzę zdarzenie ostrzegawcze 20000 w dzienniku zdarzeń podczas przepływu pracy wstępnej aprowizacji rozwiązania Windows Autopilot — jak rozwiązać ten problem?

Dostawca CSP systemu Windows LAPS odrzuca dyrektywy konfiguracji MDM, gdy urządzenie nie wydaje się być przyłączone. Dostawca CSP rejestruje zdarzenie o identyfikatorze 20000 w dzienniku zdarzeń operacyjnych systemu Windows LAPS w przypadku wystąpienia tego warunku. W fazie przepływu pracy wstępnego aprowizacji rozwiązania Autopilot może zostać wyświetlony co najmniej jeden z tych zdarzeń, gdy rozwiązanie Autopilot odłącza urządzenie od firmy Microsoft Entra.

Ta sytuacja zostanie rozwiązana podczas późniejszej fazy przepływu użytkownika aprowizacji rozwiązania Autopilot, gdy urządzenie zostanie ponownie włączone do usługi Microsoft Entra. W tym momencie system Windows LAPS jest w pełni funkcjonalny i rozpoczyna tworzenie kopii zapasowych haseł do firmy Microsoft Entra.

Ten problem nie ma wpływu na inne scenariusze rozwiązania Autopilot oprócz wstępnej aprowizacji. Zdarzenia ostrzegawcze programu CSP powinny być ignorowane, gdy są widoczne w przepływie pracy wstępnego aprowizacji rozwiązania Autopilot zgodnie z wcześniejszym opisem.

Zobacz Samouczek krok po kroku dotyczący rozwiązania Windows Autopilot na potrzeby wstępnie aprowizowania wdrożenia microsoft Entra join w usłudze Intune.

Następne kroki

Aby dowiedzieć się więcej na temat systemu Windows LAPS, oto kilka dodatkowych zasobów.