您可以設定 Windows 本機系統管理員密碼解決方案 (Windows LAPS) 以接受舊版 Microsoft LAPS 組策略設定,但有一些限制。 此功能稱為 舊版Microsoft LAPS 模擬模式。 如果您將舊版Microsoft LAPS 的現有部署移轉至 Windows LAPS,您可以使用模擬模式。
如同Microsoft LAPS,模擬模式僅支援以純文本格式儲存 Windows Server Active Directory 中的密碼。 若要提高安全性,建議您以原生方式移轉至使用 Windows LAPS,以便利用密碼加密。
安裝和設定
當您在舊版Microsoft LAPS 模擬模式中設定 Windows LAPS 時,Windows LAPS 會假設您的 Windows Server Active Directory 環境已設定為執行舊版Microsoft LAPS。 如需舊版Microsoft LAPS 組態的詳細資訊,請參閱舊版Microsoft LAPS 檔。
需求和限制
下列需求和限制適用於舊版 Microsoft LAPS 模擬模式支援:
Windows LAPS 不支援新增舊版 Microsoft LAPS Windows Server Active Directory 架構。
您必須在域控制器或其他管理用戶端上安裝舊版Microsoft LAPS,才能使用舊版Microsoft LAPS 架構元素來擴充 Windows Server Active Directory 架構。 使用
Update-AdmPwdADSchemacmdlet 指令來擴展架構。 Windows LAPSUpdate-LapsADSchemaCmdlet 不會新增舊版Microsoft LAPS 架構元素。Windows LAPS 不會安裝舊版Microsoft LAPS 組策略定義檔案。
若要定義和管理舊版Microsoft LAPS 組策略,您必須在域控制器或其他管理用戶端上安裝舊版Microsoft LAPS。
Windows LAPS 不支援管理舊版 Microsoft LAPS Active Directory 訪問控制清單 (ACL)。
若要管理舊版Microsoft LAPS Windows Server Active Directory ACL,您必須在域控制器或其他管理用戶端上安裝舊版Microsoft LAPS。 例如,若要使用
Set-AdmPwdComputerSelfPermissionscmdlet。無法將其他 Windows LAPS 原則套用至電腦。
如果電腦上存在 Windows LAPS 政策,則不論其套用方式為何,它始終優先(配置服務提供者、群組原則物件或原始登錄修改)。 如果 Windows LAPS 原則存在,一律會忽略舊版Microsoft LAPS 原則。 如需詳細資訊,請參閱 Windows LAPS 原則設定。
舊版Microsoft LAPS 不得安裝在機器上。
此限制可避免 Windows LAPS 和舊版 Microsoft LAPS 同時嘗試管理相同本機系統管理員帳戶的情況。 讓兩個實體管理相同的帳戶是安全性風險,且不受支援。
針對仿真功能,只要安裝舊版 Microsoft LAPS 組策略用戶端側擴充(CSE),便視為已安裝舊版 Microsoft LAPS。 若要偵測擴充功能,請查詢
DllName此登錄機碼下的登錄值:HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}當 DllName 值存在且其值參考磁碟上的檔案時(該檔案未被載入或經過驗證),就會被視為舊版 Microsoft LAPS 已安裝。
Windows Server Active Directory 使用者和電腦管理控制台不支援讀取或寫入舊版Microsoft LAPS 架構屬性。
Windows LAPS 在 Windows Server Active Directory 域控制器上設定 Windows LAPS 時,一律會忽略舊版Microsoft LAPS 原則。
舊版 LAPS 原則中不支援的所有 Windows LAPS 原則旋鈕預設為停用或預設設定。
例如,當您在舊版Microsoft LAPS 模擬模式中執行 Windows LAPS 時,您無法設定 Windows LAPS 來執行加密密碼或將密碼儲存至 Microsoft Entra ID 等工作。
如果滿足所有這些條件約束,Windows LAPS 會接受舊版Microsoft LAPS 組策略設定。 指定的受控本機系統管理員帳戶管理方式與舊版 Microsoft LAPS 中的管理方式相同。
停用舊版Microsoft LAPS 模擬模式
Windows LAPS 在規劃從舊版Microsoft LAPS 進行部署或移轉時,必須瞭解這一點。 一旦裝置加入 Microsoft Entra ID 或 Windows Server Active Directory,Windows LAPS 就一律存在且作用中。 舊版Microsoft LAPS CSE 的安裝通常用來控制何時強制執行舊版Microsoft LAPS 原則的機制。 Windows LAPS 是內建的 Windows 功能,一旦套用至裝置,Windows LAPS 就會立即開始強制執行舊版Microsoft LAPS 原則。 這類立即強制執行可能會造成干擾,例如,如果在設定和設定工作流程期間發生新作系統的強制執行。
若要防止這類潛在中斷,您可以在BackupDirectory機碼下創建一個名為HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\Config的REG_DWORD登錄值,並將其值設定為零(0),以停用舊版Microsoft LAPS模擬模式。 設定此值可防止 Windows LAPS 進入舊版 Microsoft LAPS 模擬模式,不論是否已安裝舊版 Microsoft LAPS CSE。 這個值可以暫時或永久使用。 設定新的 Windows LAPS 原則時,該新原則優先。 如需 Windows LAPS 原則優先順序排序的詳細資訊,請參閱 設定 Windows LAPS 原則設定。
有限的系統管理支援
Cmdlet Get-LapsADPassword 支援擷取舊版 Microsoft LAPS 密碼屬性 (ms-Mcs-AdmPwd)。 結果輸出中的 Account 和 PasswordUpdateTime 欄位一律為空白。 For example:
PS C:\> Get-LapsADPassword -Identity lapsAD2 -AsPlainText
ComputerName : LAPSAD2
DistinguishedName : CN=LAPSAD2,OU=LapsTestOU,DC=laps,DC=com
Account :
Password : <masked>
PasswordUpdateTime :
ExpirationTimestamp : 7/31/2022 12:43:10 PM
Source : LegacyLapsCleartextPassword
DecryptionStatus : NotApplicable
AuthorizedDecryptor : NotApplicable
Cmdlet Set-LapsADPasswordExpirationTime 不支援過期或修改舊版 Microsoft LAPS 密碼到期屬性 (ms-Mcs-AdmPwdExpirationTime)。
Windows Server Active Directory 使用者和計算機管理控制台中的 Windows LAPS 屬性頁不支持顯示或管理舊版Microsoft LAPS 屬性。
Logging
當 Windows LAPS 以舊版Microsoft LAPS 模擬模式執行時,會記錄 10023 事件以詳細說明目前的原則設定:
否則,當 Windows LAPS 未以舊版Microsoft LAPS 模擬模式執行時所記錄的相同事件,也會在舊版Microsoft LAPS 模擬模式中執行時記錄。
See also
本文不會詳細說明如何管理舊版Microsoft LAPS 的其他層面。 如需詳細資訊,請參閱下載頁面上的舊版 Microsoft LAPS 檔: