LAPS CSP
企业使用本地管理员密码解决方案 (LAPS) 配置服务提供商 (CSP) 来管理本地管理员帐户密码的备份。 Windows 支持完全独立于 LAPS CSP 的 LAPS 组策略 对象。 许多不同的设置在 LAPS GPO 和 CSP (GPO 不支持任何与操作相关的设置) 。 只要通过 CSP 配置了至少一个 LAPS 设置,任何 GPO 配置的设置都会被忽略。 另请参阅 配置 Windows LAPS 的策略设置。
注意
有关使用 Windows LAPS CSP 和关联功能所需的特定 OS 更新以及Microsoft Entra LAPS 方案的当前状态的详细信息,请参阅 Windows LAPS 可用性和Microsoft Entra LAPS 公共预览状态。
提示
本文介绍 LAPS CSP 的特定技术详细信息。 有关使用 LAPS CSP 的方案的详细信息,请参阅 Windows 本地管理员密码解决方案。
以下列表显示了 LAPS 配置服务提供程序节点:
- ./Device/Vendor/MSFT/LAPS
- 操作
-
策略
- ADEncryptedPasswordHistorySize
- AdministratorAccountName
- ADPasswordEncryptionEnabled
- ADPasswordEncryptionPrincipal
- AutomaticAccountManagementEnableAccount
- AutomaticAccountManagementEnabled
- AutomaticAccountManagementNameOrPrefix
- AutomaticAccountManagementRandomizeName
- AutomaticAccountManagementTarget
- BackupDirectory
- 通行短语Length
- PasswordAgeDays
- PasswordComplexity
- PasswordExpirationProtectionEnabled
- PasswordLength
- PostAuthenticationActions
- PostAuthenticationResetDelay
操作
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ [10.0.20348.1663] 及更高版本 ✅ [10.0.25145] 及更高版本 ✅Windows 10 版本 1809 [10.0.17763.4244] 及更高版本 ✅Windows 10版本 2004 [10.0.19041.2784] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000.1754] 及更高版本 ✅Windows 11版本 22H2 [10.0.22621.1480] 及更高版本 |
./Device/Vendor/MSFT/LAPS/Actions
为 LAPS CSP 中的所有操作相关设置定义父内部节点。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | node |
访问类型 | “获取” |
Actions/ResetPassword
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ [10.0.20348.1663] 及更高版本 ✅ [10.0.25145] 及更高版本 ✅Windows 10 版本 1809 [10.0.17763.4244] 及更高版本 ✅Windows 10版本 2004 [10.0.19041.2784] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000.1754] 及更高版本 ✅Windows 11版本 22H2 [10.0.22621.1480] 及更高版本 |
./Device/Vendor/MSFT/LAPS/Actions/ResetPassword
使用此设置可告知 CSP 立即生成并存储托管本地管理员帐户的新密码。
此操作会调用本地管理员帐户密码的立即重置,忽略密码LengthDays 等常规约束。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | null |
访问类型 | Exec |
Actions/ResetPasswordStatus
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ [10.0.20348.1663] 及更高版本 ✅ [10.0.25145] 及更高版本 ✅Windows 10 版本 1809 [10.0.17763.4244] 及更高版本 ✅Windows 10版本 2004 [10.0.19041.2784] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000.1754] 及更高版本 ✅Windows 11版本 22H2 [10.0.22621.1480] 及更高版本 |
./Device/Vendor/MSFT/LAPS/Actions/ResetPasswordStatus
使用此设置可查询上次提交的 ResetPassword 执行操作的状态。
返回的值是 HRESULT 代码:
- S_OK (0x0) :上次提交的 ResetPassword 操作成功。
- E_PENDING (0x8000000) :上次提交的 ResetPassword 操作仍在执行。
- 其他:上次提交的 ResetPassword 操作遇到返回的错误。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | “获取” |
默认值 | 0 |
策略
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ [10.0.20348.1663] 及更高版本 ✅ [10.0.25145] 及更高版本 ✅Windows 10 版本 1809 [10.0.17763.4244] 及更高版本 ✅Windows 10版本 2004 [10.0.19041.2784] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000.1754] 及更高版本 ✅Windows 11版本 22H2 [10.0.22621.1480] 及更高版本 |
./Device/Vendor/MSFT/LAPS/Policies
LAPS 策略的根节点。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | node |
访问类型 | “获取” |
需要原子 | True |
Policies/ADEncryptedPasswordHistorySize
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ [10.0.20348.1663] 及更高版本 ✅ [10.0.25145] 及更高版本 ✅Windows 10 版本 1809 [10.0.17763.4244] 及更高版本 ✅Windows 10版本 2004 [10.0.19041.2784] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000.1754] 及更高版本 ✅Windows 11版本 22H2 [10.0.22621.1480] 及更高版本 |
./Device/Vendor/MSFT/LAPS/Policies/ADEncryptedPasswordHistorySize
使用此设置配置 Active Directory 中将记住的先前加密密码数。
如果未指定,此设置将默认为 0 个密码, (禁用) 。
此设置的最小允许值为 0 个密码。
此设置允许的最大值为 12 个密码。
重要提示
除非 ADPasswordEncryptionEnabled 配置为 True 并且满足所有其他先决条件,否则将忽略此设置。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
允许的值 | 范围: [0-12] |
默认值 | 0 |
依赖项 [BackupDirectory] | 依赖项类型: DependsOn 依赖项 URI: Vendor/MSFT/LAPS/Policies/BackupDirectory 依赖项允许值: 2 依赖项允许值类型: ENUM |
Policies/AdministratorAccountName
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ [10.0.20348.1663] 及更高版本 ✅ [10.0.25145] 及更高版本 ✅Windows 10 版本 1809 [10.0.17763.4244] 及更高版本 ✅Windows 10版本 2004 [10.0.19041.2784] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000.1754] 及更高版本 ✅Windows 11版本 22H2 [10.0.22621.1480] 及更高版本 |
./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName
使用此设置可以配置托管本地管理员帐户的名称。
如果未指定,则默认内置本地管理员帐户将由已知的 SID (找到,即使重命名为) 也是如此。
如果指定,则将管理指定帐户的密码。
请注意,如果在此设置中指定了自定义托管本地管理员帐户名称,则必须通过其他方式创建该帐户。 在此设置中指定名称不会导致创建帐户。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
Policies/ADPasswordEncryptionEnabled
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ [10.0.20348.1663] 及更高版本 ✅ [10.0.25145] 及更高版本 ✅Windows 10 版本 1809 [10.0.17763.4244] 及更高版本 ✅Windows 10版本 2004 [10.0.19041.2784] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000.1754] 及更高版本 ✅Windows 11版本 22H2 [10.0.22621.1480] 及更高版本 |
./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionEnabled
使用此设置可以配置密码在存储在 Active Directory 中之前是否加密。
如果密码当前存储在 Azure 中,则忽略此设置。
仅当 Active Directory 域处于Windows Server 2016域功能级别或更高级别时,才使用此设置。
如果已启用此设置,并且 Active Directory 域满足 DFL 先决条件,则会先加密密码,然后再存储在 Active Directory 中。
如果禁用此设置,或者 Active Directory 域不符合 DFL 先决条件,密码将以明文形式存储在 Active Directory 中。
如果未指定,此设置默认为 True。
重要提示
除非 BackupDirectory 配置为将密码备份到 Active Directory,并且 Active Directory 域处于Windows Server 2016域功能级别或更高级别,否则将忽略此设置。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | bool |
访问类型 | 添加、删除、获取、替换 |
默认值 | True |
依赖项 [BackupDirectory] | 依赖项类型: DependsOn 依赖项 URI: Vendor/MSFT/LAPS/Policies/BackupDirectory 依赖项允许值: 2 依赖项允许值类型: ENUM |
允许的值:
值 | 描述 |
---|---|
false | 将密码以明文形式存储在 Active Directory 中。 |
true (默认) | 将密码以加密形式存储在 Active Directory 中。 |
Policies/ADPasswordEncryptionPrincipal
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ [10.0.20348.1663] 及更高版本 ✅ [10.0.25145] 及更高版本 ✅Windows 10 版本 1809 [10.0.17763.4244] 及更高版本 ✅Windows 10版本 2004 [10.0.19041.2784] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000.1754] 及更高版本 ✅Windows 11版本 22H2 [10.0.22621.1480] 及更高版本 |
./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionPrincipal
使用此设置可配置可解密 Active Directory 中存储的密码的用户或组的名称或 SID。
如果密码当前存储在 Azure 中,则忽略此设置。
如果未指定,密码将由设备域中的“域管理员”组解密。
如果指定,则指定的用户或组将能够解密存储在 Active Directory 中的密码。
如果指定的用户或组帐户无效,设备将使用设备域中的“域管理员”组回退到 。
重要提示
除非 ADPasswordEncryptionEnabled 配置为 True 并且满足所有其他先决条件,否则将忽略此设置。 此设置中存储的字符串必须是字符串形式的 SID 或用户或组的完全限定名称。 有效示例包括:
S-1-5-21-2127521184-1604012920-1887927527-35197
contoso\LAPSAdmins
lapsadmins@contoso.com
(由 SID 或 user\group name) 标识的主体必须存在且可由设备解析。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
依赖项 [BackupDirectory] | 依赖项类型: DependsOn 依赖项 URI: Vendor/MSFT/LAPS/Policies/BackupDirectory 依赖项允许值: 2 依赖项允许值类型: ENUM |
Policies/AutomaticAccountManagementEnableAccount
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100] 及更高版本 |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnableAccount
使用此设置可配置是启用或禁用自动托管帐户。
如果启用此设置,则将启用目标帐户。
如果禁用此设置,则将禁用目标帐户。
如果未指定,此设置默认为 False。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | bool |
访问类型 | 添加、删除、获取、替换 |
默认值 | False |
依赖项 [AutomaticAccountManagementEnabled] | 依赖项类型: DependsOn 依赖项 URI: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled 依赖项允许值: true 依赖项允许值类型: ENUM |
允许的值:
值 | 描述 |
---|---|
错误 (默认) | 目标帐户将被禁用。 |
True | 将启用目标帐户。 |
Policies/AutomaticAccountManagementEnabled
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100] 及更高版本 |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled
使用此设置可指定是否启用自动帐户管理。
如果启用此设置,将自动管理目标帐户。
如果禁用此设置,则不会自动管理目标帐户。
如果未指定,此设置默认为 False。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | bool |
访问类型 | 添加、删除、获取、替换 |
默认值 | False |
允许的值:
值 | 描述 |
---|---|
false (默认) | 不会自动管理目标帐户。 |
true | 将自动管理目标帐户。 |
Policies/AutomaticAccountManagementNameOrPrefix
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100] 及更高版本 |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementNameOrPrefix
使用此设置配置托管本地管理员帐户的名称或前缀。
如果指定,该值将用作托管帐户的名称或名称前缀。
如果未指定,此设置将默认为“WLapsAdmin”。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
依赖项 [AutomaticAccountManagementEnabled] | 依赖项类型: DependsOn 依赖项 URI: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled 依赖项允许值: true 依赖项允许值类型: ENUM |
Policies/AutomaticAccountManagementRandomizeName
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100] 及更高版本 |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementRandomizeName
使用此设置可以配置每次轮换密码时自动托管帐户的名称是否使用随机数字后缀。
如果启用此设置,目标帐户的名称将使用随机数字后缀。
如果取消此设置,则目标帐户的名称不会使用随机数字后缀。
如果未指定,此设置默认为 False。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | bool |
访问类型 | 添加、删除、获取、替换 |
默认值 | False |
依赖项 [AutomaticAccountManagementEnabled] | 依赖项类型: DependsOn 依赖项 URI: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled 依赖项允许值: true 依赖项允许值类型: ENUM |
允许的值:
值 | 描述 |
---|---|
错误 (默认) | 目标帐户的名称不会使用随机数字后缀。 |
True | 目标帐户的名称将使用随机数字后缀。 |
Policies/AutomaticAccountManagementTarget
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100] 及更高版本 |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementTarget
使用此设置可以配置自动管理的帐户。
允许的设置包括:
0=将管理内置管理员帐户。
1 = 将管理由 Windows LAPS 创建的新帐户。
如果未指定,此设置将默认为 1。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 1 |
依赖项 [AutomaticAccountManagementEnabled] | 依赖项类型: DependsOn 依赖项 URI: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled 依赖项允许值: true 依赖项允许值类型: ENUM |
允许的值:
值 | 描述 |
---|---|
0 | 管理内置管理员帐户。 |
1 (默认) | 管理新的自定义管理员帐户。 |
Policies/BackupDirectory
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ [10.0.20348.1663] 及更高版本 ✅ [10.0.25145] 及更高版本 ✅Windows 10 版本 1809 [10.0.17763.4244] 及更高版本 ✅Windows 10版本 2004 [10.0.19041.2784] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000.1754] 及更高版本 ✅Windows 11版本 22H2 [10.0.22621.1480] 及更高版本 |
./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory
使用此设置配置本地管理员帐户密码备份到的目录。
允许的设置包括:
0=禁用 (密码不会备份) 1=将密码备份为仅Microsoft Entra ID 2=仅将密码备份到 Active Directory。
如果未指定,此设置将默认为 0。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 0 |
允许的值:
值 | 说明 |
---|---|
0(默认值) | 禁用 (不会) 备份密码。 |
1 | 仅备份密码以Microsoft Entra ID。 |
2 | 仅将密码备份到 Active Directory。 |
Policies/PassphraseLength
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100] 及更高版本 |
./Device/Vendor/MSFT/LAPS/Policies/PassphraseLength
使用此设置可以配置通行短语的字数。
如果未指定,此设置将默认为 6 个单词。
此设置的最小允许值为 3 个字。
此设置允许的最大值为 10 个单词。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
允许的值 | 范围: [3-10] |
默认值 | 6 |
依赖项 [PasswordComplexity] | 依赖项类型: DependsOn 依赖项 URI: Vendor/MSFT/LAPS/Policies/PasswordComplexity 依赖项允许值: [6-8] 依赖项允许值类型: Range |
Policies/PasswordAgeDays
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ [10.0.20348.1663] 及更高版本 ✅ [10.0.25145] 及更高版本 ✅Windows 10 版本 1809 [10.0.17763.4244] 及更高版本 ✅Windows 10版本 2004 [10.0.19041.2784] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000.1754] 及更高版本 ✅Windows 11版本 22H2 [10.0.22621.1480] 及更高版本 |
./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays
使用此策略可以配置托管本地管理员帐户的最大密码期限。
如果未指定,此设置将默认为 30 天。
将密码备份到 本地 Active Directory 时,此设置的最小允许值为 1 天,将密码备份为 Microsoft Entra ID 时,允许的最小值为 7 天。
此设置允许的最大值为 365 天。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
允许的值 | 范围: [1-365] |
默认值 | 30 |
依赖项 [BackupDirectoryAADMode BackupDirectoryADMode] | 依赖项类型: DependsOn DependsOn 依赖项 URI: Vendor/MSFT/LAPS/Policies/BackupDirectory Vendor/MSFT/LAPS/Policies/BackupDirectory 依赖项允许值: 依赖项允许值类型: ENUM ENUM |
策略/PasswordComplexity
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ [10.0.20348.1663] 及更高版本 ✅ [10.0.25145] 及更高版本 ✅Windows 10 版本 1809 [10.0.17763.4244] 及更高版本 ✅Windows 10版本 2004 [10.0.19041.2784] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000.1754] 及更高版本 ✅Windows 11版本 22H2 [10.0.22621.1480] 及更高版本 |
./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity
使用此设置可配置托管本地管理员帐户的密码复杂性。
允许的设置包括:
1=大写字母 2=大写字母 + 小写字母 3=大写字母 + 小写字母 + 数字 4=大写字母 + 小字母 + 数字 + 特殊字符 5=大写字母 + 小字母 + 数字 + 特殊字符 (提高可读性) 6=通行短语 (长字) 7=通行短语 (短单词) 8=具有唯一前缀 (短单词)
如果未指定,此设置将默认为 4。
密码列表取自电子前沿基金会的“深入探讨:EFF 随机通行短语的新字表”,在 CC-BY-3.0 署名许可证下使用。 有关详细信息,请参阅 https://go.microsoft.com/fwlink/?linkid=2255471。
重要提示
Windows 支持 1、2 和 3 (较低的密码复杂性设置,) 仅为了与旧版 LAPS 向后兼容。 Microsoft建议始终将此设置配置为 4。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 4 |
允许的值:
值 | 描述 |
---|---|
1 | 大写字母。 |
2 | 大写字母 + 小写字母。 |
3 | 大写字母 + 小写字母 + 数字。 |
4 (默认) | 大写字母 + 小写字母 + 数字 + 特殊字符。 |
5 | 大写字母 + 小写字母 + 数字 + 特殊字符 (提高) 的可读性。 |
6 | ) 长字 (通行短语。 |
7 | ) 短单词 (通行短语。 |
8 | ) 具有唯一前缀的短单词 (通行短语。 |
Policies/PasswordExpirationProtectionEnabled
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ [10.0.20348.1663] 及更高版本 ✅ [10.0.25145] 及更高版本 ✅Windows 10 版本 1809 [10.0.17763.4244] 及更高版本 ✅Windows 10版本 2004 [10.0.19041.2784] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000.1754] 及更高版本 ✅Windows 11版本 22H2 [10.0.22621.1480] 及更高版本 |
./Device/Vendor/MSFT/LAPS/Policies/PasswordExpirationProtectionEnabled
使用此设置为托管的本地管理员帐户配置最大密码期限的附加强制措施。
启用此设置后,不允许计划内密码过期,导致密码期限大于“PasswordAgeDays”策略规定的期限。 检测到此类过期后,将立即更改密码,并根据策略设置新的密码到期日期。
如果未指定,此设置默认为 True。
重要提示
除非 BackupDirectory 配置为将密码备份到 Active Directory,否则将忽略此设置。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | bool |
访问类型 | 添加、删除、获取、替换 |
默认值 | True |
依赖项 [BackupDirectory] | 依赖项类型: DependsOn 依赖项 URI: Vendor/MSFT/LAPS/Policies/BackupDirectory 依赖项允许值: 2 依赖项允许值类型: ENUM |
允许的值:
值 | 描述 |
---|---|
false | 允许配置的密码过期时间戳超过最长密码期限。 |
true (默认) | 不允许配置的密码过期时间戳超过最长密码期限。 |
Policies/PasswordLength
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ [10.0.20348.1663] 及更高版本 ✅ [10.0.25145] 及更高版本 ✅Windows 10 版本 1809 [10.0.17763.4244] 及更高版本 ✅Windows 10版本 2004 [10.0.19041.2784] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000.1754] 及更高版本 ✅Windows 11版本 22H2 [10.0.22621.1480] 及更高版本 |
./Device/Vendor/MSFT/LAPS/Policies/PasswordLength
使用此设置可以配置托管本地管理员帐户的密码长度。
如果未指定,此设置将默认为 14 个字符。
此设置的最小允许值为 8 个字符。
此设置的最大允许值为 64 个字符。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
允许的值 | 范围: [8-64] |
默认值 | 14 |
依赖项 [PasswordComplexity] | 依赖项类型: DependsOn 依赖项 URI: Vendor/MSFT/LAPS/Policies/PasswordComplexity 依赖项允许值: [1-5] 依赖项允许值类型: Range |
Policies/PostAuthenticationActions
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ [10.0.20348.1663] 及更高版本 ✅ [10.0.25145] 及更高版本 ✅Windows 10 版本 1809 [10.0.17763.4244] 及更高版本 ✅Windows 10版本 2004 [10.0.19041.2784] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000.1754] 及更高版本 ✅Windows 11版本 22H2 [10.0.22621.1480] 及更高版本 |
./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions
使用此设置可指定在配置的宽限期到期时要执行的操作。
如果未指定,此设置将默认为 3 (重置密码并注销托管帐户) 。
重要提示
允许的身份验证后操作旨在帮助限制在重置之前可以使用 LAPS 密码的时间。 注销托管帐户或重新启动设备是帮助确保这一点的选项。 登录会话的突然终止或重新启动设备可能会导致数据丢失。
重要提示
从安全角度来看,使用有效 LAPS 密码在设备上获取管理权限的恶意用户确实具有阻止或规避这些机制的最终能力。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 3 |
允许的值:
值 | 描述 |
---|---|
1 | 重置密码:宽限期到期后,将重置托管帐户密码。 |
3 (默认) | 重置密码并注销托管帐户:宽限期到期后,将重置托管帐户密码,并且使用托管帐户的任何交互式登录会话都将终止。 |
5 | 重置密码并重新启动:宽限期到期后,将重置托管帐户密码,并立即重新启动托管设备。 |
11 | 重置密码、注销托管帐户并终止任何剩余进程:宽限期到期后,将重置托管帐户密码,注销使用托管帐户的所有交互式登录会话,并终止所有剩余的进程。 |
Policies/PostAuthenticationResetDelay
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ [10.0.20348.1663] 及更高版本 ✅ [10.0.25145] 及更高版本 ✅Windows 10 版本 1809 [10.0.17763.4244] 及更高版本 ✅Windows 10版本 2004 [10.0.19041.2784] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000.1754] 及更高版本 ✅Windows 11版本 22H2 [10.0.22621.1480] 及更高版本 |
./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay
使用此设置可以指定在身份验证后执行指定的身份验证后操作之前, () 等待的时间(以小时为单位)。
如果未指定,此设置将默认为 24 小时。
此设置的最小允许值为 0 小时, (这将禁用所有身份验证后操作) 。
此设置允许的最大值为 24 小时。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
允许的值 | 范围: [0-24] |
默认值 | 24 |
设置适用性
LAPS CSP 可用于管理已加入Microsoft Entra ID或同时加入Microsoft Entra ID和 Active Directory (混合联接) 的设备。 LAPS CSP 管理仅Microsoft Entra和仅 AD 设置的组合。 仅 AD 设置仅适用于已加入混合的设备,然后仅在 BackupDirectory 设置为 2 时才适用。
设置名称 | 已加入 Azure | 混合联接 |
---|---|---|
BackupDirectory | 是 | 是 |
PasswordAgeDays | 是 | 是 |
PasswordLength | 是 | 是 |
PasswordComplexity | 是 | 是 |
PasswordExpirationProtectionEnabled | 否 | 是 |
AdministratorAccountName | 是 | 是 |
ADPasswordEncryptionEnabled | 否 | 是 |
ADPasswordEncryptionPrincipal | 否 | 是 |
ADEncryptedPasswordHistorySize | 否 | 是 |
PostAuthenticationResetDelay | 是 | 是 |
PostAuthenticationActions | 是 | 是 |
ResetPassword | 是 | 是 |
ResetPasswordStatus | 是 | 是 |
SyncML 示例
提供了以下示例来显示正确的格式,不应将其视为建议。
已加入 Azure 的设备将密码备份到 Microsoft Entra ID
此示例演示如何配置已加入 Azure 的设备以将其密码备份到Microsoft Entra ID:
<SyncMl xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Add>
<CmdId>1</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>1</Data>
</Item>
</Add>
<Add>
<CmdId>2</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>7</Data>
</Item>
</Add>
<Add>
<CmdId>3</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>4</Data>
</Item>
</Add>
<Add>
<CmdId>4</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordLength</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>32</Data>
</Item>
</Add>
<Add>
<CmdId>5</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
<Type>text/plain</Type>
</Meta>
<Data>ContosoLocalLapsAdmin</Data>
</Item>
</Add>
<Add>
<CmdId>6</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>8</Data>
</Item>
</Add>
<Add>
<CmdId>7</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>3</Data>
</Item>
</Add><Final/></SyncBody>
</SyncMl>
混合联接的设备将密码备份到 Active Directory
此示例演示如何配置混合设备,以将其密码备份到启用了密码加密的 Active Directory:
<SyncMl xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Add>
<CmdId>1</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>2</Data>
</Item>
</Add>
<Add>
<CmdId>2</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>20</Data>
</Item>
</Add>
<Add>
<CmdId>3</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>3</Data>
</Item>
</Add>
<Add>
<CmdId>4</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordLength</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>14</Data>
</Item>
</Add>
<Add>
<CmdId>5</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
<Type>text/plain</Type>
</Meta>
<Data>ContosoLocalLapsAdmin</Data>
</Item>
</Add>
<Add>
<CmdId>6</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordExpirationProtectionEnabled</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
<Type>text/plain</Type>
</Meta>
<Data>True</Data>
</Item>
</Add>
<Add>
<CmdId>7</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionEnabled</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
<Type>text/plain</Type>
</Meta>
<Data>True</Data>
</Item>
</Add>
<Add>
<CmdId>8</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionPrincipal</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
<Type>text/plain</Type>
</Meta>
<Data>LAPSAdmins@contoso.com</Data>
</Item>
</Add>
<Add>
<CmdId>9</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADEncryptedPasswordHistorySize</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>6</Data>
</Item>
</Add>
<Add>
<CmdId>10</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>4</Data>
</Item>
</Add>
<Add>
<CmdId>11</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>5</Data>
</Item>
</Add><Final/></SyncBody>
</SyncMl>