共用方式為


使用 Windows LAPS 事件記錄檔

Windows 區域系統管理員密碼解決方案 (Windows LAPS) 具有專用的事件記錄檔管道。 所有 Windows LAPS 作業都會使用豐富的事件進行追蹤。 深入了解解關鍵事件以及如何檢視記錄檔。

檢視事件記錄檔

若要檢視 Windows LAPS 事件記錄檔管道,請在 Windows Server 事件檢視器中,移至 [應用程式及服務]> [記錄檔]> [Microsoft]> [Windows]> [LAPS]> [作業]

Screenshot of the event log and a Windows LAPS policy processing started event log message.

關鍵事件

請務必注意一些重要的 Windows LAPS 事件,以及如何在事件記錄檔中加以檢視:

  • 原則處理開始和結束事件
  • 原則組態詳細資料
  • 密碼更新確認事件
  • 封鎖的外部密碼修改要求
  • 驗證後動作相關的事件

原則處理週期開始和結束

當 Windows LAPS 開始背景原則處理週期時,作業的進度會在事件記錄檔中加以追蹤。 了解指出每個週期開始和結束的特定事件,可讓您輕鬆地讀取事件記錄檔並了解事件。

每個背景原則處理週期從 10003 事件開始:

LAPS policy processing is now starting.

每個 10003 事件後面都會接著幾個其他事件以描述正在發生的情況。 當週期完成時,最後的事件會將作業標示為成功或失敗。

使用 10004 事件追蹤成功的週期。 10004 事件的範例如下:

LAPS policy processing succeeded.

使用 10005 事件追蹤失敗的週期。 10005 事件的範例如下:

LAPS policy processing failed with the error code below.

Error code: 80070032

如果發生失敗,您可以使用錯誤碼進行疑難排解。 您也可以查看中介事件以取得詳細資訊。

原則組態詳細資料

啟用密碼備份時,會在每個 Windows LAPS 背景原則處理週期期間發出原則組態事件。 事件會記錄每個週期反覆項目的特定原則設定值。

當原則設定為將密碼備份至 Windows Server Active Directory 時,會記錄 10021 事件。 10021 事件的範例如下:

The current LAPS policy is configured as follows:

Policy source: GPO
Backup directory: Active Directory
Local administrator account name:
Password age in days: 30
Password complexity: 4
Password length: 14
Password expiration protection enabled: 1
Password encryption enabled: 1
Password encryption target principal: LapsAdministrators@contoso.com
Password encrypted history size: 12
Backup DSRM password on domain controllers: 0
Post authentication grace period (hours): 8
Post authentication actions: 1

當原則設定為將密碼備份到 Microsoft Entra ID 時,會記錄 10022 事件。 10022 事件的範例如下:

The current LAPS policy is configured as follows:

Policy source: CSP
Backup directory: Azure AD
Local administrator account name: ContosoLocalAdminAccount
Password age in days: 7
Password complexity: 4
Password length: 64
Post authentication grace period (hours): 8
Post authentication actions: 3

當 Windows LAPS 設定為使用舊版 Microsoft LAPS 原則時,會記錄 10023 事件。 10023 事件的範例如下:

The current LAPS policy is configured as follows:

Policy source: Legacy LAPS
Backup directory: Active Directory
Local administrator account name:
Password age in days: 30
Password complexity: 4
Password length: 8
Password expiration protection enabled: 0

這些特定的原則設定值是範例,並且不應視為建議。

密碼更新確認事件

當 Windows LAPS 使用新密碼成功更新設定的目錄 (Windows Server Active Directory 或 Microsoft Entra ID) 時,會記錄成功事件:10018 用於 Windows Server Active Directory 中的密碼更新,10029 用於 Microsoft Entra ID 中的密碼更新。

10018 事件的範例如下:

LAPS successfully updated Active Directory with the new password.

10029 事件的範例如下:

LAPS successfully updated Azure Active Directory with the new password.

當目錄以新密碼更新時,Windows LAPS 也會更新受管理的本機帳戶。 10020 事件會記錄成功。

10020 事件的範例如下:

LAPS successfully updated the local admin account with the new password.

Account name: ContosoLocalAdminAccount
Account RID: 1087

封鎖的外部密碼修改要求

啟用 Windows LAPS 時,它會保護指定受管理帳戶的密碼不受 Windows LAPS 以外任何實體的修改。 嘗試變更密碼時,會記錄 10031 事件。

10031 事件的範例如下:

LAPS blocked an external request that tried to modify the password of the current managed account.

Account name: ContosoLocalAdminAccount
Account RID: 1087

驗證後動作事件

設定驗證後動作時,Windows LAPS 會監視指定的受管理帳戶是否成功進行驗證。 偵測到驗證時,會記錄 10041 事件。

10041 事件的範例如下:

LAPS detected a successful authentication for the currently managed account. A background task has been scheduled to execute the configured post-authentication actions after the configured grace period has expired.%n

Account name: ContosoLocalAdminAccount
Account RID: 1087
Password reset timer deadline: %3%n

當達到 10041 事件中列出的期限時,Windows LAPS 會記錄 10042 事件:

The post-authentication grace period has expired per policy. The configured post-authentication actions will now be executed.

Account name: ContosoLocalAdminAccount
Account RID: 1087

Windows LAPS 接著會嘗試輪替密碼,並執行任何指定的驗證後動作。 密碼輪替成功時,會記錄 10044 事件。

10044 事件的範例如下:

LAPS successfully reset the password for the currently managed account and completed all configured post-authentication actions.%n
%n
Account name: ContosoLocalAdminAccount
Account RID: 1087

如果密碼輪替失敗,則會記錄 10043 事件。 10043 事件的範例如下:

LAPS failed to reset the password for the currently managed account. The password is considered expired due to an authentication event. LAPS will continue retrying the password reset operation until it succeeds.

Account name: ContosoLocalAdminAccount
Account RID: 1087
Password reset retry count: 1
Error code: 80070032

用戶端事件記錄檔與 AD 網域控制站事件記錄檔

Windows LAPS 事件記錄檔管道包含與做為用戶端之本機電腦相關的事件。 Active Directory 網域控制站上的 Windows LAPS 事件記錄檔管道只包含與本機 DSRM 帳戶管理相關的事件(如果已啟用),而且絕不包含任何與已加入網域用戶端行為相關的事件。

下一步