Что такое Windows LAPS?
Решение для локального администратора Windows (Windows LAPS) — это функция Windows, которая автоматически управляет паролем учетной записи локального администратора на устройствах, присоединенных к Microsoft Entra или присоединенных к Windows Server Active Directory устройств. Вы также можете использовать Windows LAPS для автоматического управления паролем учетной записи режима восстановления служб каталогов (DSRM) на контроллерах домена Windows Server Active Directory. Авторизованный администратор может получить пароль DSRM и использовать его.
Поддерживаемые платформы Windows LAPS
Windows LAPS теперь доступна на следующих платформах ОС с указанным обновлением или более поздней версией:
- Windows 11 22H2 — обновление 11 апреля 2023 г.
- Windows 11 21H2 — обновление 11 апреля 2023 г.
- Обновление Windows 10 — 11 апреля 2023 г.
- Windows Server 2022 — обновление 11 апреля 2023 г.
- Windows Server 2019 — обновление 11 апреля 2023 г.
Все поддерживаемые выпуски указанных выше платформ были обновлены с помощью Windows LAPS, включая выпуски LTSC. Введение функции Windows LAPS не изменяет каким-либо образом стандартные политики жизненного цикла продуктов Майкрософт.
Идентификатор Windows LAPS и Microsoft Entra
Windows LAPS с идентификатором Microsoft Entra и поддержкой Microsoft Intune теперь находится в общедоступной доступности с 23 октября 2023 года. Дополнительные сведения см. в разделе "Решение с паролем локального администратора Windows" с идентификатором Microsoft Entra ID теперь доступно!, а также решение для локального администратора Windows в идентификаторе Microsoft Entra ID.
Преимущества использования Windows LAPS
Используйте Windows LAPS для регулярной смены паролей учетной записи локального администратора и управления ими и получения следующих преимуществ:
- Защита от атак сквозного и бокового обхода
- Улучшенная безопасность для сценариев удаленной службы технической поддержки
- Возможность входа в систему и восстановления устройств, которые в противном случае недоступны
- Детальная модель безопасности (списки управления доступом и необязательное шифрование паролей) для защиты паролей, хранящихся в Windows Server Active Directory
- Поддержка модели управления доступом на основе ролей Entra для защиты паролей, хранящихся в идентификаторе Microsoft Entra
Информационные видео
В следующих видеороликах представлен информативный способ получения дополнительных сведений о функции Windows LAPS.
Презентация Технического взлета Windows (ноябрь 2022 г.):
Обсуждение технологий Windows (август 2023 г.):
Ключевые сценарии LAPS для Windows
Windows LAPS можно использовать для нескольких основных сценариев:
Резервное копирование паролей учетных записей локального администратора в идентификатор Microsoft Entra ( для устройств, присоединенных к Microsoft Entra)
Резервное копирование паролей учетных записей локального администратора в Windows Server Active Directory (для клиентов и серверов, присоединенных к Windows Server Active Directory)
Резервное копирование паролей учетной записи DSRM в Windows Server Active Directory (для контроллеров домена Windows Server Active Directory)
Резервное копирование паролей учетной записи локального администратора в Windows Server Active Directory с помощью устаревшей версии Microsoft LAPS
В каждом сценарии можно применять различные параметры политики.
Общие сведения об ограничениях состояния соединения устройств
Независимо от того, присоединено ли устройство к идентификатору Microsoft Entra или Windows Server Active Directory, определяет способ использования Windows LAPS.
Устройства, присоединенные только к идентификатору Microsoft Entra, могут создавать резервные копии паролей только в идентификатор Microsoft Entra.
Устройства, присоединенные только к Windows Server Active Directory, могут создавать резервные копии паролей только в Windows Server Active Directory.
Устройства, присоединенные к гибридному соединению (присоединенные к идентификатору Microsoft Entra и Windows Server Active Directory), могут создавать резервные копии паролей в идентификатор Microsoft Entra или в Windows Server Active Directory. Не удается создать резервную копию паролей как в идентификаторе Microsoft Entra, так и в Windows Server Active Directory.
Windows LAPS не поддерживает клиенты Microsoft Entra, присоединенные к рабочему месту.
Настройка политики Windows LAPS
Чтобы настроить политику для развертывания Windows LAPS и управлять ими, у вас есть несколько вариантов:
- Поставщик служб конфигурации Windows LAPS (CSP)
- Групповая политика Windows LAPS
- Устаревшая версия Microsoft LAPS
Управление и мониторинг Windows LAPS
Вы также можете управлять и отслеживать windows LAPS и управлять ими.
Возможные варианты Windows:
- Диалоговое окно свойств Пользователи и компьютеры Active Directory Windows Server
- Выделенный канал журнала событий
- Модуль Windows PowerShell, относящееся к Windows LAPS
Решения для мониторинга и отчетов на основе Azure доступны при резервном копировании паролей в идентификатор Microsoft Entra.
Нерекомендуция устаревшего продукта Microsoft LAPS
Внимание
ПРИМЕЧАНИЕ. Устаревший продукт Microsoft LAPS не рекомендуется использовать в Windows 11 23 H2 и более поздних версий. Установка устаревшего пакета Microsoft LAPS MSI блокируется в более новых версиях ОС, и корпорация Майкрософт больше не будет рассматривать изменения кода для устаревшего продукта Microsoft LAPS.
Используйте Windows LAPS, доступные в Windows Server 2019 и более поздних версиях, а также в поддерживаемых клиентах Windows 10 и Windows 11 для управления паролями учетных записей локального администратора.
Корпорация Майкрософт продолжит поддерживать устаревший продукт Microsoft LAPS в более ранних версиях Windows (до Windows 11 23 H2), на которых он ранее поддерживался. Эта поддержка будет завершена после нормального окончания поддержки для этих OS.
Windows LAPS и устаревшая версия Microsoft LAPS
Windows LAPS наследует множество концепций проектирования от устаревшей версии Microsoft LAPS. Если вы знакомы с устаревшей версией Microsoft LAPS, многие функции Windows LAPS знакомы. Ключевое отличие заключается в том, что Windows LAPS является полностью отдельной реализацией, которая является собственной для Windows. Windows LAPS также добавляет множество функций, которые недоступны в устаревшей версии Microsoft LAPS. Вы можете использовать Windows LAPS для резервного копирования паролей в Azure Active Directory, шифрования паролей в Windows Server Active Directory и хранения журнала паролей.
Внимание
Windows LAPS не требует установки устаревшей версии Microsoft LAPS. Вы можете полностью развернуть и использовать все функции Windows LAPS без установки или ссылки на устаревшие microsoft LAPS. Но чтобы помочь перенести существующее устаревшее развертывание Microsoft LAPS, Windows LAPS предлагает устаревший режим эмуляции Microsoft LAPS.
Внимание
Устаревший продукт Microsoft LAPS не рекомендуется использовать в более новых версиях ОС Майкрософт. См . статью "Нерекомендуция устаревшего продукта Microsoft LAPS".
Условия поддержки
Корпорация Майкрософт выпустила устаревший продукт Microsoft LAPS в календарном году 2016 года в Центре загрузки Майкрософт. Windows LAPS поставляется в составе Обновл. Windows, выпущенных 11 апреля 2023 г. для платформ, перечисленных в Windows LAPS и Идентификаторе Microsoft Entra.
Корпорация Майкрософт и ее организация доставки поддержки предлагают поддержку microsoft LAPS и Windows LAPS, включая взаимодействие между двумя продуктами.
Внимание
Устаревший продукт Microsoft LAPS не рекомендуется использовать в более новых версиях ОС Майкрософт. См . статью "Нерекомендуция устаревшего продукта Microsoft LAPS".
Корпорация Майкрософт настоятельно рекомендует клиентам начать планировать перенос своих систем с поддержкой Windows LAPS от использования устаревших microsoft LAPS на новую функцию Windows LAPS. Windows LAPS предлагает множество новых функций безопасности и улучшенную обслуживание продуктов.
Вопросы об ограничениях и проблемах взаимодействия между сторонними средствами управления паролями локальных учетных записей и Windows LAPS должны направляться разработчику приложений сторонних производителей, а не Корпорации Майкрософт.
Требования к лицензированию
Сама функция Windows LAPS доступна бесплатно на всех поддерживаемых платформах Windows.
Вы можете создавать резервные копии паролей в локальная служба Active Directory без других требований к лицензированию.
Вы можете создавать резервные копии паролей в идентификатор Microsoft Entra с помощью бесплатной или более поздней лицензии Microsoft Entra ID.
Другие функции, связанные с Azure или Intune, могут иметь другие требования к лицензированию.
Отправка отзыва
Хотите отправить нам отзыв? Вы можете отправить вопросы, относящиеся к документации, с помощью ссылок отзывов в нижней части этих страниц документации.
Вы также можете отправить отзывы и другие запросы с помощью страницы технического сообщества Tech Community Windows LAPS .
Если ваш отзыв относится к функциям LAPS, связанным с Microsoft Entra ID или Intune, вы можете отправить отзыв на форуме отзывов Microsoft Entra.
Если вы не уверены, куда следует отправить отзыв, отправьте его с помощью любого из описанных выше параметров.
См. также
- Знакомство с решением для пароля локального администратора Windows с идентификатором Microsoft Entra
- Решение для локального администратора Windows в идентификаторе Microsoft Entra
- Решение для локального администратора Windows с идентификатором Microsoft Entra ID теперь доступно!
- Решение с паролем локального администратора Windows в идентификаторе Microsoft Entra.
- Поддержка Microsoft Intune для Windows LAPS
- Windows LAPS CSP
- Руководство по устранению неполадок Windows LAPS
- Справочник по модулю LAPS PowerShell
- Устаревшая версия Microsoft LAPS