Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Você pode configurar a Solução de Senha do Administrador Local do Windows (Windows LAPS) para respeitar as configurações herdadas da Política de Grupo do Microsoft LAPS, mas com algumas restrições e limitações. O recurso é chamado modo de emulação legado do Microsoft LAPS. Você pode usar o modo de emulação ao migrar uma implantação existente do Microsoft LAPS legado para o Windows LAPS.
Assim como o Microsoft LAPS, o modo de emulação dá suporte ao armazenamento de senhas no Active Directory do Windows Server somente no formato de texto claro. Para aumentar a segurança, recomendamos que você migre para usar o Windows LAPS nativamente para que possa aproveitar a criptografia de senha.
Instalação e configuração
Quando você configura o Windows LAPS no modo de emulação herdado do Microsoft LAPS, o Windows LAPS pressupõe que seu ambiente do Windows Server Active Directory esteja configurado para executar o Microsoft LAPS herdado. Para obter mais informações sobre a configuração herdada do Microsoft LAPS, consulte a documentação herdada do Microsoft LAPS.
Requisitos e limitações
Os seguintes requisitos e limitações se aplicam ao suporte herdado do modo de emulação do Microsoft LAPS:
O Windows LAPS não dá suporte à adição do esquema herdado do Microsoft LAPS Windows Server Active Directory.
Você deve instalar o Microsoft LAPS herdado em um controlador de domínio ou em outro cliente de gerenciamento para estender o esquema do Active Directory do Windows Server com os elementos herdados do esquema do Microsoft LAPS. Use o
Update-AdmPwdADSchema
cmdlet para estender o esquema. O cmdlet do Windows LAPSUpdate-LapsADSchema
não adiciona os elementos de esquema herdados do Microsoft LAPS.O Windows LAPS não instala os arquivos de definição herdados da Política de Grupo do Microsoft LAPS.
Para definir e administrar políticas de grupo herdadas do Microsoft LAPS, você deve instalar o Microsoft LAPS herdado em um controlador de domínio ou em outro cliente de gerenciamento.
O Windows LAPS não dá suporte ao gerenciamento de ACLs (listas de controle de acesso) herdadas do Microsoft LAPS Active Directory.
Para gerenciar as ACLs herdadas do Microsoft LAPS Windows Server Active Directory, você deve instalar o Microsoft LAPS herdado em um controlador de domínio ou em outro cliente de gerenciamento. Por exemplo, para usar o
Set-AdmPwdComputerSelfPermissions
cmdlet.Nenhuma outra política do Windows LAPS pode ser aplicada ao computador.
Se uma política do Windows LAPS estiver presente no computador, ela sempre terá precedência, independentemente de como ela foi aplicada (provedor de serviços de configuração, objeto de política de grupo ou modificação bruta do registro). Se uma política do Windows LAPS estiver presente, uma política herdada do Microsoft LAPS sempre será ignorada. Para obter mais informações, consulte as configurações de política do Windows LAPS.
O Microsoft LAPS herdado não deve ser instalado no computador.
Essa restrição evita um cenário no qual o Windows LAPS e o Microsoft LAPS herdado tentam gerenciar simultaneamente a mesma conta de administrador local. Ter duas entidades gerenciando a mesma conta é um risco de segurança e não tem suporte.
Para o recurso de emulação, o Microsoft LAPS legado será considerado instalado se a Extensão de Lado do Cliente da Política de Grupo (CSE) do Microsoft LAPS legado estiver instalada. Para detectar a extensão, verifique o valor do registro
DllName
desta chave de registro.HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}
Quando o valor DllName está presente e o valor se refere a um arquivo em disco (o arquivo não é carregado ou verificado de outra forma), o Microsoft LAPS herdado é considerado instalado.
O console de gerenciamento de computadores e usuários do Active Directory do Windows Server não dá suporte à leitura ou gravação de atributos de esquema herdados do Microsoft LAPS.
O Windows LAPS sempre ignora uma política herdada do Microsoft LAPS quando o Windows LAPS é configurado em um controlador de domínio do Active Directory do Windows Server.
Todos os parâmetros de política do Windows LAPS que não são suportados por uma política LAPS herdada utilizam suas configurações desativadas ou padrão.
Por exemplo, quando você executa o Windows LAPS no modo de emulação herdado do Microsoft LAPS, não é possível configurar o Windows LAPS para realizar tarefas como criptografar senhas ou salvar senhas na ID do Microsoft Entra.
Se todas essas restrições forem atendidas, o Windows LAPS honrará as configurações herdadas da Política de Grupo do Microsoft LAPS. A conta de administrador local gerenciada especificada é gerenciada de forma idêntica à maneira como é gerenciada no Microsoft LAPS legado.
Desabilitando o modo de emulação herdado do Microsoft LAPS
O Windows LAPS tem uma diferença importante a ser observada ao planejar uma implantação ou migração do Microsoft LAPS herdado. O Windows LAPS está sempre presente e ativo depois que um dispositivo é ingressado no Microsoft Entra ID ou no Windows Server Active Directory. A instalação do CSE da versão herdada do Microsoft LAPS é frequentemente usada como um mecanismo para determinar quando a política legada do Microsoft LAPS é aplicada. Como um recurso interno do Windows, o Windows LAPS começa a impor uma política herdada do Microsoft LAPS assim que ela é aplicada ao dispositivo. Essa imposição imediata pode causar interrupções, por exemplo, se a imposição ocorrer durante o fluxo de trabalho de configuração e configuração de um novo sistema operacional.
Para evitar essa possível interrupção, você pode desabilitar o modo de emulação herdado do Microsoft LAPS criando um valor de registro REG_DWORD nomeado BackupDirectory
sob a HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\Config
chave e defini-lo como o valor zero (0). Definir esse valor impede que o Windows LAPS insira o modo de emulação herdado do Microsoft LAPS, independentemente de o CSE herdado do Microsoft LAPS estar instalado ou não. Esse valor pode ser usado temporariamente ou permanentemente. Quando uma nova política do Windows LAPS é configurada, essa nova política tem precedência. Para obter mais informações sobre a ordem de precedência de política do Windows LAPS, consulte Definir as configurações de política do Windows LAPS.
Suporte administrativo limitado
O Get-LapsADPassword
cmdlet dá suporte à recuperação do atributo de senha herdado do Microsoft LAPS (ms-Mcs-AdmPwd
). Os campos Account
e PasswordUpdateTime
na saída resultante estão sempre em branco. For example:
PS C:\> Get-LapsADPassword -Identity lapsAD2 -AsPlainText
ComputerName : LAPSAD2
DistinguishedName : CN=LAPSAD2,OU=LapsTestOU,DC=laps,DC=com
Account :
Password : <masked>
PasswordUpdateTime :
ExpirationTimestamp : 7/31/2022 12:43:10 PM
Source : LegacyLapsCleartextPassword
DecryptionStatus : NotApplicable
AuthorizedDecryptor : NotApplicable
O Set-LapsADPasswordExpirationTime
cmdlet não dá suporte à expiração ou modificação do atributo de expiração de senha herdado do Microsoft LAPS (ms-Mcs-AdmPwdExpirationTime
).
A página de propriedades do Windows LAPS no console de gerenciamento de Usuários e Computadores do Active Directory do Windows Server não dá suporte à exibição ou administração de atributos herdados do Microsoft LAPS.
Logging
Quando o Windows LAPS é executado no modo de emulação herdado do Microsoft LAPS, um evento 10023 é registrado para detalhar a configuração de política atual:
Caso contrário, os mesmos eventos registrados pelo Windows LAPS quando ele não é executado no modo de emulação herdado do Microsoft LAPS também são registrados quando são executados no modo de emulação herdado do Microsoft LAPS.
See also
Este artigo não entra em detalhes sobre como gerenciar outros aspectos do Microsoft LAPS herdado. Para obter mais informações, consulte a documentação herdada do Microsoft LAPS na página de download: