Windows LAPS 常见问题解答

本文提供有关 Windows 本地管理员密码解决方案(Windows LAPS)的许多常见问题的解答。

General

是否支持与 Windows LAPS 并行运行第三方本地帐户密码管理器产品?

是的,此方案受以下条件支持。 必须注意配置 Windows LAPS 和第三方产品以管理不同的本地帐户。 如果两者错误地配置为管理同一帐户,Windows LAPS 会拒绝第三方产品尝试修改帐户的密码。 请参阅 帐户密码篡改保护

为什么无法更改当前由 Windows LAPS 管理的本地管理员帐户的密码?

Windows LAPS 可防止意外或虚假更改托管帐户的密码。 此保护有助于防止在目录中存储的密码与设备上本地存储的密码不匹配的撕裂状态。 请参阅 帐户密码篡改保护

为什么 Windows LAPS PowerShell 模块不是托管在 GitHub、PowerShell 库或类似的?

Windows LAPS PowerShell 模块是 Windows 的一部分,在操作系统外部不可用。

如何将 Windows LAPS PowerShell 模块复制到较旧的操作系统?

不支持此方案。

如何提交未回答的问题或功能请求?

请参阅 提交反馈

我在 Windows LAPS 事件日志中看到错误 - 如何修复它们?

请参阅 Windows LAPS 故障排除指南

Microsoft促进无密码策略和方向。 为什么将基于密码的功能(如 Windows LAPS)添加到 Windows?

所有 Windows LAPS 方案都涉及管理 Windows 本地帐户的密码,以用于技术支持任务、设备恢复和其他方案。 由于 Windows 仅支持本地帐户基于密码的身份验证,因此需要密码管理。

Windows LAPS 和 Active Directory

即使我的域正在运行较旧的域控制器,是否可以部署和使用 Windows LAPS?

可以,但存在一些限制。 请参阅 域功能级别和域控制器版本要求

即使我的域尚未在 Windows Server 2016 域功能级别,是否可以部署和使用 Windows LAPS?

可以,但存在一些限制。 请参阅 域功能级别和域控制器版本要求

是否需要部署 Windows Server 2022 或 2019 DC 才能使用 Windows LAPS 架构扩展扩展林的架构?

否 - 可以从使用 Windows LAPS 功能更新的任何操作系统运行 Update-LapsADSchema cmdlet。 唯一的要求是,客户端凭据有权修改 Active Directory 架构。 请参阅 更新 Windows Server Active Directory 架构

如何将已启用 Windows LAPS 的 Active Directory 用户和计算机管理单元复制到较旧的操作系统?

不支持此方案。

我已安装 RSAT,仍然看不到已启用 LAPS 的新 Active Directory 用户和计算机管理单元?

新的管理单元仅在受支持的 Windows LAPS 平台上的 WINDOWS 内置 RSAT 版本中可用。 请参阅 Windows LAPS 管理单元可用性

为什么在 GPO 中央存储中看不到新的 Windows LAPS 策略?

新的 Windows LAPS 策略不会作为 GPO 中央存储的一部分自动安装。 请参阅 组策略对象中央存储

Windows LAPS 密码在灾难性 AD 灾难方案中是否可用?

是的,假设 AD 域控制器数据库备份是定期进行和维护的。 有关详细信息,请参阅 在 Active Directory 灾难恢复方案期间检索密码

是否支持与 Windows LAPS 并行运行旧版 Microsoft LAPS?

是的,以下条件支持此方案。 必须配置新的 Windows LAPS 策略,并且必须注意配置 Windows LAPS 和旧版 LAPS 来管理不同的本地帐户。

如果意外配置具有不受支持的值的 Windows LAPS 策略设置,会发生什么情况?

请参阅 Windows LAPS 默认策略值

如何启用仅在 Windows 11 24H2 中可用的通行短语,因为较旧的操作系统不支持与新密码相关的 PasswordComplexity 设置(6-8)?

此方案中有两个选项。 允许旧版 OS 回退到默认设置,或创建两个策略。 请参阅 Windows LAPS 默认策略值

Windows LAPS 和 Microsoft Entra ID

为什么在尝试将密码发布到 Microsoft Entra ID 时,Microsoft已加入 Entra 的设备收到错误?

忘记为 Microsoft Entra 租户启用 LAPS 功能的最常见原因。 请参阅 使用 Microsoft Entra ID启用 Windows LAPS。

如果仅计划将密码备份到 Microsoft Entra ID,是否需要扩展林的架构?

No.

是否需要 Intune 才能使用 Windows LAPS?

No. 可以在 Active Directory 或 Microsoft Entra 模式下部署和使用 Windows LAPS,而无需 Intune。 Intune 确实为 Windows LAPS 方案提供了许多好处(例如,大规模策略部署、监视和密码重置操作支持)。

是否需要Microsoft Entra Connect 才能使用 Windows LAPS?

No. 这两个功能之间没有依赖关系。 请参阅 混合环境中的 Windows LAPS 和 Microsoft Entra Connect

如何将已加入混合的设备配置为将密码备份到 Microsoft Entra ID 和 AD?

不支持此方案。 一次只能将密码备份到一个目录。

哪些特定的 Azure 云支持 Windows LAPS?

有关支持特定云的信息,请参阅 Microsoft Entra IDintune Microsoft Intune 支持中的 Windows 本地管理员密码解决方案

Microsoft Entra 域服务是否支持 Windows LAPS?

Microsoft Entra 域服务 当前不支持 Windows LAPS。

Windows LAPS 密码在 Microsoft Entra ID 中存储时如何保护?

从托管设备发送到云时,Windows LAPS 密码始终在传输(https)中受到保护。 存储在云中的 Windows LAPS 密码始终使用 AES256 进行加密。 解密密钥仅适用于具有实际处理明文密码的技术需要(例如在存储或查询操作期间)的那些内部Microsoft Entra 服务。 此加密层特定于 Windows LAPS 密码,并且始终启用默认Microsoft Entra 数据保护机制 - 请参阅 Microsoft Entra 数据安全注意事项

我在 Windows Autopilot 预预配工作流期间在事件日志中看到 20000 警告事件 - 如何解决此问题?

当设备似乎未加入时,Windows LAPS CSP 会拒绝 MDM 配置指令。 当出现此情况时,CSP 会在 Windows LAPS 操作事件日志中记录事件 ID 20000。 当 Autopilot 从 Microsoft Entra 取消加入设备时,可能会在 Autopilot 预预配工作流的技术人员流阶段看到其中一个或多个事件。

当设备重新加入到 Microsoft Entra 时,Autopilot 预配的后续用户流阶段将解决此问题。 此时,Windows LAPS 功能完全正常,并开始将密码备份到 Microsoft Entra。

除了预预配之外,此问题不会影响其他 Autopilot 方案。 在 Autopilot 预预配工作流中看到如前所述时,应忽略 CSP 警告事件。

有关在 Intune中预配的部署Microsoft Entra 联接的 Windows Autopilot 的分步教程,请参阅 分步教程。

Next steps

若要了解有关 Windows LAPS 的详细信息,下面是一些更多资源。