共用方式為


LAPS CSP

企業會使用本機系統管理員密碼解決方案 (LAPS) 設定服務提供者 (CSP) 來管理本機系統管理員帳戶密碼的備份。 Windows 支援與 LAPS CSP 完全不同的 LAPS 群組原則 Object。 許多不同的設定在 LAPS GPO 和 CSP 之間很常見 (GPO 不支援任何動作相關的設定) 。 只要至少透過 CSP 設定一個 LAPS 設定,就會忽略任何 GPO 設定的設定。 另請 參閱設定 Windows LAPS 的原則設定

注意

如需使用 Windows LAPS CSP 和相關聯功能所需之特定 OS 更新的詳細資訊,以及 Microsoft Entra LAPS 案例的目前狀態,請參閱 Windows LAPS 可用性和 Microsoft Entra LAPS 公開預覽狀態

提示

本文涵蓋 LAPS CSP 的特定技術詳細數據。 如需使用 LAPS CSP 案例的詳細資訊,請參閱 Windows 本機系統管理員密碼解決方案

下列清單顯示 LAPS 設定服務提供者節點:

動作

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅ [10.0.20348.1663] 和更新版本
✅ [10.0.25145] 和更新版本
✅Windows 10 版本 1809 [10.0.17763.4244] 和更新版本
✅Windows 10 版本 2004 [10.0.19041.2784] 和更新版本
✅Windows 11 版本 21H2 [10.0.22000.1754] 和更新版本
✅Windows 11 版本 22H2 [10.0.22621.1480] 和更新版本
./Device/Vendor/MSFT/LAPS/Actions

定義 LAPS CSP 中所有動作相關設定的父內部節點。

描述架構屬性:

屬性名稱 屬性值
格式 node
存取類型 [取得]

Actions/ResetPassword

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅ [10.0.20348.1663] 和更新版本
✅ [10.0.25145] 和更新版本
✅Windows 10 版本 1809 [10.0.17763.4244] 和更新版本
✅Windows 10 版本 2004 [10.0.19041.2784] 和更新版本
✅Windows 11 版本 21H2 [10.0.22000.1754] 和更新版本
✅Windows 11 版本 22H2 [10.0.22621.1480] 和更新版本
./Device/Vendor/MSFT/LAPS/Actions/ResetPassword

使用此設定可指示 CSP 立即產生並儲存受控本機系統管理員帳戶的新密碼。

此動作會叫用立即重設本機系統管理員帳戶密碼,並忽略一般條件約束,例如PasswordLengthDays等。

描述架構屬性:

屬性名稱 屬性值
格式 null
存取類型 Exec

Actions/ResetPasswordStatus

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅ [10.0.20348.1663] 和更新版本
✅ [10.0.25145] 和更新版本
✅Windows 10 版本 1809 [10.0.17763.4244] 和更新版本
✅Windows 10 版本 2004 [10.0.19041.2784] 和更新版本
✅Windows 11 版本 21H2 [10.0.22000.1754] 和更新版本
✅Windows 11 版本 22H2 [10.0.22621.1480] 和更新版本
./Device/Vendor/MSFT/LAPS/Actions/ResetPasswordStatus

使用此設定來查詢上次提交的 ResetPassword 執行動作的狀態。

傳回的值為 HRESULT 程式代碼:

  • S_OK (0x0) :最後提交的 ResetPassword 動作成功。
  • E_PENDING (0x8000000) :最後提交的 ResetPassword 動作仍在執行中。
  • 其他:上次提交的 ResetPassword 動作發生傳回的錯誤。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 [取得]
預設值 0

原則

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅ [10.0.20348.1663] 和更新版本
✅ [10.0.25145] 和更新版本
✅Windows 10 版本 1809 [10.0.17763.4244] 和更新版本
✅Windows 10 版本 2004 [10.0.19041.2784] 和更新版本
✅Windows 11 版本 21H2 [10.0.22000.1754] 和更新版本
✅Windows 11 版本 22H2 [10.0.22621.1480] 和更新版本
./Device/Vendor/MSFT/LAPS/Policies

LAPS 原則的根節點。

描述架構屬性:

屬性名稱 屬性值
格式 node
存取類型 [取得]
需要不可部分完成 True

Policies/ADEncryptedPasswordHistorySize

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅ [10.0.20348.1663] 和更新版本
✅ [10.0.25145] 和更新版本
✅Windows 10 版本 1809 [10.0.17763.4244] 和更新版本
✅Windows 10 版本 2004 [10.0.19041.2784] 和更新版本
✅Windows 11 版本 21H2 [10.0.22000.1754] 和更新版本
✅Windows 11 版本 22H2 [10.0.22621.1480] 和更新版本
./Device/Vendor/MSFT/LAPS/Policies/ADEncryptedPasswordHistorySize

使用此設定可設定 Active Directory 中會記住多少個先前加密的密碼。

如果未指定,此設定將預設為0個密碼, (停用) 。

此設定的最小允許值為0個密碼。

此設定的最大允許值為12個密碼。

重要

除非 ADPasswordEncryptionEnabled 設定為 True 且符合所有其他必要條件,否則會忽略此設定。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
允許的值 範圍: [0-12]
預設值 0
相依性 [BackupDirectory] 相依性類型: DependsOn
相依性 URI: Vendor/MSFT/LAPS/Policies/BackupDirectory
相依性允許的值: 2
相依性允許的值類型: ENUM

Policies/AdministratorAccountName

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅ [10.0.20348.1663] 和更新版本
✅ [10.0.25145] 和更新版本
✅Windows 10 版本 1809 [10.0.17763.4244] 和更新版本
✅Windows 10 版本 2004 [10.0.19041.2784] 和更新版本
✅Windows 11 版本 21H2 [10.0.22000.1754] 和更新版本
✅Windows 11 版本 22H2 [10.0.22621.1480] 和更新版本
./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName

使用此設定來設定受控本機系統管理員帳戶的名稱。

如果未指定,預設的內建本機系統管理員帳戶會由已知的 SID (找到,即使重新命名) 。

如果指定,則會管理指定帳戶的密碼。

請注意,如果在此設定中指定了自定義的受控本機系統管理員帳戶名稱,則必須透過其他方式建立該帳戶。 在此設定中指定名稱並不會建立帳戶。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

Policies/ADPasswordEncryptionEnabled

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅ [10.0.20348.1663] 和更新版本
✅ [10.0.25145] 和更新版本
✅Windows 10 版本 1809 [10.0.17763.4244] 和更新版本
✅Windows 10,版本 2004 [10.0.19041.2784] 和更新版本
✅Windows 11 版本 21H2 [10.0.22000.1754] 和更新版本
✅Windows 11 版本 22H2 [10.0.22621.1480] 和更新版本
./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionEnabled

使用此設定來設定密碼是否在儲存在 Active Directory 之前加密。

如果密碼目前儲存在 Microsoft Entra ID 中,則會忽略此設定。

只有當 Active Directory 網域位於 Windows Server 2016 網域功能等級或更高等級時,才會接受此設定。

  • 如果啟用此設定,且 Active Directory 網域符合 DFL 必要條件,則密碼會先加密,再儲存在 Active Directory 中。

  • 如果停用此設定,或 Active Directory 網域不符合 DFL 必要條件,密碼會以純文本方式儲存在 Active Directory 中。

如果未指定,此設定預設為 True。

重要

除非BackupDirectory 設定為將密碼備份至Active Directory,而且Active Directory 網域位於 Windows Server 2016 網域功能等級或更高版本,否則會忽略此設定。

描述架構屬性:

屬性名稱 屬性值
格式 bool
存取類型 新增、刪除、取得、取代
預設值 True
相依性 [BackupDirectory] 相依性類型: DependsOn
相依性 URI: Vendor/MSFT/LAPS/Policies/BackupDirectory
相依性允許的值: 2
相依性允許的值類型: ENUM

允許的值:

描述
false 將密碼以純文字格式儲存在 Active Directory 中。
true (預設) 以加密格式將密碼儲存在 Active Directory 中。

Policies/ADPasswordEncryptionPrincipal

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅ [10.0.20348.1663] 和更新版本
✅ [10.0.25145] 和更新版本
✅Windows 10 版本 1809 [10.0.17763.4244] 和更新版本
✅Windows 10,版本 2004 [10.0.19041.2784] 和更新版本
✅Windows 11 版本 21H2 [10.0.22000.1754] 和更新版本
✅Windows 11 版本 22H2 [10.0.22621.1480] 和更新版本
./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionPrincipal

使用此設定來設定使用者或群組的名稱或 SID,以解密儲存在 Active Directory 中的密碼。

如果密碼目前儲存在 Microsoft Entra ID 中,則會忽略此設定。

如果未指定,裝置網域中的 Domain Admins 群組將可解密密碼。

如果指定,指定的使用者或群組將能夠解密儲存在 Active Directory 中的密碼。

如果指定的使用者或組帳戶無效,裝置會回復為使用裝置網域中的 Domain Admins 群組。

重要

除非 ADPasswordEncryptionEnabled 設定為 True 且符合所有其他必要條件,否則會忽略此設定。 儲存在此設定中的字串必須是字串形式的SID,或是使用者或群組的完整名稱。 有效範例包括:

  • S-1-5-21-2127521184-1604012920-1887927527-35197
  • contoso\LAPSAdmins
  • lapsadmins@contoso.com

由 SID 或使用者組名) 識別 (的主體必須存在且可由裝置解析。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代
相依性 [BackupDirectory] 相依性類型: DependsOn
相依性 URI: Vendor/MSFT/LAPS/Policies/BackupDirectory
相依性允許的值: 2
相依性允許的值類型: ENUM

Policies/AutomaticAccountManagementEnableAccount

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 11 版本 24H2 [10.0.26100] 和更新版本
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnableAccount

使用此設定來設定自動管理的帳戶是啟用還是停用。

  • 如果啟用此設定,將會啟用目標帳戶。

  • 如果停用此設定,將會停用目標帳戶。

如果未指定,此設定預設為 False。

描述架構屬性:

屬性名稱 屬性值
格式 bool
存取類型 新增、刪除、取得、取代
預設值 False
相依性 [AutomaticAccountManagementEnabled] 相依性類型: DependsOn
相依性 URI: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled
相依性允許的值: true
相依性允許的值類型: ENUM

允許的值:

描述
False (預設) 目標帳戶將會停用。
True 將會啟用目標帳戶。

Policies/AutomaticAccountManagementEnabled

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 11 版本 24H2 [10.0.26100] 和更新版本
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled

使用此設定來指定是否已啟用自動帳戶管理。

  • 如果啟用此設定,將會自動管理目標帳戶。

  • 如果停用此設定,將不會自動管理目標帳戶。

如果未指定,此設定預設為 False。

描述架構屬性:

屬性名稱 屬性值
格式 bool
存取類型 新增、刪除、取得、取代
預設值 False

允許的值:

描述
false (預設) 目標帳戶不會自動管理。
true 系統會自動管理目標帳戶。

Policies/AutomaticAccountManagementNameOrPrefix

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 11 版本 24H2 [10.0.26100] 和更新版本
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementNameOrPrefix

使用此設定來設定受控本機系統管理員帳戶的名稱或前置詞。

如果指定,則會使用值做為受管理帳戶的名稱或名稱前置詞。

如果未指定,此設定會預設為 「WLapsAdmin」。。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代
相依性 [AutomaticAccountManagementEnabled] 相依性類型: DependsOn
相依性 URI: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled
相依性允許的值: true
相依性允許的值類型: ENUM

Policies/AutomaticAccountManagementRandomizeName

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 11 版本 24H2 [10.0.26100] 和更新版本
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementRandomizeName

使用此設定可設定自動受管理帳戶的名稱是否在每次輪替密碼時使用隨機數值後綴。

如果啟用此設定,目標帳戶的名稱將會使用隨機數值後綴。

如果此設定已解除,目標帳戶的名稱將不會使用隨機數值後綴。

如果未指定,此設定預設為 False。

描述架構屬性:

屬性名稱 屬性值
格式 bool
存取類型 新增、刪除、取得、取代
預設值 False
相依性 [AutomaticAccountManagementEnabled] 相依性類型: DependsOn
相依性 URI: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled
相依性允許的值: true
相依性允許的值類型: ENUM

允許的值:

描述
False (預設) 目標帳戶的名稱不會使用隨機數值後綴。
True 目標帳戶的名稱將會使用隨機數值後綴。

Policies/AutomaticAccountManagementTarget

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 11 版本 24H2 [10.0.26100] 和更新版本
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementTarget

使用此設定可設定自動管理的帳戶。

允許的設定如下:

0=將管理內建系統管理員帳戶。

1=將會管理 Windows LAPS 所建立的新帳戶。

如果未指定,此設定預設為1。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 1
相依性 [AutomaticAccountManagementEnabled] 相依性類型: DependsOn
相依性 URI: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled
相依性允許的值: true
相依性允許的值類型: ENUM

允許的值:

說明
0 管理內建系統管理員帳戶。
1 (預設) 管理新的自定義系統管理員帳戶。

Policies/BackupDirectory

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅ [10.0.20348.1663] 和更新版本
✅ [10.0.25145] 和更新版本
✅Windows 10 版本 1809 [10.0.17763.4244] 和更新版本
✅Windows 10 版本 2004 [10.0.19041.2784] 和更新版本
✅Windows 11 版本 21H2 [10.0.22000.1754] 和更新版本
✅Windows 11 版本 22H2 [10.0.22621.1480] 和更新版本
./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory

使用此設定來設定要備份本機系統管理員帳戶密碼的目錄。

允許的設定如下:

0=停用 (密碼將不會備份) 1=將密碼備份為僅 Microsoft Entra ID 2=僅將密碼備份至 Active Directory。

如果未指定,此設定預設為 0。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
0 (預設值) 停用 (密碼將不會備份) 。
1 僅備份密碼以 Microsoft Entra ID。
2 僅將密碼備份至 Active Directory。

Policies/PassphraseLength

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 11 版本 24H2 [10.0.26100] 和更新版本
./Device/Vendor/MSFT/LAPS/Policies/PassphraseLength

使用此設定來設定複雜密碼字組的數目。

如果未指定,此設定預設為6個單字。

此設定的最小允許值為 3 個字。

此設定的最大允許值為10個字。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
允許的值 範圍: [3-10]
預設值 6
相依性 [PasswordComplexity] 相依性類型: DependsOn
相依性 URI: Vendor/MSFT/LAPS/Policies/PasswordComplexity
相依性允許的值: [6-8]
相依性允許的值類型: Range

Policies/PasswordAgeDays

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅ [10.0.20348.1663] 和更新版本
✅ [10.0.25145] 和更新版本
✅Windows 10 版本 1809 [10.0.17763.4244] 和更新版本
✅Windows 10,版本 2004 [10.0.19041.2784] 和更新版本
✅Windows 11 版本 21H2 [10.0.22000.1754] 和更新版本
✅Windows 11 版本 22H2 [10.0.22621.1480] 和更新版本
./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays

使用此原則來設定受控本機系統管理員帳戶的密碼存留期上限。

如果未指定,此設定預設為30天。

支持密碼 內部部署的 Active Directory 時,此設定的最小允許值為 1 天,而支持密碼 Microsoft Entra ID 時為 7 天。

此設定的最大允許值為365天。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
允許的值 範圍: [1-365]
預設值 30
相依性 [BackupDirectoryAADMode BackupDirectoryADMode] 相依性類型: DependsOn DependsOn
相依性 URI: Vendor/MSFT/LAPS/Policies/BackupDirectory Vendor/MSFT/LAPS/Policies/BackupDirectory
相依性允許的值:
相依性允許的值類型: ENUM ENUM

Policies/PasswordComplexity

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅ [10.0.20348.1663] 和更新版本
✅ [10.0.25145] 和更新版本
✅Windows 10 版本 1809 [10.0.17763.4244] 和更新版本
✅Windows 10,版本 2004 [10.0.19041.2784] 和更新版本
✅Windows 11 版本 21H2 [10.0.22000.1754] 和更新版本
✅Windows 11 版本 22H2 [10.0.22621.1480] 和更新版本
./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity

使用此設定來設定受控本機系統管理員帳戶的密碼複雜度。

允許的設定如下:

1=大寫字母 2=大寫字母 + 小寫字母 3=大寫字母 + 小字母 + 數位 4=大寫字母 + 小字母 + 數位 + 特殊字元 5=大寫字母 + 小字母 + 數位 + 特殊字元 (改善可讀性) 6=複雜密碼 (長字) 7=複雜密碼 (短字) 8=複雜密碼 (具有唯一前置詞)

如果未指定,此設定預設為 4。

複雜密碼清單取自電子新領域基礎的「深入探討:隨機複雜密碼的 EFF 新字組清單」,並以 CC-BY-3.0 屬性授權使用。 如需相關資訊,請參閱 https://go.microsoft.com/fwlink/?linkid=2255471

重要

Windows 僅支援較低的密碼複雜度設定 (1、2 和 3) ,以便與舊版 LAPS 的回溯相容性。 Microsoft建議一律將此設定設定為 4。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 4

允許的值:

描述
1 大寫字母。
2 大寫字母 + 小字母。
3 大寫字母 + 小寫字母 + 數位。
4 (預設) 大寫字母 + 小寫字母 + 數位 + 特殊字元。
5 大寫字母 + 小字母 + 數位 + 特殊字元 (改善可讀性) 。
6 複雜密碼 (長字) 。
7 複雜密碼 (簡短文字) 。
8 複雜密碼 (具有唯一前置詞) 的簡短文字。

Policies/PasswordExpirationProtectionEnabled

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅ [10.0.20348.1663] 和更新版本
✅ [10.0.25145] 和更新版本
✅Windows 10 版本 1809 [10.0.17763.4244] 和更新版本
✅Windows 10,版本 2004 [10.0.19041.2784] 和更新版本
✅Windows 11,版本 21H2 [10.0.22000.1754] 和更新版本
✅Windows 11 版本 22H2 [10.0.22621.1480] 和更新版本
./Device/Vendor/MSFT/LAPS/Policies/PasswordExpirationProtectionEnabled

使用此設定可為受控本機系統管理員帳戶設定額外的密碼最長使用期限強制執行。

啟用此設定時,不允許導致密碼存留期大於 「PasswordAgeDays」 原則所指定密碼期限的計劃性密碼到期。 偵測到這類到期時,會立即變更密碼,並根據原則設定新的密碼到期日。

如果未指定,此設定預設為 True。

重要

除非BackupDirectory 設定為將密碼備份至Active Directory,否則會忽略此設定。

描述架構屬性:

屬性名稱 屬性值
格式 bool
存取類型 新增、刪除、取得、取代
預設值 True
相依性 [BackupDirectory] 相依性類型: DependsOn
相依性 URI: Vendor/MSFT/LAPS/Policies/BackupDirectory
相依性允許的值: 2
相依性允許的值類型: ENUM

允許的值:

描述
false 允許設定的密碼到期時間戳超過密碼存留期上限。
true (預設) 不允許設定的密碼到期時間戳超過密碼存留期上限。

Policies/PasswordLength

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅ [10.0.20348.1663] 和更新版本
✅ [10.0.25145] 和更新版本
✅Windows 10 版本 1809 [10.0.17763.4244] 和更新版本
✅Windows 10,版本 2004 [10.0.19041.2784] 和更新版本
✅Windows 11,版本 21H2 [10.0.22000.1754] 和更新版本
✅Windows 11 版本 22H2 [10.0.22621.1480] 和更新版本
./Device/Vendor/MSFT/LAPS/Policies/PasswordLength

使用此設定來設定受控本機系統管理員帳戶的密碼長度。

如果未指定,此設定預設為14個字元。

此設定的最小允許值為8個字元。

此設定允許的最大值為 64 個字元。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
允許的值 範圍: [8-64]
預設值 14
相依性 [PasswordComplexity] 相依性類型: DependsOn
相依性 URI: Vendor/MSFT/LAPS/Policies/PasswordComplexity
相依性允許的值: [1-5]
相依性允許的值類型: Range

Policies/PostAuthenticationActions

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅ [10.0.20348.1663] 和更新版本
✅ [10.0.25145] 和更新版本
✅Windows 10 版本 1809 [10.0.17763.4244] 和更新版本
✅Windows 10 版本 2004 [10.0.19041.2784] 和更新版本
✅Windows 11,版本 21H2 [10.0.22000.1754] 和更新版本
✅Windows 11 版本 22H2 [10.0.22621.1480] 和更新版本
./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions

使用此設定來指定在設定的寬限期到期時要採取的動作。

如果未指定,此設定將預設為 3 (重設密碼並註銷受管理帳戶) 。

重要

允許的驗證後動作旨在協助限制在重設之前,可能會使用LAPS密碼的時間量。 註銷受管理的帳戶或重新啟動裝置是協助確保這一點的選項。 登入會話突然終止或重新啟動裝置,可能會導致數據遺失。

重要

從安全性觀點來看,使用有效 LAPS 密碼在裝置上取得系統管理許可權的惡意使用者,具有防止或規避這些機制的最終能力。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 3

允許的值:

描述
1 重設密碼:寬限期到期時,將會重設受管理的帳戶密碼。
3 (預設) 重設密碼並註銷受管理的帳戶:在寬限期到期時,將會重設受管理的帳戶密碼,並終止任何使用受管理帳戶的互動式登入會話。
5 重設密碼並重新啟動:寬限期到期時,將會重設受管理的帳戶密碼,並立即重新啟動受管理的裝置。
11 重設密碼、註銷受管理的帳戶,並終止任何剩餘的進程:在寬限期到期時,會重設受管理的帳戶密碼、使用受管理帳戶的任何互動式登入會話都會註銷,而且任何剩餘的進程都會終止。

Policies/PostAuthenticationResetDelay

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅ [10.0.20348.1663] 和更新版本
✅ [10.0.25145] 和更新版本
✅Windows 10 版本 1809 [10.0.17763.4244] 和更新版本
✅Windows 10 版本 2004 [10.0.19041.2784] 和更新版本
✅Windows 11,版本 21H2 [10.0.22000.1754] 和更新版本
✅Windows 11 版本 22H2 [10.0.22621.1480] 和更新版本
./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay

使用此設定可指定 (在執行指定的驗證後動作之前,) 在驗證之後等候的時間量。

如果未指定,此設定預設為24小時。

此設定允許的最小值為 0 小時, (這會停用所有驗證後動作) 。

此設定的最大允許值為24小時。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
允許的值 範圍: [0-24]
預設值 24

設定適用性

LAPS CSP 可用來管理已加入 Microsoft Entra ID 或已加入 Microsoft Entra ID 和 Active Directory (混合式) 的裝置。 LAPS CSP 會管理 Microsoft Entra 專用和僅限 AD 設定的混合。 僅限 AD 的設定僅適用於已加入混合式的裝置,然後只有在 BackupDirectory 設定為 2 時才適用。

設定名稱 已加入 Azure 混合式聯結
BackupDirectory
PasswordAgeDays
PasswordLength
PasswordComplexity
PasswordExpirationProtectionEnabled
AdministratorAccountName
ADPasswordEncryptionEnabled
ADPasswordEncryptionPrincipal
ADEncryptedPasswordHistorySize
PostAuthenticationResetDelay
PostAuthenticationActions
ResetPassword
ResetPasswordStatus

SyncML 範例

下列範例是為了顯示正確的格式而提供,不應視為建議。

已加入 Azure 的裝置備份密碼,最多可 Microsoft Entra ID

此範例示範如何設定已加入 Azure 的裝置,以將其密碼備份至 Microsoft Entra ID:

<SyncMl xmlns="SYNCML:SYNCML1.2">
  <SyncBody>
    <Add>
      <CmdId>1</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>1</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>2</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>7</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>3</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>4</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>4</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordLength</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>32</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>5</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">chr</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>ContosoLocalLapsAdmin</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>6</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>8</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>7</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>3</Data>
      </Item>
    </Add>&lt;Final/&gt;</SyncBody>
</SyncMl>

已加入混合式裝置將密碼備份至 Active Directory

此範例示範如何設定混合式裝置,將其密碼備份至已啟用密碼加密的 Active Directory:

<SyncMl xmlns="SYNCML:SYNCML1.2">
  <SyncBody>
    <Add>
      <CmdId>1</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>2</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>2</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>20</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>3</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>3</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>4</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordLength</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>14</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>5</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">chr</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>ContosoLocalLapsAdmin</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>6</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordExpirationProtectionEnabled</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">bool</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>True</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>7</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionEnabled</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">bool</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>True</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>8</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionPrincipal</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">chr</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>LAPSAdmins@contoso.com</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>9</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADEncryptedPasswordHistorySize</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>6</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>10</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>4</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>11</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>5</Data>
      </Item>
    </Add>&lt;Final/&gt;</SyncBody>
</SyncMl>

設定服務提供者參考