什么是 Windows LAPS？

项目
12/14/2023

Windows 本地管理员密码解决方案 (Windows LAPS) 是一项 Windows 功能，可自动管理和备份已加入 Microsoft Entra 或已加入 Windows Server Active Directory 的设备上的本地管理员帐户的密码。你还可以使用 Windows LAPS 自动管理和备份 Windows Server Active Directory 域控制器上的目录服务还原模式 (DSRM) 帐户密码。授权管理员可以检索 DSRM 密码并使用。

Windows LAPS 支持的平台

Windows LAPS 现在可在安装了指定更新或更高版本的以下 OS 平台上使用：

上述平台的所有受支持版本都已使用 Windows LAPS 进行更新，包括 LTSC 版本。 Windows LAPS 功能的引入不会以任何方式修改标准 Microsoft 产品生命周期策略。

Windows LAPS 和 Microsoft Entra ID

含 Microsoft Entra ID 和 Microsoft Intune 支持的 Windows LAPS 已于 2023 年 10 月 23 日起正式发布。有关详细信息，请参阅含 Microsoft Entra ID 的 Windows 本地管理员密码解决方案现正式发布！以及 Microsoft Entra ID 中的 Windows 本地管理员密码解决方案。

使用 Windows LAPS 时的优势

使用 Windows LAPS 定期轮换和管理本地管理员帐户密码，并有以下优势：

防范哈希传递和横向遍历攻击
提高了远程技术支持方案的安全性
能够登录和恢复其他不可访问的设备
细粒度安全模型（访问控制列表和可选的密码加密），用于保护存储在 Windows Server Active Directory 中的密码
支持使用 Entra 基于角色的访问控制模型来保护存储在 Microsoft Entra ID 中的密码

信息性视频

以下视频提供了一种信息丰富的方法来了解有关 Windows LAPS 功能的详细信息。

“Windows 技术起飞”演示文稿（2022 年 11 月）：

“Windows 应对技术”讨论（2023 年 8 月）：

关键的 Windows LAPS 方案

可以将 Windows LAPS 用于多种主要方案：

将本地管理员帐户密码备份到 Microsoft Entra ID（适用于已加入 Microsoft Entra 的设备）
将本地管理员帐户密码备份到 Windows Server Active Directory（适用于已加入 Windows Server Active Directory 的客户端和服务器）
将 DSRM 帐户密码备份到 Windows Server Active Directory（适用于 Windows Server Active Directory 域控制器）
使用旧版 Microsoft LAPS 将本地管理员帐户密码备份到Windows Server Active Directory

在每个方案中，可以应用不同的策略设置。

了解设备加入状态限制

设备是否加入 Microsoft Entra ID 或 Windows Server Active Directory 将决定你如何使用 Windows LAPS。

只加入 Microsoft Entra ID 的设备仅能将密码备份到 Microsoft Entra ID。

仅加入 Windows Server Active Directory 的设备只能将密码备份到 Windows Server Active Directory。

混合加入（同时加入 Microsoft Entra ID 和 Windows Server Active Directory）的设备可以将其密码备份到 Microsoft Entra ID 或 Windows Server Active Directory。无法将密码同时备份到 Microsoft Entra ID 和 Windows Server Active Directory。

Windows LAPS 不支持已加入 Microsoft Entra 工作区的客户端。

设置 Windows LAPS 策略

若要设置和管理 Windows LAPS 部署的策略，可以使用多个选项：

Windows LAPS 配置服务提供商 (CSP)
Windows LAPS 组策略
旧版 Microsoft LAPS

管理和监视 Windows LAPS

你还可以使用各种选项来管理和监视 Windows LAPS。

适用于 Windows 的选项包括：

“Windows Server Active Directory 用户和计算机”属性对话框
专用事件日志通道
特定于 Windows LAPS 的 Windows PowerShell 模块

将密码备份到 Microsoft Entra ID 时，可以使用基于 Azure 的监视和报告解决方案。

弃用旧版 Microsoft LAPS 产品

重要

注意：旧版 Microsoft LAPS 产品自 Windows 11 23 H2 及更高版本起已弃用。在较新的 OS 版本上安装旧版 Microsoft LAPS MSI 包会被阻止，Microsoft 将不再考虑更改旧版 Microsoft LAPS 产品的代码。

请使用 Windows LAPS（在 Windows Server 2019 及更高版本以及受支持的 Windows 10 和 Windows 11 客户端上提供）管理本地管理员帐户密码。

微软将继续在旧版本的 Windows 操作系统（Windows 11 23 H2 之前的版本）上支持旧版 Microsoft LAPS 产品（此前已支持此产品）。该支持将在这些 OS 的正常支持终止后结束。

Windows LAPS 与旧版 Microsoft LAPS

Windows LAPS 继承了旧版 Microsoft LAPS 中的许多设计概念。如果你熟悉旧版 Microsoft LAPS，那么许多 Windows LAPS 功能都很熟悉。一个主要区别在于，Windows LAPS 是 Windows 原生的完全独立实现。 Windows LAPS 还添加了许多在旧版 Microsoft LAPS 中不可用的功能。可以使用 Windows LAPS 将密码备份到 Azure Active Directory，在 Windows Server Active Directory 中加密密码，并存储密码历史记录。

重要

Windows LAPS 不需要安装旧版 Microsoft LAPS。无需安装或引用旧版 Microsoft LAPS，即可完全部署和使用所有 Windows LAPS 功能。但为了帮助迁移现有的旧版 Microsoft LAPS 部署，Windows LAPS 提供了旧版 Microsoft LAPS 仿真模式。

重要

旧版 Microsoft LAPS 产品在较新的 Microsoft OS 版本上被弃用 - 请参阅弃用旧版 Microsoft LAPS 产品。

支持声明

Microsoft 于 2016 日历年在 Microsoft 下载中心发布了旧版 Microsoft LAPS 产品。 Windows LAPS 作为 2023 年 4 月 11 日发布的 Windows 更新的一部分提供，适用于 Windows LAPS 和 Microsoft Entra ID 中列出的平台。

Microsoft 及其支持交付组织为 Microsoft LAPS 和 Windows LAPS 提供辅助支持，包括两种产品之间的互操作性。

重要

旧版 Microsoft LAPS 产品在较新的 Microsoft OS 版本上被弃用 - 请参阅弃用旧版 Microsoft LAPS 产品。

Microsoft 强烈建议客户现在开始计划将其支持 Windows LAPS 的系统从使用旧版 Microsoft LAPS 迁移到新的 Windows LAPS 功能。 Windows LAPS 提供许多新的安全功能和改进的产品服务。

有关第三方本地帐户密码管理工具与 Windows LAPS 之间的限制和/或互操作性问题，应定向到第三方应用程序开发人员，而不是 Microsoft。

许可要求

Windows LAPS 功能本身在所有受支持的 Windows 平台中免费提供。

可将密码备份到本地 Active Directory，且不存在其他许可要求。

可使用 Microsoft Entra ID Free 或更高版本的许可证将密码备份到 Microsoft Entra ID。

其他与 Azure 或 Intune 相关的功能可能具有其他许可要求。

提交反馈

想要向我们发送反馈？请随时通过这些文档页面底部的反馈链接提交特定于文档的问题。

还可以通过 Windows LAPS 反馈技术社区页面提交反馈和其他请求。

如果反馈特定于与 Microsoft Entra ID 或 Intune 相关的 LAPS 功能，可以通过 Microsoft Entra 反馈论坛提交反馈。

如果不确定在何处提交反馈，请使用上述任何选项提交。