Windows LAPS 的重要概念

發行項
04/05/2024
適用於:

✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows 11, ✅ Windows 10

瞭解 Windows 本機系統管理員密碼解決方案的基本設計和安全性概念，包括：

架構
基本案例流程
背景原則處理週期
Microsoft Entra 密碼
Windows Server Active Directory 密碼
驗證後的密碼重設
帳戶密碼竄改保護
Windows 安全模式

Windows LAPS 架構

下圖描述 Windows LAPS 架構：

顯示受管理裝置、Microsoft Entra ID 和 Windows Server Active Directory 之 Windows LAPS 架構的圖表。

Windows LAPS 架構圖表有數個主要元件：

IT 系統管理員 ：代表可能參與 Windows LAPS 部署的各種 IT 系統管理員角色。 IT 系統管理員角色涉及原則設定、預存密碼的到期或擷取，以及與受控裝置互動。
受控裝置 ：代表您想要管理本機系統管理員帳戶的 Microsoft Entra 加入或已加入 Windows Server Active Directory 的裝置。此功能是由幾個主要二進位檔所組成： 核心邏輯的 laps.dll 、 設定服務提供者（CSP）邏輯的 lapscsp.dll ，以及 PowerShell Cmdlet 邏輯的 lapspsh.dll 。您也可以使用群組原則來設定 Windows LAPS。 Windows LAPS 會回應群組原則物件（GPO）變更通知。受控裝置可以是 Windows Server Active Directory 網域控制站，並設定為備份目錄服務修復模式（DSRM）帳戶密碼。
Windows Server Active Directory ：內部部署 Windows Server Active Directory 部署。
Microsoft Entra ID：在雲端執行的 Microsoft Entra 部署。
Microsoft Intune 慣用的 Microsoft 裝置原則管理解決方案，也會在雲端中執行。

基本案例流程

基本 Windows LAPS 案例的第一個步驟是為您的組織設定 Windows LAPS 原則。建議您使用下列組態選項：

已加入 Microsoft Entra 的裝置：使用 Microsoft Intune。
已加入 Windows Server Active Directory 的裝置 ：使用群組原則。
已向 Microsoft Intune 註冊的 Microsoft Entra 混合式已加入裝置：使用 Microsoft Intune。

使用啟用 Windows LAPS 的原則設定受管理裝置之後，裝置會開始管理已設定的本機帳戶密碼。當密碼過期時，裝置會產生符合目前原則長度和複雜度需求的新隨機密碼。

驗證新密碼時，裝置會將密碼儲存在設定的目錄中，Windows Server Active Directory 或 Microsoft Entra ID。根據目前原則的密碼存留期設定，相關聯的密碼到期時間也會計算並儲存在目錄中。當達到密碼到期時間時，裝置會自動輪替密碼。

當本機帳戶密碼儲存在相關目錄中時，授權的 IT 系統管理員可以存取密碼。儲存在 Microsoft Entra ID 中的密碼會透過角色型存取控制模型來保護。儲存在 Windows Server Active Directory 中的密碼會透過存取控制清單（ACL）保護，也可以選擇性地透過密碼加密來保護。

您可以在正常預期的到期時間之前輪替密碼。使用下列其中一種方法，在排程到期前輪替密碼：

使用 Reset-LapsPassword Cmdlet 手動輪替受控裝置本身的密碼。
在 Windows LAPS CSP 中叫用 ResetPassword Execute 動作。
修改目錄中的密碼到期時間（僅適用于 Windows Server Active Directory）。
當受控帳戶用來向受控裝置進行驗證時，觸發自動輪替。

背景原則處理週期

Windows LAPS 會使用每小時喚醒一次的背景工作來處理目前作用中的原則。此工作不使用 Windows 工作排程器工作來實作，而且不可設定。

當背景工作執行時，它會執行下列基本流程：

描述 Windows LAPS 背景處理週期的流程圖。

Microsoft Entra ID 流程與 Windows Server Active Directory 流程之間的明顯主要差異，與檢查密碼到期時間的方式有關。在這兩種情況下，密碼到期時間會與目錄中的最新密碼並存。

在 Microsoft Entra 案例中，受控裝置不會輪詢 Microsoft Entra ID。相反地，目前的密碼到期時間會在裝置本機維護。

在 Windows Server Active Directory 案例中，受管理裝置會定期輪詢目錄以查詢密碼到期時間，並在密碼到期時執行。

手動啟動原則處理週期

Windows LAPS 會回應群組原則變更通知。您可以透過兩種方式手動啟動原則處理週期：

強制群組原則重新整理。以下為範例：
```
gpupdate.exe /target:computer /force
```
Invoke-LapsPolicyProcessing執行 Cmdlet。這是慣用的方法，因為其範圍更廣。

提示

先前發行的 Microsoft LAPS （舊版 Microsoft LAPS）建置為群組原則（GPO）用戶端延伸模組（CSE）。 GPO CSE 會在每一個群組原則重新整理週期中載入和叫用。舊版 Microsoft LAPS 輪詢週期的頻率與群組原則重新整理週期的頻率相同。 Windows LAPS 不是建置為 CSE，因此其輪詢週期會硬式編碼為每小時一次。 Windows LAPS 不會受到群組原則重新整理週期的影響。

Microsoft Entra 密碼

當您將密碼備份至 Microsoft Entra ID 時，受控本機帳戶密碼會儲存在 Microsoft Entra 裝置物件上。 Windows LAPS 會使用受控裝置的裝置身分識別向 Microsoft Entra ID 進行驗證。儲存在 Microsoft Entra ID 中的資料高度安全，但為了進行額外的保護，密碼在保存之前會進一步加密。在將密碼傳回授權用戶端之前，會移除此額外的加密層。

根據預設，只有全域管理員、雲端裝置管理員和 Intune 系統管理員角色的成員可以擷取純文字密碼。

Windows Server Active Directory 密碼

下列各節提供有關搭配 Windows SERVER Active Directory 使用 Windows LAPS 的重要資訊。

密碼安全性

當您將密碼備份至 Windows Server Active Directory 時，受控本機帳戶密碼會儲存在電腦物件上。 Windows LAPS 會使用兩種機制來保護這些密碼：

ACL
加密的密碼

ACL

Windows Server Active Directory 中的第一線密碼安全性會使用在包含組織單位（OU）的電腦物件上設定的 ACL。 ACL 會繼承至電腦物件本身。您可以使用 Cmdlet 來指定誰可以讀取各種密碼屬性 Set-LapsADReadPasswordPermission 。同樣地，您可以使用 Cmdlet 來指定誰可以讀取和設定密碼到期時間屬性 Set-LapsADResetPasswordPermission 。

加密的密碼

第二行密碼安全性會使用 Windows Server Active Directory 密碼加密功能。若要使用 Windows Server Active Directory 密碼加密，您的網域必須在 Windows Server 2016 網域功能等級（DFL）或更新版本執行。啟用時，會先加密密碼，讓只有特定安全性主體（群組或使用者）才能解密密碼。在裝置將密碼傳送至目錄之前，密碼加密會在受控裝置本身發生。

重要

強烈建議您在 Windows Server Active Directory 中儲存 Windows LAPS 密碼時啟用密碼加密。
Microsoft 不支援在執行 Windows Server 2016 DFL 之前執行 DFL 的網域中擷取先前解密的 LAPS 密碼。視執行 Windows Server 2016 之前版本的網域控制站是否升級至網域而定，此作業可能或可能不會成功。

使用者群組許可權

當您設計密碼擷取安全性模型時，請考慮下圖中的資訊：

顯示 Windows LAPS 密碼安全性層級的圖表。

此圖說明建議的 Windows Server Active Directory 密碼安全性層級及其彼此的關聯性。

最外層的圓形 (綠色) 是由授與讀取或設定目錄中電腦物件之密碼到期時間屬性之許可權的安全性主體所組成。這項功能是敏感性許可權，但被視為不具破壞性。取得此許可權的攻擊者可以強制受控裝置更頻繁地輪替其受控裝置。

中間圈 (黃色) 是由授與許可權在目錄中電腦物件上讀取或設定密碼屬性的安全性主體所組成。這項功能是敏感性許可權，應謹慎監視。最安全的方法是為 Domain Admins 安全性群組的成員保留此層級的許可權。

內部圓形（紅色）僅適用于啟用密碼加密時。內部圓形是由授與目錄中電腦物件上加密密碼屬性之解密許可權的群組或使用者所組成。就像中間圈中的許可權一樣，這項功能是敏感性許可權，應該仔細監視。最安全的方法是為 Domain Admins 群組的成員保留此層級的許可權。

重要

請考慮自訂安全性層級，以符合組織中受管理機器的敏感度。例如，服務台系統管理員可以存取前端 IT 背景工作角色裝置可能可以接受，但您可能想要為公司執行膝上型電腦設定更緊密的界限。

密碼加密

Windows LAPS 密碼加密功能是以密碼編譯 API：新一代資料保護 API （CNG DPAPI）為基礎。 CNG DPAPI 支援多個加密模式，但 Windows LAPS 僅支援針對單一 Windows Server Active Directory 安全性主體（使用者或群組）加密密碼。基礎加密是以進階加密標準 256 位金鑰（AES-256）加密為基礎。

您可以使用 ADPasswordEncryptionPrincipal 原則設定來設定特定的安全性主體來加密密碼。如果未指定 ADPasswordEncryptionPrincipal，Windows LAPS 會針對受控裝置網域的 Domain Admins 群組加密密碼。在受控裝置加密密碼之前，裝置一律會驗證指定的使用者或群組是否可解析。

提示

Windows LAPS 僅支援對單一安全性主體加密密碼。 CNG DPAPI 確實支援對多個安全性主體進行加密，但 Windows LAPS 不支援此模式，因為它會造成加密密碼緩衝區的大小膨脹。如果您需要將解密許可權授與多個安全性主體，若要解析條件約束，您可以建立包裝函式群組，讓所有相關的安全性主體成為成員。
在加密密碼之後，無法變更已獲授權解密密碼的安全性主體。

加密的密碼歷程記錄

Windows LAPS 支援已加入網域的 Windows Server Active Directory 用戶端和網域控制站的密碼歷程記錄功能。只有在啟用密碼加密時，才支援密碼歷程記錄。如果您在 Windows Server Active Directory 中儲存純文字密碼，則不支援密碼歷程記錄。

啟用加密密碼歷程記錄並輪替密碼時，受管理裝置會先從 Windows Server Active Directory 讀取目前加密的密碼版本。然後，目前的密碼會新增至密碼歷程記錄。記錄中的舊版密碼會視需要刪除，以符合設定的最大歷程記錄限制。

提示

若要讓密碼歷程記錄功能能夠運作，受控裝置必須獲得 SELF 許可權，才能從 Windows Server Active Directory 讀取目前版本的加密密碼。當您執行 Set-LapsADComputerSelfPermission Cmdlet 時，會自動處理此需求。

重要

我們建議您永遠不要將許可權授與受控裝置，以解密任何裝置的加密密碼，包括裝置本身。

DSRM 密碼支援

Windows LAPS 支援備份 Windows Server 網域控制站上的 DSRM 帳戶密碼。 DSRM 帳戶密碼只能備份至 Windows Server Active Directory，如果已啟用密碼加密，則為。否則，這項功能的運作方式與已加入 Windows Server Active Directory 之用戶端的加密密碼支援運作方式幾乎完全相同。

不支援將 DSRM 密碼備份至 Microsoft Entra ID。

重要

啟用 DSRM 密碼備份時，如果該網域中至少有一個網域控制站可供存取，則會擷取任何網域控制站目前的 DSRM 密碼。

請考慮一個災難性的案例，其中網域中的所有域控制器都已關閉。在此情況下，只要您已根據 Active Directory 最佳做法維護一般備份，您仍然可以使用 AD 災害復原案例期間擷取密碼中所述的程式，從備份復原 DSRM 密碼。

驗證後的密碼重設

如果 Windows LAPS 偵測到本機系統管理員帳戶用於驗證，則支援自動輪替本機系統管理員帳戶密碼。這項功能旨在系結可使用純文字密碼的時間量。您可以設定寬限期，讓使用者有時間完成其預定動作。

網域控制站上的 DSRM 帳戶不支援驗證後的密碼重設。

帳戶密碼竄改保護

當 Windows LAPS 設定為管理本機系統管理員帳戶密碼時，該帳戶會受到保護，以防止意外或粗心竄改。當 Windows LAPS 管理 Windows Server Active Directory 網域控制站上的帳戶時，此保護會延伸到 DSRM 帳戶。

Windows LAPS 會拒絕使用（0xC000A08B）或 ERROR_POLICY_CONTROLLED_ACCOUNT （0x21CE\8654）錯誤來修改帳戶的密碼 STATUS_POLICY_CONTROLLED_ACCOUNT 未預期的嘗試。 Windows LAPS 事件記錄檔通道中的 10031 事件會指出每個這類拒絕。

在 Windows 安全模式中停用

當 Windows 在安全模式、DSRM 模式或其他任何非正常啟動模式下啟動時，Windows LAPS 會停用。即使受控帳戶處於過期狀態，在此期間也不備份受控帳戶的密碼。

Windows LAPS 與智慧卡原則整合

啟用「互動式登入：需要 Windows Hello for Business 或智慧卡」原則 (也稱為 SCForceOption) 時，會豁免 Windows LAPS 管理的帳戶。請參閱其他智慧卡組原則設定和登錄機碼。

Windows LAPS OS 映像復原偵測和風險降低

當即時 OS 映像復原為舊版時，結果通常是「損毀」狀態，其中儲存在目錄中的密碼不再符合儲存在本機裝置上的密碼。例如，當 Hyper-V 虛擬機器還原至先前的快照集時，可能會發生此問題。

發生問題之後，IT 管理員就無法使用保存的 Windows LAPS 密碼登入裝置。在 Windows LAPS 輪替密碼之前，問題無法解決，但根據目前的密碼到期日，可能數天或數周都不會發生。

Windows LAPS 會藉由將隨機 GUID 寫入目錄，同時保存新的密碼，然後儲存本機複本，以減輕此問題。 GUID 儲存在 msLAPS-CurrentPasswordVersion 屬性中。在每個處理周期期間，會查詢 msLAPS-CurrentPasswordVersion guid，並將其與本機複本做比較。如果兩個 GUID 不同，則會立即輪替密碼。

只有在將密碼備份至 Active Directory 時，才會支援此功能。不支援 Microsoft Entra ID。

重要

只有在計算機仍有有效的計算機帳戶密碼且能夠向 Active Directory 進行驗證時，Windows LAPS 復原偵測和風險降低才能運作。根據復原所造成的不相符狀態，該條件可能或可能不是 true。如果計算機無法再進行驗證，則需要其他復原步驟，例如重設計算機帳戶密碼。如果已啟用 Windows LAPS 密碼歷程記錄功能，還原電腦上的 Windows LAPS 帳戶可能仍然很有用。

重要

Windows 11 24H2、Windows Server 2025 和更新版本支援 Windows LAPS OS 映像復原偵測和風險降低功能。在執行最新的 Update-LapsADSchema PowerShell Cmdlet 之前，此功能都無法運作，這會將新的 msLAPS-CurrentPasswordVersion 結構描述屬性新增至 Active Directory 結構描述。

另請參閱

下一步

既然您已瞭解 Windows LAPS 設計的基本概念，請開始使用下列其中一個案例：

共用方式為