Introdução à LAPS do Windows no modo de emulação do Microsoft LAPS herdado
Você pode configurar o Windows LAPS (Solução de Senha de Administrador Local do Windows) para respeitar as configurações de Política de Grupo do Microsoft LAPS herdadas, mas com algumas restrições e limitações. O recurso é chamado de modo de emulação do Microsoft LAPS herdado. Você poderá usar o modo de emulação se migrar uma implantação existente do Microsoft LAPS herdado para o Windows LAPS.
Assim como o Microsoft LAPS, o modo de emulação dá suporte ao armazenamento de senhas no Windows Server Active Directory somente em formato de texto não criptografado. Para aumentar a segurança, recomendamos que você migre para o uso do Windows LAPS nativamente, de modo que você possa aproveitar a criptografia de senha.
Instalação e configuração
Quando você configura o Windows LAPS no modo de emulação do Microsoft LAPS herdado, o Windows LAPS pressupõe que o seu ambiente do Windows Server Active Directory esteja configurado para executar o Microsoft LAPS herdado. Para obter mais informações sobre a configuração do Microsoft LAPS herdado, confira a documentação do Microsoft LAPS herdado.
Requisitos e limitações
Os seguintes requisitos e as seguintes limitações se aplicam ao suporte do modo de emulação do Microsoft LAPS herdado:
O Windows LAPS não dá suporte à adição do esquema do Windows Server Active Directory do Microsoft LAPS herdado.
Você precisa instalar o Microsoft LAPS herdado em um controlador de domínio ou em outro cliente de gerenciamento para estender o esquema do Windows Server Active Directory com os elementos do esquema do Microsoft LAPS herdado. Use o cmdlet
Update-AdmPwdADSchemapara estender o esquema. O cmdletUpdate-LapsADSchemado Windows LAPS não adiciona os elementos de esquema do Microsoft LAPS herdado.O Windows LAPS não instala os arquivos de definição de Política de Grupo Microsoft LAPS herdado.
Para definir e administrar políticas de grupo Microsoft LAPS herdado, você precisa instalar o Microsoft LAPS herdado em um controlador de domínio ou em outro cliente de gerenciamento.
O Windows LAPS não dá suporte ao gerenciamento de ACLs (listas de controle de acesso) do Active Directory do Microsoft LAPS herdado.
Para gerenciar as ACLs do Windows Server Active Directory do Microsoft LAPS herdado, você precisa instalar o Microsoft LAPS herdado em um controlador de domínio ou em outro cliente de gerenciamento. Por exemplo, para usar o cmdlet
Set-AdmPwdComputerSelfPermissions.Nenhuma outra política do Windows LAPS pode ser aplicada ao computador.
Se uma política do Windows LAPS estiver presente no computador, ela sempre terá precedência, independentemente de como foi aplicada (provedor de serviços de configuração, Objeto de Política de Grupo ou modificação bruta do Registro). Se uma política do Windows LAPS estiver presente, uma política do Microsoft LAPS herdado será sempre ignorada. Para obter mais informações, confira Configurações de política do Windows LAPS.
O Microsoft LAPS herdado não precisa ser instalado no computador.
Essa restrição evita um cenário em que o Windows LAPS e o Microsoft LAPS herdado tentam gerenciar simultaneamente a mesma conta de administrador local. Ter duas entidades gerenciando a mesma conta é um risco de segurança e não há suporte para isso.
Para o recurso de emulação, o Microsoft LAPS herdado será considerado instalado se a Extensão do Lado do Cliente (CSE) da Política de Grupo do Microsoft LAPS herdado estiver instalada. Para detectar a extensão, confira o valor do Registro
DllNamenesta chave do Registro:HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}Quando o valor de DllName está presente e o valor se refere a um arquivo no disco (o arquivo não é carregado ou verificado de outra forma), o Microsoft LAPS herdado é considerado instalado.
O console de gerenciamento Usuários e Computadores do Windows Server Active Directory não dá suporte à leitura nem à gravação de atributos de esquema do Microsoft LAPS herdado.
Quando configurado em um controlador de domínio do Windows Server Active Directory, o Windows LAPS sempre ignora políticas do Microsoft LAPS herdado.
Todos os botões de política do Windows LAPS que não são compatíveis com uma política do LAPS herdado usam como padrão as configurações desabilitadas ou predefinidas.
Por exemplo, quando você executa a LAPS do Windows no modo de emulação da LAPS da Microsoft herdada, não é possível configurar a LAPS do Windows para realizar tarefas como criptografar senhas ou salvar senhas no Microsoft Entra ID.
Se todas essas restrições forem atendidas, o Windows LAPS respeitará as configurações da Política de Grupo do Microsoft LAPS herdado. A conta de administrador local gerenciada especificada é gerenciada de maneira idêntica à como ela é gerenciada no Microsoft LAPS herdado.
Desabilitar o modo de emulação herdado do Microsoft LAPS
O Windows LAPS tem uma diferença importante a ser considerada ao planejar uma implantação ou migração do Microsoft LAPS herdado. Ele está sempre presente e ativo quando um dispositivo é associado ao Microsoft Entra ID ou ao Windows Server Active Directory. A instalação do CSE do Microsoft LAPS herdado é usada frequentemente como um mecanismo para controlar a aplicação da política do Microsoft LAPS herdado. Como um recurso interno do Windows, o Windows LAPS começa a impor imediatamente uma política do Microsoft LAPS herdado assim que ela é aplicada ao dispositivo. Essa imposição imediata poderá causar interrupções, por exemplo, se a imposição ocorrer durante a instalação e o fluxo de trabalho de configuração de um novo sistema operacional.
Para evitar essa possível interrupção, desabilite o modo de emulação do Microsoft LAPS herdado criando um valor de registro REG_DWORD chamado BackupDirectory na chave HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\Config e defina-o com o valor zero (0). Definir esse valor impedirá que o Windows LAPS entre no modo de emulação do Microsoft LAPS herdado, independentemente do CSE do Microsoft LAPS herdado estar ou não instalado. Esse valor pode ser usado temporariamente ou permanentemente. Quando uma nova política do Windows LAPS é configurada, ela tem precedência. Para obter mais informações sobre a ordenação de precedência de políticas do Windows LAPS, consulte Definir configurações de política do Windows LAPS.
Suporte administrativo limitado
O cmdlet Get-LapsADPassword dá suporte à recuperação do atributo de senha do Microsoft LAPS herdado (ms-Mcs-AdmPwd). Os campos Account e PasswordUpdateTime na saída resultante estão sempre em branco. Por exemplo:
PS C:\> Get-LapsADPassword -Identity lapsAD2 -AsPlainText
ComputerName : LAPSAD2
DistinguishedName : CN=LAPSAD2,OU=LapsTestOU,DC=laps,DC=com
Account :
Password : SV6[y1n3JG+3l8
PasswordUpdateTime :
ExpirationTimestamp : 7/31/2022 12:43:10 PM
Source : LegacyLapsCleartextPassword
DecryptionStatus : NotApplicable
AuthorizedDecryptor : NotApplicable
O cmdlet Set-LapsADPasswordExpirationTime não dá suporte à expiração nem à modificação do atributo de expiração de senha do Microsoft LAPS herdado (ms-Mcs-AdmPwdExpirationTime).
A página de propriedades do Windows LAPS no console de gerenciamento Usuários e Computadores do Windows Server Active Directory não dá suporte à exibição nem à administração de atributos do Microsoft LAPS herdado.
Registro em log
Quando o Windows LAPS é executado no modo de emulação do Microsoft LAPS herdado, um evento 10023 é registrado em log para fornecer detalhes sobre a configuração de política atual:
Caso contrário, os mesmos eventos registrados em log pelo Windows LAPS quando ele não é executado no modo de emulação do Microsoft LAPS herdado também são registrados quando ele é executado nesse modo.
Confira também
Este artigo não entra em detalhes sobre como gerenciar outros aspectos do Microsoft LAPS herdado. Para obter mais informações, confira a documentação do Microsoft LAPS herdado na página de download: