Este artigo fornece respostas para muitas perguntas frequentes sobre a Solução de Senha do Administrador Local do Windows (Windows LAPS).
Geral
Há suporte para executar produtos de gerenciador de senhas de conta local de terceiros lado a lado com o Windows LAPS?
Sim, esse cenário tem suporte com a condição a seguir. Você deve ter cuidado para configurar o Windows LAPS e o produto de terceiros para gerenciar contas locais diferentes. Se você configurar erroneamente ambos para gerenciar a mesma conta, o Windows LAPS rejeitará as tentativas do produto de terceiros de modificar a senha da conta. Consulte de proteção contra violação de senha da conta.
Por que não posso alterar a senha de uma conta de administrador local atualmente gerenciada pelo Windows LAPS?
O Windows LAPS impede alterações acidentais ou espúrias na senha da conta gerenciada. Essa proteção ajuda a evitar uma situação de estado interrompida em que a senha armazenada no diretório não corresponde à senha armazenada localmente no dispositivo. Consulte de proteção contra violação de senha da conta.
Por que o módulo PowerShell do Windows LAPS não está hospedado no GitHub, na Galeria do PowerShell ou semelhante?
O módulo windows LAPS PowerShell faz parte do Windows e não está disponível fora do sistema operacional.
Como posso copiar o módulo do Windows LAPS PowerShell para um sistema operacional mais antigo?
Não há suporte para esse cenário.
Como posso enviar perguntas sem resposta ou solicitações de recurso?
Consulte Enviar comentários.
Vejo erros no meu log de eventos do Windows LAPS – como corrigi-los?
A Microsoft promove uma estratégia e direção sem senha. Por que um recurso baseado em senha, como o Windows LAPS, foi adicionado ao Windows?
Todos os cenários do Windows LAPS envolvem o gerenciamento da senha de uma conta local do Windows para uso com tarefas de suporte técnico, recuperação de dispositivo e outros cenários. Como o Windows só dá suporte à autenticação baseada em senha para contas locais, o gerenciamento de senhas é necessário.
Windows LAPS e Active Directory
Posso implantar e usar o Windows LAPS mesmo se meu domínio estiver executando controladores de domínio mais antigos?
Sim, com algumas limitações. Consulte Requisitos de versão do controlador de domínio e nível funcional do domínio.
Posso implantar e usar o Windows LAPS mesmo que meu domínio ainda não esteja no Nível Funcional do Domínio do Windows Server 2016?
Sim, com algumas limitações. Consulte Requisitos de versão do controlador de domínio e nível funcional do domínio.
Preciso implantar um WINDOWS Server 2022 ou 2019 DC para estender o esquema da minha floresta com as extensões de esquema do Windows LAPS?
Não – você pode executar o cmdlet Update-LapsADSchema de qualquer sistema operacional atualizado com o recurso do Windows LAPS. O único requisito é que as credenciais do cliente estejam autorizadas a modificar o esquema do Active Directory. Consulte Atualizar o esquema do Windows Server Active Directory.
Como posso copiar o snap-in Usuário e Computadores do Active Directory habilitado para Windows LAPS para um sistema operacional mais antigo?
Não há suporte para esse cenário.
Instalei o RSAT e ainda não vejo o novo snap-in de Usuário e Computadores do Active Directory habilitado para LAPS?
O novo snap-in só está disponível nas versões in-box do Windows do RSAT em plataformas com suporte do Windows LAPS. Consulte de disponibilidade de snap-in do Windows LAPS.
Por que não vejo a nova política do Windows LAPS no meu repositório central de GPO?
A nova política do Windows LAPS não é instalada automaticamente como parte do repositório central de GPO. Consulte Repositório Central de Objetos de Política de Grupo.
As senhas do Windows LAPS estão disponíveis durante um cenário de desastre catastrófico do AD?
Sim, supondo que os backups de banco de dados do controlador de domínio do AD estejam sendo regularmente feitos e mantidos. Para obter mais informações, consulte Recuperação de senhas durante cenários de recuperação de desastre do AD
Há suporte para executar o Microsoft LAPS herdado lado a lado com o Windows LAPS?
Sim, esse cenário tem suporte com as seguintes condições. Uma nova política do Windows LAPS deve ser configurada e você deve ter cuidado para configurar o Windows LAPS e o LAPS herdado para gerenciar diferentes contas locais.
O que acontece se eu acidentalmente definir uma configuração de política do Windows LAPS com um valor sem suporte?
Como posso habilitar senhas, que só estão disponíveis no Windows 11 24H2, já que os sistemas operacionais mais antigos não dão suporte às novas configurações de PasswordComplexity relacionadas à senha (6-8)?
Há duas opções neste cenário. Permitir que os OSs mais antigos retornem à configuração padrão ou criem duas políticas. Consulte valores de política padrão do Windows LAPS.
Windows LAPS e Microsoft Entra ID
Por que meu dispositivo ingressado no Microsoft Entra está recebendo um erro ao tentar postar a senha na ID do Microsoft Entra?
O motivo mais comum para esse esquecer de habilitar o recurso LAPS para seu locatário do Microsoft Entra. Consulte Habilitar o Windows LAPS com o Microsoft Entra ID.
Preciso estender o esquema da minha floresta se estiver planejando fazer backup de senhas para a ID do Microsoft Entra?
Não.
Preciso do Intune para usar o Windows LAPS?
Não. Você pode implantar e usar o Windows LAPS no modo Active Directory ou Microsoft Entra sem o Intune. O Intune oferece muitos benefícios para o cenário do Windows LAPS (por exemplo, implantação de política em escala, monitoramento e suporte à ação de redefinição de senha).
Preciso do Microsoft Entra Connect para usar o Windows LAPS?
Não. Não há dependências entre esses dois recursos. Consulte Windows LAPS e Microsoft Entra Connect em ambientes híbridos.
Como configurar um dispositivo híbrido ingressado para fazer backup da senha para a ID do Microsoft Entra e o AD?
Não há suporte para esse cenário. Você só pode fazer backup da senha em um diretório por vez.
Quais nuvens específicas do Azure dão suporte ao Windows LAPS?
Consulte solução de senha de administrador local do Windows no Microsoft Entra ID e suporte do Microsoft Intune para o Windows LAPS para obter informações sobre quais nuvens específicas têm suporte.
O Microsoft Entra Domain Services dá suporte ao Windows LAPS?
o Microsoft Entra Domain Services atualmente não dá suporte ao Windows LAPS.
Como as senhas do Windows LAPS são protegidas quando armazenadas na ID do Microsoft Entra?
As senhas do Windows LAPS são sempre protegidas em trânsito (https) quando enviadas do dispositivo gerenciado para a nuvem. As senhas do Windows LAPS armazenadas na nuvem são sempre criptografadas com o AES256. As chaves de descriptografia só estão disponíveis para os serviços internos do Microsoft Entra que têm uma necessidade técnica de lidar com as senhas de texto limpo, por exemplo, durante operações de armazenamento ou consulta. Essa camada de criptografia é específica para senhas do Windows LAPS e está sempre habilitada além dos mecanismos padrão de proteção de dados do Microsoft Entra – consulte Considerações de segurança de dados do Microsoft Entra.
Vejo um evento de aviso de 20000 no log de eventos durante um fluxo de trabalho de pré-provisionamento do Windows Autopilot – como posso corrigir esse problema?
O CSP do Windows LAPS rejeita as diretivas de configuração do MDM quando o dispositivo não parece estar associado. O CSP registra uma ID de evento 20000 no log de eventos operacionais do Windows LAPS quando essa condição ocorre. Você pode ver um ou mais desses eventos durante a fase de fluxo técnico de um fluxo de trabalho de pré-provisionamento do Autopilot, quando o Autopilot desarma o dispositivo do Microsoft Entra.
Essa situação é resolvida durante a fase de fluxo do usuário posterior do provisionamento do Autopilot quando o dispositivo é retornado ao Microsoft Entra. Nesse ponto, o Windows LAPS é totalmente funcional e começa a fazer backup de senhas para o Microsoft Entra.
Esse problema não afeta outros cenários do Autopilot além do pré-provisionamento. Os eventos de aviso CSP devem ser ignorados quando vistos em um fluxo de trabalho de pré-provisionamento do Autopilot, conforme descrito anteriormente.
Próximas etapas
Para saber mais sobre o Windows LAPS, aqui estão mais alguns recursos.