從舊版 LAPS 遷移至 Windows LAPS

2025-05-20
適用於: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows 11, ✅ Windows 10

Windows 本機系統管理員密碼解決方案（Windows LAPS）可協助您使用 Microsoft Entra ID 或 Active Directory，安全地管理 Windows 裝置上的本機系統管理員密碼。本文說明如何從舊版Microsoft LAPS遷移至 Windows LAPS，以改善安全性和管理。

在並存案例中，可以同時使用 Windows LAPS 和舊版 LAPS。若要讓並存案例成功，兩者策略皆須鎖定不同的本機帳戶。不過，您的長期目標應該是從舊版 LAPS 移走至 Windows LAPS。

先決條件

開始移轉程式之前，請確定您已設定 Windows LAPS。如需詳細資訊，請參閱開始使用 Windows LAPS 和 Microsoft Entra ID 或開始使用 Windows LAPS 和 Windows Server Active Directory。

從舊版 LAPS 移轉至現有裝置上的 Windows LAPS 的案例

Microsoft 建議從舊版 LAPS 移轉至 Windows LAPS。本章節會說明在現有裝置上完成該移轉的程序。

有兩種基本方法可以使用。第一種方法是立即轉換，而第二種方法則會有一段並存共存的時期，最後才進行轉換。

立即轉換方法

您可以使用下列程式，從舊版 LAPS 移轉至現有裝置上的 Windows LAPS：

停用或移除舊版 LAPS 政策。
建立並套用 Windows LAPS 原則。
監視受控裝置以確認轉換成功。
拿掉舊版 LAPS 軟體。

前兩個步驟應同時執行 (或盡可能接近)。

設定 Windows LAPS 原則時最簡單的方法是以先前在舊版 LAPS 原則中鎖定的相同帳戶為目標。如果您選擇以不同的帳戶為目標，則必須先建立新帳戶，才能套用 Windows LAPS 原則。如果不再需要，應該移除第一個帳戶。

Windows LAPS 原則也可能設定為包含一些功能，例如備份至 Microsoft Entra ID，或啟用 Active Directory 密碼加密，這些都是舊版 LAPS 無法使用的功能。

第一次套用 Windows LAPS 原則時，受管理裝置會立即輪替本機帳戶密碼。如需詳細資訊，請參閱如何將 Windows LAPS 原則套用至新的用戶端裝置。您應該監視受控裝置，以確保轉換成功。

轉換完成後，最後一個步驟應該是從受控裝置移除舊版 LAPS 軟體。

暫時性並存共存方法

您可能想要實作從舊版 LAPS 到 Windows LAPS 的更漸進式移轉程式。在現有裝置上執行此轉換的高階步驟如下：

使用第二個本機帳戶設定受控裝置。
建立並套用 Windows LAPS 原則。
監視受管理裝置以確認 Windows LAPS 原則的成功應用程式。
停用或移除舊版 LAPS 政策。
拿掉舊版 LAPS 軟體。
拿掉額外的帳戶。

使用這種方法，您必須建立第二個本機帳戶，因為不支援同時以相同帳戶為目標的 Windows LAPS 原則和舊版 LAPS 原則。

確認 Windows LAPS 正常運作之後，您可以視需要讓受管理裝置保持此狀態，再執行其餘移轉步驟。

監督順利的過渡

將受控裝置轉換為 Windows LAPS 原則之後，有多個方法可以監視成功的結果：

您可以監視受控裝置的 Windows LAPS 事件記錄檔通道，以尋找成功的密碼更新事件 (針對 Microsoft Entra ID 或 AD)。集中式事件記錄檔收集解決方案可在這裡提供協助。
在 Active Directory 中儲存密碼時，您可以在受控裝置的 AD 計算機物件上尋找新的或更新 msLAPS-PasswordExpirationTime 屬性的外觀。 Get-LapsADPassword PowerShell Cmdlet 可用來將此分析自動化。
將密碼儲存在 Microsoft Entra ID 中時，您可以檢查 Microsoft Entra ID 或 Intune 管理入口網站，以確認裝置密碼已更新。 Get-LapsAADPassword PowerShell Cmdlet 可用來將此分析自動化。

從受控裝置移除舊版 LAPS 軟體

從受管理裝置移除舊版 LAPS 軟體所需的特定步驟取決於最初安裝該軟體的方式。

如果您使用 MSI 安裝程式套件安裝舊版 LAPS，您可以從新增/移除程式手動卸載舊版 LAPS 軟體，或從裝置上以系統管理員身分執行的命令行執行下列命令：
```
msiexec.exe /q /uninstall {97E2CA7B-B657-4FF7-A6DB-30ECC73E1E28}
```
如果您手動複製並註冊舊版 LAPS CSE AdmPwd.dll 檔案來安裝舊版 LAPS，則必須手動取消註冊，然後刪除 AdmPwd.dll。從以系統管理員身分在裝置上執行的命令行執行下列命令。如果您將 AdmPwd.dll 複製到不同的位置，則需要相應地調整路徑。您可以透過檢查登錄機碼HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}中的DllName值來尋找檔案的位置。
```
regsvr32.exe /s /u AdmPwd.dll
delete C:\windows\system32\AdmPwd.dll
```

後續步驟

配置 Windows LAPS 原則設定