Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Windows решение паролей локального администратора (Windows LAPS) позволяет настроить параметры политики для безопасного и автоматического управления паролями локального администратора. В этой статье описывается каждый параметр политики и как администрировать их для повышения безопасности и соответствия требованиям.
Поддерживаемые корни политики
Хотя мы не рекомендуем это сделать, вы можете администрировать устройство с помощью нескольких механизмов управления политиками. Для поддержки этого сценария понятным и предсказуемым способом каждому механизму политики Windows LAPS присваивается отдельный корневой раздел реестра.
| Имя политики | Корневой раздел ключа реестра политик |
|---|---|
| LAPS CSP | HKLM\Software\Microsoft\Policies\LAPS |
| Групповая политика LAPS | HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\LAPS |
| Локальная конфигурация LAPS | HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\Config |
| Устаревшие Microsoft LAPS | HKLM\Software\Policies\Microsoft Services\AdmPwd |
Windows LAPS запрашивает все известные корни политики раздела реестра, начиная с верхней части и двигаясь вниз. Если параметры не найдены в корневом каталоге, этот корневой каталог пропускается, и запрос переходит к следующему корню. Если обнаруживается корень, имеющий как минимум один явно определенный параметр, этот корень используется в качестве активной политики. Если у выбранного корня отсутствуют какие-либо параметры, им назначаются значения по умолчанию.
Параметры политик никогда не используются совместно и не наследуются в корневых узлах ключей политик.
Tip
Ключ локальной конфигурации LAPS включен в предыдущую таблицу для полноты. Этот ключ можно использовать при необходимости, но ключ в первую очередь предназначен для тестирования и разработки. Никакие инструменты управления или механизмы политики не направлены на этот ключ.
Поддерживаемые параметры политики с помощью BackupDirectory
Windows LAPS поддерживает несколько параметров политики, которые можно администрировать с помощью различных решений по управлению политиками или даже непосредственно через реестр. Некоторые из этих параметров применяются только при резервном копировании паролей в Active Directory, а некоторые параметры являются общими для сценариев Active Directory и Microsoft Entra.
В следующей таблице указывается, какие параметры применяются к устройствам с указанным BackupDirectory параметром:
| Имя настройки | Применимо, если BackupDirectory=Microsoft Entra ID? | Применимо, если BackupDirectory=AD? |
|---|---|---|
| AdministratorAccountName | Yes | Yes |
| PasswordAgeDays | Yes | Yes |
| PasswordLength | Yes | Yes |
| PassphraseLength | Yes | Yes |
| PasswordComplexity | Yes | Yes |
| PostAuthenticationResetDelay | Yes | Yes |
| PostAuthenticationActions | Yes | Yes |
| ADPasswordEncryptionEnabled | No | Yes |
| ADPasswordEncryptionPrincipal | No | Yes |
| ADEncryptedPasswordHistorySize | No | Yes |
| ADBackupDSRMPassword | No | Yes |
| PasswordExpirationProtectionEnabled | No | Yes |
| AutomaticAccountManagementEnabled | Yes | Yes |
| AutomaticAccountManagementTarget | Yes | Yes |
| AutomaticAccountManagementNameOrPrefix | Yes | Yes |
| AutomaticAccountManagementEnableAccount | Yes | Yes |
| AutomaticAccountManagementRandomizeName | Yes | Yes |
Если BackupDirectory задано значение "Отключено", все остальные параметры игнорируются.
Вы можете администрировать почти все параметры с помощью любого механизма управления политиками. Поставщик службы конфигурации Windows LAPS (CSP) имеет два исключения для этого правила. CSP Windows LAPS поддерживает два параметра, которые не указаны в предыдущей таблице: ResetPassword и ResetPasswordStatus. Кроме того, Windows LAPS CSP не поддерживает параметр ADBackupDSRMPassword (контроллеры домена никогда не управляются с помощью CSP). Дополнительные сведения см. в документации по LAPS CSP.
Политика групп безопасности Windows LAPS
Windows LAPS включает новый объект групповой политики, который можно использовать для администрирования параметров политики на Active Directory устройствах, присоединенных к домену. Чтобы получить доступ к групповой политике LAPS Windows, в редакторе управления групповыми политиками перейдите в раздел Computer Configuration>Policies>Административные шаблоны>System>LAPS. Пример показан на приведенном ниже снимке экрана.
Шаблон для этого нового объекта групповой политики устанавливается как часть Windows в %windir%\PolicyDefinitions\LAPS.admx.
Центральное хранилище объектов групповой политики
Important
Файлы шаблонов Windows LAPS для объектов групповой политики не копируются автоматически в центральное хранилище объектов групповой политики (GPO) в рамках операции исправления Windows Update, если вы воспользовались этим методом. Вместо этого необходимо вручную скопировать LAPS.admx в центральное хранилище GPO. См. статью "Создание центрального магазина" и управление ими.
CSP LAPS для Windows
Windows LAPS включает определенный CSP, который можно использовать для администрирования параметров политики на Microsoft Entra присоединенных устройствах. Управление Windows LAPS CSP с помощью Microsoft Intune.
Применение параметров политики
В следующих разделах описывается использование и применение различных параметров политики для Windows LAPS.
BackupDirectory
Используйте этот параметр, чтобы контролировать, в какой каталог создается резервная копия пароля для управляемой учетной записи.
| Value | Описание настройки |
|---|---|
| 0 | Отключен (пароль не резервируется) |
| 1 | Резервное копирование пароля только для Microsoft Entra |
| 2 | Резервное копирование пароля только для Windows Server Active Directory |
Если этот параметр не указан, по умолчанию используется значение 0 (отключено).
AdministratorAccountName
Используйте этот параметр, чтобы настроить имя управляемой учетной записи локального администратора.
Если этот параметр не указан, этот параметр по умолчанию управляет встроенной учетной записью локального администратора.
Important
Не указывайте этот параметр, если вы не хотите управлять учетной записью, отличной от встроенной учетной записи локального администратора. Учетная запись локального администратора автоматически определяется его известным относительным идентификатором (RID).
Important
Вы можете настроить указанную учетную запись (встроенную или пользовательскую) как включенную или отключенную. Windows LAPS управляет паролем этой учетной записи в любом состоянии. Учетная запись должна быть сначала включена, прежде чем ее можно будет использовать, если она находится в отключенном состоянии.
Important
Если вы настроите Windows LAPS для управления пользовательской учетной записью локального администратора, необходимо убедиться, что эта учетная запись создана. Windows LAPS не создает учетную запись.
Important
Этот параметр игнорируется при AutomaticAccountManagementEnabled включении.
PasswordAgeDays
Этот параметр определяет максимальный возраст пароля управляемой учетной записи локального администратора. Поддерживаются значения:
- Minimum: один день (если каталог резервного копирования настроен на Microsoft Entra ID, минимальное значение составляет семь дней.)
- Максимум: 365 дней
Если этот параметр не указан, по умолчанию используется значение 30 дней.
Important
Изменения в параметре PasswordAgeDays политики не влияют на срок действия текущего пароля. Аналогичным образом изменения в параметре PasswordAgeDays политики не приводят к тому, что управляемое устройство инициирует смену пароля.
PasswordLength
Используйте этот параметр, чтобы настроить длину пароля управляемой учетной записи локального администратора. Поддерживаются значения:
- Минимум: 8 символов
- Максимум: 64 символа
Если этот параметр не указан, этот параметр по умолчанию использует 14 символов.
Important
Не настраивайте PasswordLength значение, несовместимое с локальной политикой паролей управляемого устройства. Это приводит к тому, что Windows LAPS не удалось создать новый совместимый пароль. (Найдите событие 10027 в журнале событий Windows LAP.)
Параметр PasswordLength игнорируется, пока PasswordComplexity не настроен на один из параметров пароля.
PassphraseLength
Используйте этот параметр, чтобы настроить количество слов в парольной фразе управляемой учетной записи локального администратора. Поддерживаются значения:
- Минимум: 3 слова
- Максимум: 10 слов
Если этот параметр не указан, по умолчанию используется значение 6 слов.
Параметр PassphraseLength игнорируется, если PasswordComplexity настроен не на один из вариантов парольной фразы.
Important
PassphraseLength поддерживается только в Windows 11 24H2, Windows Server 2025 и более поздних выпусках.
PasswordComplexity
Используйте этот параметр, чтобы настроить необходимую сложность пароля управляемой учетной записи локального администратора или указать, что создается парольная фраза.
| Value | Описание настройки |
|---|---|
| 1 | Большие буквы |
| 2 | Большие буквы + небольшие буквы |
| 3 | Большие буквы + небольшие буквы + цифры |
| 4 | Большие буквы + небольшие буквы + цифры + специальные символы |
| 5 | Большие буквы + небольшие буквы + цифры + специальные символы (улучшенная удобочитаемость) |
| 6 | Парольная фраза (длинные слова) |
| 7 | Парольная фраза (короткие слова) |
| 8 | Парольная фраза (короткие слова с уникальными префиксами) |
Если этот параметр не указан, по умолчанию используется значение 4.
Important
Windows поддерживает более низкие параметры сложности паролей (1, 2 и 3) только для обратной совместимости с устаревшими Microsoft LAPS. Рекомендуется всегда настраивать этот параметр на 4 (или более высокое значение, если оно поддерживается).
Important
Не настраивайте PasswordComplexity параметр, несовместимый с локальной политикой паролей управляемого устройства. Это приводит к тому, что Windows LAPS не удалось создать новый совместимый пароль. (Найдите событие 10027 в журнале событий LAPS Windows.)
Important
PasswordComplexity значения 5–8 поддерживаются только в Windows 11 24H2, Windows Server 2025 и более поздних выпусках.
PasswordExpirationProtectionEnabled
Используйте этот параметр, чтобы настроить применение максимального срока действия пароля для управляемой учетной записи локального администратора.
Поддерживаемые значения: 1 (True) или 0 (False).
Если этот параметр не указан, этот параметр по умолчанию имеет значение 1 (True).
Tip
В устаревшем режиме Microsoft LAPS этот параметр по умолчанию используется для False для обеспечения обратной совместимости.
ADPasswordEncryptionEnabled
Используйте этот параметр, чтобы включить шифрование паролей в Active Directory.
Поддерживаемые значения: 1 (True) или 0 (False).
Important
Включение этого параметра требует, чтобы домен Active Directory работал на функциональном уровне домена 2016 или более поздней версии.
ADPasswordEncryptionPrincipal
Используйте этот параметр для настройки имени или идентификатора безопасности пользователя или группы, который может расшифровать пароль, хранящийся в Active Directory.
Этот параметр игнорируется, если пароль в настоящее время хранится в Azure.
Если этот параметр не указан, только члены группы администраторов домена в домене устройства могут расшифровать пароль.
Если этот параметр указан, указанный пользователь или группа могут расшифровать пароль, хранящийся в Active Directory.
Important
Строка, хранящуюся в этом параметре, представляет собой идентификатор безопасности в строковой форме или полное имя пользователя или группы. Допустимые примеры:
S-1-5-21-2127521184-1604012920-1887927527-35197contoso\LAPSAdminslapsadmins@contoso.com
Субъект, идентифицированный (по идентификатору безопасности или по имени пользователя или группы), должен существовать и быть разрешаемым устройством.
Данные, указанные в этом параметре, вводятся as-is; Например, не добавляйте вложенные кавычки или скобки.
Этот параметр игнорируется, пока ADPasswordEncryptionEnabled не настроено как True и все остальные предварительные требования выполнены.
Этот параметр игнорируется при резервном копировании паролей учетных записей служб каталогов (DSRM) на контроллере домена. В этом сценарии этот параметр по умолчанию устанавливается на группу администраторов домена контроллера домена.
ADEncryptedPasswordHistorySize
Используйте этот параметр, чтобы настроить, сколько предыдущих зашифрованных паролей запоминается в Active Directory. Поддерживаются значения:
- Минимум : 0 паролей
- Максимум: 12 паролей
Если этот параметр не указан, по умолчанию используется значение 0 паролей (отключено).
Important
Этот параметр игнорируется, если ADPasswordEncryptionEnabled не настроено на значение True и выполняются все остальные предварительные требования.
Этот параметр также распространяется на контроллеры домена, которые создают резервные копии паролей DSRM.
ADBackupDSRMPassword
Используйте этот параметр, чтобы включить резервное копирование пароля учетной записи DSRM на Windows Server Active Directory контроллерах домена.
Поддерживаемые значения: 1 (True) или 0 (False).
Этот параметр по умолчанию равно 0 (False).
Important
Этот параметр игнорируется, если только ADPasswordEncryptionEnabled не настроено на True и не выполнены все остальные предварительные требования.
PostAuthenticationResetDelay
Используйте этот параметр, чтобы указать время ожидания (в часах) после проверки подлинности перед выполнением указанных действий после проверки подлинности (см. раздел PostAuthenticationActions). Поддерживаются значения:
- Минимум : 0 часов (при установке этого значения значение равно 0 отключает все действия после проверки подлинности)
- Максимальное: 24 часа
Если этот параметр не указан, используется значение по умолчанию — 24 часа.
PostAuthenticationActions
Используйте этот параметр, чтобы указать действия, которые необходимо предпринять после истечения срока действия настроенного льготного периода (см. раздел PostAuthenticationResetDelay).
Этот параметр может иметь одно из следующих значений:
| Value | Name | Действия, выполняемые при истечении льготного периода | Comments |
|---|---|---|---|
| 1 | Введите новый пароль | Пароль управляемой учетной записи сбрасывается. | |
| 3 | Сброс пароля и выход | Пароль управляемой учетной записи сбрасывается, интерактивные сеансы входа с помощью управляемой учетной записи завершаются, а сеансы SMB с помощью управляемой учетной записи удаляются. | Интерактивные сеансы входа получают неконфигурируемое двухминутное предупреждение для сохранения работы и выхода. |
| 5 | Сброс пароля и перезагрузка | Пароль управляемой учетной записи сбрасывается, а управляемое устройство перезапускается. | Управляемое устройство перезапускается после ненастройной задержки в одну минуту. |
| 11 | Сброс пароля и выход | Пароль управляемой учетной записи сбрасывается, интерактивные сеансы входа с помощью управляемой учетной записи завершаются, сеансы SMB с помощью управляемой учетной записи удаляются, а остальные процессы, выполняемые под удостоверением управляемой учетной записи, завершаются. | Интерактивные сессии входа получают неконфигурируемое двухминутное предупреждение для сохранения работы и выхода. |
Если этот параметр не указан, по умолчанию используется значение 3.
Important
Допустимые действия после аутентификации предназначены для того, чтобы помочь ограничить время использования пароля Windows LAPS перед его сбросом. Выход из управляемой учетной записи или перезапуск устройства — это параметры, которые помогают гарантировать, что время ограничено. Резкое завершение сеансов входа или перезапуск устройства может привести к потере данных.
С точки зрения безопасности злоумышленник, получающий права администратора на устройстве с использованием допустимого пароля LAPS Windows, имеет конечную возможность предотвратить или обойти эти механизмы.
Important
значение PostAuthenticationActions 11 поддерживается только в Windows 11 24H2, Windows Server 2025 и более поздних выпусках.
AutomaticAccountManagementEnabled
Используйте этот параметр, чтобы включить автоматическое управление учетными записями.
Поддерживаемые значения: 1 (True) или 0 (False).
Этот параметр по умолчанию равно 0 (False).
Important
AutomaticAccountManagementEnabled поддерживается только в Windows 11 24H2, Windows Server 2025 и более поздних выпусках.
AutomaticAccountManagementTarget
Используйте этот параметр, чтобы указать, управляет ли встроенная учетная запись администратора или новая пользовательская учетная запись автоматически.
| Value | Описание настройки |
|---|---|
| 0 | Автоматическое управление встроенной учетной записью администратора |
| 1 | Автоматическое управление новой пользовательской учетной записью |
Этот параметр по умолчанию — 1.
Этот параметр игнорируется, если AutomaticAccountManagementEnabled не включен.
Important
AutomaticAccountManagementTarget поддерживается только в Windows 11 24H2, Windows Server 2025 и более поздних выпусках.
AutomaticAccountManagementNameOrPrefix
Используйте этот параметр, чтобы указать имя или префикс имени автоматически управляемой учетной записи.
Значение этого параметра по умолчанию установлено на WLapsAdmin.
Этот параметр рассматривается как имя, если AutomaticAccountManagementRandomizeName значение равно 0 (ложь).
Этот параметр рассматривается как префикс имени, если AutomaticAccountManagementRandomizeName имеет значение 1 (True).
Этот параметр игнорируется, если AutomaticAccountManagementEnabled не включен.
Important
AutomaticAccountManagementNameOrPrefix поддерживается только в Windows 11 24H2, Windows Server 2025 и более поздних выпусках.
AutomaticAccountManagementEnableAccount
Используйте этот параметр, чтобы включить или отключить автоматически управляемую учетную запись.
| Value | Описание настройки |
|---|---|
| 0 | Отключение автоматической управляемой учетной записи |
| 1 | Включение автоматической управляемой учетной записи |
Этот параметр по умолчанию — 0.
Данный параметр игнорируется, если AutomaticAccountManagementEnabled не включен.
Important
AutomaticAccountManagementEnableAccount поддерживается только в Windows 11 24H2, Windows Server 2025 и более поздних выпусках.
AutomaticAccountManagementRandomizeName
Используйте этот параметр, чтобы включить случайность имени автоматически управляемой учетной записи.
Если этот параметр включен, имя управляемой учетной записи (определяется AutomaticAccountManagementNameOrPrefix параметром) суффиксируется случайным шестизначным суффиксом при каждом смене пароля.
Windows имена локальных учетных записей имеют максимальную длину 20 символов, что означает, что компонент имени должен быть 14 символов в большинстве случаев, чтобы иметь достаточно места для случайного суффикса. Имена учетных записей, указанные AutomaticAccountManagementNameOrPrefix, которые длиннее 14 символов, усечены.
| Value | Описание настройки |
|---|---|
| 0 | Не рандомизируйте имя автоматически управляемой учетной записи |
| 1 | Случайный выбор имени автоматически управляемой учетной записи |
Этот параметр по умолчанию — 0.
Этот параметр игнорируется, если AutomaticAccountManagementEnabled не включен.
Important
AutomaticAccountManagementRandomizeName поддерживается только в Windows 11 24H2, Windows Server 2025 и более поздних выпусках.
Значения политик по умолчанию для Windows LAPS
Все параметры политики LAPS Windows имеют значение по умолчанию. Значение по умолчанию применяется всякий раз, когда администратор не настраивает определенный параметр. Значение по умолчанию также применяется всякий раз, когда администратор настраивает определенный параметр с неподдерживаемым значением.
| Имя настройки | Значение по умолчанию |
|---|---|
| BackupDirectory | Disabled |
| AdministratorAccountName | Null\empty |
| PasswordAgeDays | 30 |
| PasswordLength | 14 |
| PassphraseLength | 6 |
| PasswordComplexity | 4 |
| PostAuthenticationResetDelay | 24 |
| PostAuthenticationActions | 3 (сброс пароля и выход) |
| ADPasswordEncryptionEnabled | True |
| ADPasswordEncryptionPrincipal | Администраторы домена |
| ADEncryptedPasswordHistorySize | 0 |
| ADBackupDSRMPassword | False |
| PasswordExpirationProtectionEnabled | True |
| AutomaticAccountManagementEnabled | False |
| AutomaticAccountManagementTarget | Yes |
| AutomaticAccountManagementNameOrPrefix | Yes |
| AutomaticAccountManagementEnableAccount | False |
| AutomaticAccountManagementRandomizeName | False |
Important
ADPasswordEncryptionPrincipal является исключением из правила неправильно настроенных параметров. Этот параметр по умолчанию применяется как 'Администраторы домена' только в случае, если настройка не задана. Если указано недопустимое имя пользователя или группы, происходит сбой обработки политики, а пароль управляемой учетной записи не будет резервирован.
Имейте в виду эти значения по умолчанию при настройке новых функций LAPS Windows, например, поддержки парольной фразы. Если вы настраиваете политику со значением PasswordComplexity со значением 6 (длинные парольные фразы), а затем применяете эту политику к старой ОС, которая не поддерживает это значение, целевая ОС использует значение по умолчанию 4. Чтобы избежать этого результата, создайте две разные политики: одну для более старой ОС и одну для более новой ОС.