Modos de gerenciamento de contas do Windows LAPS
Saiba mais sobre os diferentes modos de gerenciamento de contas aceitos pela Solução de Senha de Administrador Local do Windows (Windows LAPS).
Importante
O recurso de gerenciamento automático de contas Windows LAPS tem suporte no Windows Server 2025 e posterior.
Visão geral
O objetivo principal do Windows LAPS é girar regularmente a senha de uma conta local do Windows. Essa conta pode ser a conta de administrador interna ou uma nova conta personalizada. O administrador de TI tem dois modos diferentes à escolha para configurar e gerenciar a conta de destino: manual e automático. Os dois modos têm seus prós e contras.
Há dois modos diferentes disponíveis para gerenciar a conta de destino.
O modo de gerenciamento de contas manual é o modo padrão. No modo manual, o administrador de TI é responsável pela configuração de todos os aspectos da conta gerenciada, exceto a senha, a qual é gerenciada e controlada pelo Windows LAPS.
O modo de gerenciamento de contas automático é um modo opcional. No modo automático, o Windows LAPS é responsável pela configuração de todos os aspectos da conta gerenciada, incluindo criação e exclusão básicas de contas conforme necessário, além da senha da conta.
Modo de gerenciamento de contas manual
O modo manual é o modo padrão. O administrador de TI tem a opção de escolher a conta de administrador interna ou uma nova conta personalizada. Essa opção é configurada por meio da configuração de política AdministratorAccountName. Se a configuração AdministratorAccountName estiver vazia, a conta de administrador interna será gerenciada, caso contrário, AdministratorAccountName especificará o nome de uma conta local personalizada.
Quando uma conta local personalizada é especificada, o administrador de TI é responsável por criar essa conta antes de habilitar o Windows LAPS – o Windows LAPS não cria a conta nesse modo.
Nesse modo, a senha da conta de destino é protegida contra adulteração acidental ou descuidada. Todas as demais alterações de configuração de conta são permitidas.
Modo de gerenciamento de contas automático
O modo automático é um modo desativado por padrão. Uma vez habilitado, o administrador de TI pode escolher entre os seguintes detalhes de configuração:
- Se a conta de administrador interna ou uma nova conta personalizada será usada
- O nome da conta
- Se a conta deve ser habilitada ou desabilitada
- Se o nome da conta deve ser gerado de forma aleatória
Detalhes de configuração automática da conta
Quando o modo automático está habilitado, a conta gerenciada é configurada da seguinte forma:
- Por padrão, a conta torna-se um membro do grupo local de administradores.
- A configuração password-not-required está desabilitada
- O sinalizador password-never-expires está desabilitado
- A descrição da conta é modificada para indicar que o Windows LAPS está controlando a conta
Integração com políticas de gerenciamento de contas locais
O Windows oferece suporte a várias políticas para gerenciar a associação de grupos locais do Windows:
- CSP da política RestrictedGroups
- CSP da Política LocalUsersAndGroups
- Usuários e Grupos Locais (Política de Grupo)
- Grupos Restritos (Política de Grupo)
Cada uma das políticas acima oferece suporte a um modo de configuração que pode ser usado para forçar a remoção de todos os membros de um grupo local especificado. As políticas acima agora ignoram qualquer tentativa de remover a conta gerenciada automaticamente pelo Windows LAPS do grupo local de administradores.
Proteção contra adulterações de conta
A proteção contra adulterações de conta é expandida no modo automático. O Windows LAPS controla todos os aspectos de configuração de uma conta gerenciada automaticamente. Tentativas externas de modificar a conta gerenciada são bloqueadas. Os administradores de TI não devem criar políticas ou scripts que tentem modificar a conta gerenciada.
O Windows LAPS rejeita tentativas inesperadas de modificar a conta com um erro STATUS_POLICY_CONTROLLED_ACCOUNT (0xC000A08B) ou ERROR_POLICY_CONTROLLED_ACCOUNT (0x21CE\8654). Cada rejeição tem um evento associado no canal de log de eventos do Windows LAPS. Os eventos 10101-10104 são registrados e correspondem ao tipo de modificação solicitada (modificação básica, modificação do descritor de segurança, exclusão ou remoção do grupo local de administradores).
Escolha de um modo
O modo manual é a melhor opção para situações que exigem configuração exclusiva e/ou detalhada da conta de destino.
O modo automático é a melhor escolha para situações com requisitos menos detalhados, por exemplo, quando você só precisa que a conta gerenciada esteja disponível e pronta para uso em uma configuração básica com privilégios administrativos. O modo automático também oferece suporte à criação de uma nova conta personalizada.
| Recurso | Modo manual | Modo automático |
|---|---|---|
| Senha controlada pelo Windows LAPS | Sim | Yes |
| O administrador de TI pode personalizar a conta | Sim | Não |
| Suporte à criação automática de contas | Não | Sim |
| Suporte à nomeação automática de contas | Não | Sim |
| Suporte à habilitação/desabilitação automática de contas | Não | Sim |
| Suporte à geração aleatória automática de nomes de contas | Não | Sim |
| Suporte à integração com políticas de conta local | Não | Sim |
Gerenciamento de contas do Modo de Reparo dos Serviços de Diretório
O Windows LAPS oferece suporte ao gerenciamento da senha da conta do Modo de Reparo dos Serviços de Diretório (DSRM) em controladores de domínio. Os modos de gerenciamento de conta manual e automático descritos neste artigo não se aplicam à conta DSRM.
Confira também
Próximas etapas
Agora que você entende os diferentes modos de gerenciamento de contas, dê uma olhada nestas outras seções.