Настройка параметров политики для Windows LAPS
Решение с паролем локального администратора Windows (Windows LAPS) поддерживает различные параметры, которые можно контролировать с помощью политики. Узнайте о параметрах и их администрировании.
Поддерживаемые корни политики
Хотя мы не рекомендуем это сделать, вы можете администрировать устройство с помощью нескольких механизмов управления политиками. Для поддержки этого сценария понятным и предсказуемым способом каждому механизму политики Windows LAPS назначается отдельный корневой раздел реестра:
| Имя политики | Корневой каталог раздела реестра политик |
|---|---|
| LAPS CSP | HKLM\Software\Microsoft\Policies\LAPS |
| Групповая политика LAPS | HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\LAPS |
| Локальная конфигурация LAPS | HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\Config |
| Устаревшая версия Microsoft LAPS | HKLM\Software\Policies\Microsoft Services\AdmPwd |
Windows LAPS запрашивает все известные корни политики разделов реестра, начиная с верхнего и двигаясь вниз. Если параметры не найдены в корневом каталоге, этот корневой каталог пропускается, и запрос переходит к следующему корню. При обнаружении корневого каталога, имеющего по крайней мере один явно определенный параметр, этот корень используется в качестве активной политики. Если выбранный корень отсутствует, параметры назначаются значения по умолчанию.
Параметры политики никогда не используются совместно или наследуются в корне ключей политики.
Совет
Ключ локальной конфигурации LAPS включен в предыдущую таблицу для полноты. Этот ключ можно использовать при необходимости, но ключ в первую очередь предназначен для тестирования и разработки. Никакие средства управления или механизмы политики не предназначены для этого ключа.
Поддерживаемые параметры политики с помощью BackupDirectory
Windows LAPS поддерживает несколько параметров политики, которые можно администрировать с помощью различных решений по управлению политиками или даже непосредственно через реестр. Некоторые из этих параметров применяются только при резервном копировании паролей в Active Directory, а некоторые параметры являются общими для сценариев AD и Microsoft Entra.
В следующей таблице указывается, какие параметры применяются к устройствам с указанным BackupDirectory параметром:
| Имя настройки | Применимо, если идентификатор BackupDirectory=Microsoft Entra ID? | Применимо, если BackupDirectory=AD? |
|---|---|---|
| AdministratorAccountName | Да | Да |
| PasswordAgeDays | Да | Да |
| PasswordLength | Да | Да |
| Парольная фразаLength | Да | Да |
| PasswordComplexity | Да | Да |
| PostAuthenticationResetDelay | Да | Да |
| PostAuthenticationActions | Да | Да |
| ADPasswordEncryptionEnabled | No | Да |
| ADPasswordEncryptionPrincipal | No | Да |
| ADEncryptedPasswordHistorySize | No | Да |
| ADBackupDSRMPassword | No | Да |
| PasswordExpirationProtectionEnabled | No | Да |
| AutomaticAccountManagementEnabled | Да | Да |
| AutomaticAccountManagementTarget | Да | Да |
| AutomaticAccountManagementNameOrPrefix | Да | Да |
| AutomaticAccountManagementEnableAccount | Да | Да |
| AutomaticAccountManagementRandomizeName | Да | Да |
Если BackupDirectory задано значение "Отключено", все остальные параметры игнорируются.
Вы можете администрировать почти все параметры с помощью любого механизма управления политиками. Поставщик службы конфигурации Windows LAPS (CSP) имеет два исключения для этого правила. Windows LAPS CSP поддерживает два параметра, которые не указаны в предыдущей таблице: ResetPassword и ResetPasswordStatus. Кроме того, windows LAPS CSP не поддерживает ADBackupDSRMPassword параметр (контроллеры домена никогда не управляются с помощью CSP). Дополнительные сведения см. в документации по LAPS CSP.
Групповая политика Windows LAPS
Windows LAPS включает новый объект групповой политики, который можно использовать для администрирования параметров политики на устройствах, присоединенных к домену Active Directory. Чтобы получить доступ к групповой политике Windows LAPS, в редакторе управления групповыми политиками перейдите к системе LAPS системы>административных шаблонов>конфигурации>компьютера. Пример показан на приведенном ниже снимке экрана.
Шаблон для этого нового объекта групповой политики устанавливается как часть Windows в %windir%\PolicyDefinitions\LAPS.admx.
Центральное хранилище объектов групповой политики
Внимание
Файлы шаблонов групповой политики Windows LAPS не копируются в центральное хранилище GPO в рамках операции исправления Обновл. Windows, если вы решили реализовать этот подход. Вместо этого необходимо вручную скопировать LAPS.admx в центральное хранилище групповой политики. См. статью "Создание центрального магазина и управление ими".
Windows LAPS CSP
Windows LAPS включает определенный CSP, который можно использовать для администрирования параметров политики на устройствах, присоединенных к Microsoft Entra. Управление поставщиком CSP windows LAPS с помощью Microsoft Intune.
Применение параметров политики
В следующих разделах описывается использование и применение различных параметров политики для Windows LAPS.
BackupDirectory
Используйте этот параметр, чтобы контролировать, в какой каталог создается резервная копия пароля для управляемой учетной записи.
| Значение | Описание параметра |
|---|---|
| 0 | Отключен (пароль не резервируется) |
| 1 | Резервное копирование пароля только в Microsoft Entra |
| 2 | Резервное копирование пароля только в Windows Server Active Directory |
Если этот параметр не указан, по умолчанию используется значение 0 (отключено).
AdministratorAccountName
Используйте этот параметр, чтобы настроить имя управляемой учетной записи локального администратора.
Если этот параметр не указан, этот параметр по умолчанию управляет встроенной учетной записью локального администратора.
Внимание
Не указывайте этот параметр, если вы не хотите управлять учетной записью, отличной от встроенной учетной записи локального администратора. Учетная запись локального администратора автоматически определяется его известным относительным идентификатором (RID).
Внимание
Вы можете настроить указанную учетную запись (встроенную или пользовательскую) как включенную или отключенную. Windows LAPS будет управлять паролем этой учетной записи в любом состоянии. Однако если в отключенном состоянии учетная запись должна быть включена для фактического использования.
Внимание
Если вы настроите Windows LAPS для управления пользовательской учетной записью локального администратора, необходимо убедиться, что эта учетная запись создана. Windows LAPS не создает учетную запись.
Внимание
Этот параметр игнорируется при AutomaticAccountManagementEnabled включении.
PasswordAgeDays
Этот параметр определяет максимальный возраст пароля управляемой учетной записи локального администратора. Поддерживаются значения:
- Минимальное значение: 1 день (если каталог резервного копирования настроен для идентификатора Microsoft Entra, минимальное значение — 7 дней).)
- Максимум: 365 дней
Если этот параметр не указан, по умолчанию используется значение 30 дней.
Внимание
Изменения в параметре PasswordAgeDays политики не влияют на срок действия текущего пароля. Аналогичным образом изменения в параметре PasswordAgeDays политики не приводят к тому, что управляемое устройство инициирует смену пароля.
PasswordLength
Используйте этот параметр, чтобы настроить длину пароля управляемой учетной записи локального администратора. Поддерживаются значения:
- Минимум: 8 символов
- Максимум: 64 символа
Если этот параметр не указан, этот параметр по умолчанию использует 14 символов.
Внимание
Не настраивайте PasswordLength значение, несовместимое с локальной политикой паролей управляемого устройства. Это приведет к сбою создания совместимого пароля Windows LAPS (поиск события 10027 в журнале событий Windows LAP).
Параметр PasswordLength игнорируется, если PasswordComplexity не настроен один из параметров пароля.
Парольная фразаLength
Используйте этот параметр, чтобы настроить количество слов в парольной фразе управляемой учетной записи локального администратора. Поддерживаются значения:
- Минимум: 3 слова
- Максимум: 10 слов
Если этот параметр не указан, по умолчанию используется значение 6 слов.
Параметр PassphraseLength игнорируется, если PasswordComplexity не настроен один из параметров парольной фразы.
PasswordComplexity
Используйте этот параметр, чтобы настроить необходимую сложность пароля управляемой учетной записи локального администратора или указать, что создается парольная фраза.
| Значение | Описание параметра |
|---|---|
| 1 | Большие буквы |
| 2 | Большие буквы + небольшие буквы |
| 3 | Большие буквы + небольшие буквы + цифры |
| 4 | Большие буквы + небольшие буквы + цифры + специальные символы |
| 5 | Большие буквы + небольшие буквы + цифры + специальные символы (улучшенная удобочитаемость) |
| 6 | Парольная фраза (длинные слова) |
| 7 | Парольная фраза (короткие слова) |
| 8 | Парольная фраза (короткие слова с уникальными префиксами) |
Если этот параметр не указан, по умолчанию используется значение 4.
Внимание
Windows поддерживает более низкие параметры сложности паролей (1, 2 и 3) только для обратной совместимости с устаревшей версией Microsoft LAPS. Рекомендуется всегда настраивать этот параметр на 4.
Внимание
Не настраивайте PasswordComplexity параметр, несовместимый с локальной политикой паролей управляемого устройства. Это приведет к сбою создания совместимого пароля Windows LAPS (поиск события 10027 в журнале событий Windows LAPS).
PasswordExpirationProtectionEnabled
Используйте этот параметр, чтобы настроить применение максимального срока действия пароля для управляемой учетной записи локального администратора.
Поддерживаемые значения: 1 (True) или 0 (False).
Если этот параметр не указан, этот параметр по умолчанию имеет значение 1 (True).
Совет
В устаревшем режиме Microsoft LAPS этот параметр по умолчанию использует значение False для обратной совместимости.
ADPasswordEncryptionEnabled
Используйте этот параметр, чтобы включить шифрование паролей в Active Directory.
Поддерживаемые значения: 1 (True) или 0 (False).
Внимание
Включение этого параметра требует, чтобы домен Active Directory работал на функциональном уровне домена 2016 или более поздней версии.
ADPasswordEncryptionPrincipal
Используйте этот параметр для настройки имени или идентификатора безопасности пользователя или группы, который может расшифровать пароль, хранящийся в Active Directory.
Этот параметр игнорируется, если пароль в настоящее время хранится в Azure.
Если это не указано, только члены группы администраторов домена в домене устройства могут расшифровать пароль.
Если задано, указанный пользователь или группа может расшифровать пароль, хранящийся в Active Directory.
Внимание
Строка, хранящейся в этом параметре, представляет собой идентификатор безопасности в строковой форме или полное имя пользователя или группы. Допустимые примеры:
S-1-5-21-2127521184-1604012920-1887927527-35197contoso\LAPSAdmins[email protected]
Субъект, идентифицированный (по идентификатору безопасности или по имени пользователя или группы), должен существовать и разрешаться устройством.
ПРИМЕЧАНИЕ. Данные, указанные в этом параметре, вводятся как есть; Например, не добавляйте вложенные кавычки или скобки.
Этот параметр игнорируется, если ADPasswordEncryptionEnabled не настроено значение True и все остальные предварительные требования выполнены.
Этот параметр игнорируется при резервном копировании паролей учетных записей служб каталогов (DSRM) на контроллере домена. В этом сценарии этот параметр всегда по умолчанию использует группу администраторов домена домена контроллера домена.
ADEncryptedPasswordHistorySize
Используйте этот параметр, чтобы настроить количество предыдущих зашифрованных паролей в Active Directory. Поддерживаются значения:
- Минимум : 0 паролей
- Максимум: 12 паролей
Если этот параметр не указан, по умолчанию используется значение 0 паролей (отключено).
Внимание
Этот параметр игнорируется, если ADPasswordEncryptionEnabled не настроено значение True и все остальные предварительные требования выполнены.
Этот параметр также действует на контроллерах домена, которые резервного копирования паролей DSRM.
ADBackupDSRMPassword
Используйте этот параметр, чтобы включить резервное копирование пароля учетной записи DSRM на контроллерах домена Windows Server Active Directory.
Поддерживаемые значения: 1 (True) или 0 (False).
Этот параметр по умолчанию равно 0 (False).
Внимание
Этот параметр игнорируется, если ADPasswordEncryptionEnabled не настроено значение True и все остальные предварительные требования выполнены.
PostAuthenticationResetDelay
Используйте этот параметр, чтобы указать время ожидания (в часах) после проверки подлинности перед выполнением указанных действий после проверки подлинности (см. раздел PostAuthenticationActions). Поддерживаются значения:
- Минимум : 0 часов (при установке этого значения значение равно 0 отключает все действия после проверки подлинности)
- Максимальное: 24 часа
Если этот параметр не указан, этот параметр по умолчанию используется в 24 часах.
PostAuthenticationActions
Используйте этот параметр, чтобы указать действия, которые необходимо предпринять после истечения срока действия настроенного льготного периода (см. раздел PostAuthenticationResetDelay).
Этот параметр может иметь одно из следующих значений:
| Значение | Имя. | Действия, выполняемые при истечении льготного периода | Комментарии |
|---|---|---|---|
| 1 | Введите новый пароль | Пароль управляемой учетной записи сбрасывается. | |
| 3 | Сброс пароля и выход | Пароль управляемой учетной записи сбрасывается, интерактивные сеансы входа с помощью управляемой учетной записи завершаются, а сеансы SMB с помощью управляемой учетной записи удаляются. | Интерактивные сеансы входа получают неконфигурируемое двухминутное предупреждение для сохранения работы и выхода. |
| 5 | Сброс пароля и перезагрузка | Пароль управляемой учетной записи сбрасывается, а управляемое устройство перезапускается. | Управляемое устройство перезапускается после ненастройной задержки в одну минуту. |
| 11 | Сброс пароля и выход | Пароль управляемой учетной записи сбрасывается, интерактивные сеансы входа с помощью управляемой учетной записи завершаются, сеансы SMB с помощью управляемой учетной записи удаляются, а остальные процессы, выполняемые под удостоверением управляемой учетной записи, завершаются. | Интерактивные сеансы входа получают неконфигурируемое двухминутное предупреждение для сохранения работы и выхода. |
Если этот параметр не указан, по умолчанию используется значение 3.
Внимание
Допустимые действия после проверки подлинности предназначены для ограничения времени использования пароля Windows LAPS перед сбросом. Выход из управляемой учетной записи или перезапуск устройства — это параметры, которые помогают гарантировать, что время ограничено. Резкое завершение сеансов входа или перезапуск устройства может привести к потере данных.
С точки зрения безопасности злоумышленник, получающий права администратора на устройстве с использованием допустимого пароля Windows LAPS, имеет максимальную возможность предотвратить или обойти эти механизмы.
Внимание
PostAuthenticationActions значение 11 поддерживается только в выпусках Windows 11 24H2, Windows Server 2025 и более поздних версий.
AutomaticAccountManagementEnabled
Используйте этот параметр, чтобы включить автоматическое управление учетными записями.
Поддерживаемые значения: 1 (True) или 0 (False).
Этот параметр по умолчанию равно 0 (False).
AutomaticAccountManagementTarget
Используйте этот параметр, чтобы указать, управляется ли встроенная учетная запись администратора автоматически или новая пользовательская учетная запись.
| Значение | Описание параметра |
|---|---|
| 0 | Автоматическое управление встроенной учетной записью администратора |
| 1 | Автоматическое управление новой пользовательской учетной записью |
Этот параметр по умолчанию — 1.
Этот параметр игнорируется, если AutomaticAccountManagementEnabled он не включен.
AutomaticAccountManagementNameOrPrefix
Используйте этот параметр, чтобы указать имя или префикс имени автоматически управляемой учетной записи.
Этот параметр по умолчанию используется WLapsAdmin.
Этот параметр игнорируется, если AutomaticAccountManagementEnabled он не включен.
AutomaticAccountManagementEnableAccount
Используйте этот параметр, чтобы включить или отключить автоматически управляемую учетную запись.
| Значение | Описание параметра |
|---|---|
| 0 | Отключение автоматической управляемой учетной записи |
| 1 | Включение автоматической управляемой учетной записи |
Этот параметр по умолчанию — 0.
Этот параметр игнорируется, если AutomaticAccountManagementEnabled он не включен.
AutomaticAccountManagementRandomizeName
Используйте этот параметр, чтобы включить случайность имени автоматически управляемой учетной записи.
Если этот параметр включен, имя управляемой учетной записи (определяется AutomaticAccountManagementNameOrPrefix параметром) суффиксируется случайным шестизначным суффиксом при каждом смене пароля.
Имена локальных учетных записей Windows имеют максимальную длину 20 символов, что означает, что компонент имени должен быть 14 символов в большинстве случаев, чтобы иметь достаточно места для случайного суффикса. Имена учетных записей, указанные более AutomaticAccountManagementNameOrPrefix чем 14 символами, усечены.
| Значение | Описание параметра |
|---|---|
| 0 | Не случайный выбор имени автоматически управляемой учетной записи |
| 1 | Случайный выбор имени автоматически управляемой учетной записи |
Этот параметр по умолчанию — 0.
Этот параметр игнорируется, если AutomaticAccountManagementEnabled он не включен.
Значения политик windows LAPS по умолчанию
Все параметры политики Windows LAPS имеют значение по умолчанию. Значение по умолчанию применяется всякий раз, когда администратор не настраивает определенный параметр. Значение по умолчанию также применяется всякий раз, когда администратор настраивает определенный параметр с неподдерживаемым значением.
| Имя настройки | Default value |
|---|---|
| BackupDirectory | Выключено |
| AdministratorAccountName | Null\empty |
| PasswordAgeDays | 30 |
| PasswordLength | 14 |
| Парольная фразаLength | 6 |
| PasswordComplexity | 4 |
| PostAuthenticationResetDelay | 24 |
| PostAuthenticationActions | 3 (сброс пароля и выход) |
| ADPasswordEncryptionEnabled | Истина |
| ADPasswordEncryptionPrincipal | Администраторы домена |
| ADEncryptedPasswordHistorySize | 0 |
| ADBackupDSRMPassword | False |
| PasswordExpirationProtectionEnabled | Истина |
| AutomaticAccountManagementEnabled | False |
| AutomaticAccountManagementTarget | Да |
| AutomaticAccountManagementNameOrPrefix | Да |
| AutomaticAccountManagementEnableAccount | False |
| AutomaticAccountManagementRandomizeName | False |
Внимание
ADPasswordEncryptionPrincipal является исключением из правила неправильно настроенных параметров. Этот параметр по умолчанию имеет значение "Администраторы домена", только если параметр не настроен. В случае, если указано недопустимое имя пользователя или группы, это приведет к сбою обработки политики, а пароль управляемой учетной записи не будет резервирован.
Имейте в виду эти значения по умолчанию при настройке новых функций Windows LAPS, например поддержки парольной фразы. Если вы настраиваете политику со значением PasswordComplexity 6 (длинные парольные фразы слова), то примените эту политику к старой ОС, которая не поддерживает это значение, целевая ОС использует значение по умолчанию 4. Чтобы избежать этого результата, создайте две разные политики: одну для более старой ОС и одну для более новой ОС.