Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Решение для локального администратора Windows (Windows LAPS) — это функция Windows, которая автоматически управляет паролем учетной записи локального администратора на устройствах, присоединенных к Microsoft Entra или присоединенных к Windows Server Active Directory устройств. Вы также можете использовать Windows LAPS для автоматического управления и резервного копирования пароля учетной записи режима восстановления служб каталогов (DSRM) на контроллерах домена Windows Server Active Directory. Авторизованный администратор может получить пароль DSRM и использовать его.
Поддерживаемые платформы Windows LAPS
Windows LAPS доступен на следующих платформах ОС:
Клиент Windows
- Windows 11 23H2 и более поздних версий.
- Другие версии клиента Windows, которые получили обновление 11 апреля 2023 г. или более поздней версии, включая:
- Windows 11 22H2 — обновление 11 апреля 2023 г. и более поздние версии.
- Windows 11 21H2 — обновление 11 апреля 2023 г. и более поздние версии.
- Windows 10 — обновление 11 апреля 2023 г. и более поздние версии.
Замечание
Для параметров CSP автоматического управления учетными записями требуется Windows 11 24H2 или более поздней версии.
Windows Server
- Windows Server 2025 и более поздних версий.
- Годовой канал Windows Server для контейнеров, версии 23H2 и более поздние.
- Другие версии Windows Server, которые получили обновление 11 апреля 2023 г. или более поздней версии, включая:
- Windows Server 2022 — обновление от 11 апреля 2023 года и более поздние обновления.
- Windows Server 2019 — обновление 11 апреля 2023 г. и более поздние версии.
Все поддерживаемые выпуски этих платформ были обновлены с помощью Windows LAPS, включая выпуски LTSC. Введение функции Windows LAPS не изменяет стандартные политики жизненного цикла продуктов Майкрософт.
Средства администрирования паролей Windows (LAPS) и идентификатор Microsoft Entra
Windows LAPS с идентификатором Microsoft Entra ID и поддержкой Microsoft Intune общедоступен по состоянию на 23 октября 2023 года. Дополнительные сведения см. в статье "Решение с паролем локального администратора Windows" с идентификатором Microsoft Entra ID теперь общедоступен! и решение для пароля локального администратора Windows в идентификаторе Microsoft Entra ID.
Преимущества использования Windows LAPS
Используйте Windows LAPS для регулярной смены паролей учетной записи локального администратора и управления ими и получения следующих преимуществ:
- Защита от атак передачи хэша и бокового перемещения
- Улучшенная безопасность для сценариев удаленной службы технической поддержки
- Возможность входа в систему и восстановления устройств, которые в противном случае недоступны
- Детальная модель безопасности (списки управления доступом и необязательное шифрование паролей) для защиты паролей, хранящихся в Windows Server Active Directory
- Поддержка модели управления доступом на основе ролей Microsoft Entra для защиты паролей, хранящихся в идентификаторе Microsoft Entra
Информационные видео
В следующих видеороликах представлен информативный способ просмотра дополнительных возможностей Windows LAPS.
Презентация Windows по техническому запуску (ноябрь 2022 г.):
Обсуждение Windows о решении технологических вопросов (август 2023 г.):
Ключевые сценарии LAPS для Windows
Windows LAPS можно использовать для нескольких основных сценариев:
Резервное копирование паролей учетных записей локального администратора в идентификатор Microsoft Entra ( для устройств, присоединенных к Microsoft Entra)
Резервное копирование паролей учетных записей локального администратора в Windows Server Active Directory (для клиентов и серверов, присоединенных к Windows Server Active Directory)
Резервное копирование паролей учетной записи DSRM в Windows Server Active Directory (для контроллеров домена Windows Server Active Directory)
Резервное копирование паролей учетной записи локального администратора в Windows Server Active Directory с помощью устаревшей версии Microsoft LAPS
В каждом сценарии можно применять различные параметры политики.
Общие сведения об ограничениях состояния соединения устройств
На то, как можно использовать Windows LAPS, влияет то, присоединено ли устройство к Microsoft Entra ID или Windows Server Active Directory.
- Устройства, присоединенные только к Microsoft Entra ID, могут создавать резервные копии паролей только в Microsoft Entra ID.
- Устройства, присоединенные только к Windows Server Active Directory, могут создавать резервные копии паролей только в Windows Server Active Directory.
- Устройства, присоединенные к гибридному соединению (присоединенные к идентификатору Microsoft Entra и Windows Server Active Directory), могут создавать резервные копии паролей в идентификатор Microsoft Entra или в Windows Server Active Directory.
Не удается создать резервную копию паролей как в идентификаторе Microsoft Entra, так и в Windows Server Active Directory.
Windows LAPS не поддерживает клиенты Microsoft Entra, присоединенные к рабочему месту.
Настройка политики Windows LAPS
Чтобы настроить политику для развертывания Windows LAPS и управлять ими, у вас есть несколько вариантов:
- Поставщик служб конфигурации Windows LAPS (CSP)
- Групповая политика Windows LAPS
- Устаревшая версия Microsoft LAPS
Управление и мониторинг Windows LAPS
Вы также можете управлять и отслеживать Windows LAPS с помощью различных опций.
Варианты для Windows:
- Диалоговое окно свойств пользователей и компьютеров Windows Server Active Directory.
- Выделенный канал журнала событий.
- Модуль Windows PowerShell, относящееся к Windows LAPS.
Решения для мониторинга и создания отчетов на основе записей доступны при резервном копировании паролей в идентификатор Microsoft Entra.
Отмена устаревшего продукта Microsoft LAPS
Important
Устаревший продукт Microsoft LAPS не рекомендуется использовать в Windows 11 23H2 и более поздних версий. Установка устаревшего пакета Microsoft LAPS Microsoft Installer (MSI) блокируется на более новых версиях ОС, и корпорация Майкрософт больше не рассматривает изменения кода для устаревшего продукта Microsoft LAPS.
Используйте Windows LAPS для управления паролями учетной записи локального администратора. Windows LAPS доступен в Windows Server 2019 и более поздних версиях, а также на поддерживаемых клиентах Windows 10 и Windows 11.
Корпорация Майкрософт продолжит поддерживать устаревший продукт Microsoft LAPS в более ранних версиях Windows (более ранних версий, чем Windows 11 23H2), на которых он ранее поддерживался. Эта поддержка будет завершена после нормального окончания поддержки этих версий ОС.
Windows LAPS и устаревшая версия Microsoft LAPS
Windows LAPS наследует множество концепций проектирования от устаревшей версии Microsoft LAPS. Если вы знакомы с устаревшей версией Microsoft LAPS, многие функции Windows LAPS знакомы. Ключевое отличие заключается в том, что Windows LAPS является полностью отдельной реализацией, которая является собственной для Windows. Windows LAPS также добавляет множество функций, которые недоступны в устаревшей версии Microsoft LAPS. Вы можете использовать Windows LAPS для резервного копирования паролей в идентификатор Microsoft Entra, шифрования паролей в Windows Server Active Directory и хранения журнала паролей.
Important
Windows LAPS не требует установки устаревшей версии Microsoft LAPS. Вы можете полностью развернуть и использовать все функции Windows LAPS без установки или обращения к устаревшей версии Microsoft LAPS. Но чтобы помочь перенести существующее устаревшее развертывание Microsoft LAPS, Windows LAPS предлагает устаревший режим эмуляции Microsoft LAPS.
Important
Устаревший продукт Microsoft LAPS устарел на более новых версиях ОС Майкрософт. Дополнительные сведения см. в статье об отмене устаревшего продукта Microsoft LAPS.
Заявление о поддержке
Корпорация Майкрософт выпустила устаревший продукт Microsoft LAPS в календарном году 2016 года в Центре загрузки Майкрософт. Windows LAPS поставляется в рамках обновлений Windows, выпущенных 11 апреля 2023 года, для платформ, перечисленных в Windows LAPS и Идентификаторе Microsoft Entra.
Корпорация Майкрософт и ее организация доставки поддержки предлагают поддержку microsoft LAPS и Windows LAPS, включая взаимодействие между двумя продуктами.
Important
Устаревший продукт Microsoft LAPS устарел на более новых версиях ОС Майкрософт. Дополнительные сведения см. в статье об отмене устаревшего продукта Microsoft LAPS.
Настоятельно рекомендуется приступить к миграции систем с поддержкой Windows LAPS с устаревшей версии Microsoft LAPS на функцию Windows LAPS. Windows LAPS предлагает множество новых функций безопасности и улучшенную обслуживание продуктов.
Вопросы об ограничениях и взаимодействии между сторонними средствами управления паролями учетных записей и Windows LAPS должны направляться сторонним разработчикам приложений, а не корпорации Майкрософт.
Требования к лицензированию
Сама функция Windows LAPS доступна бесплатно на всех поддерживаемых платформах Windows.
Вы можете создавать резервные копии паролей в Windows Server Active Directory без других требований к лицензированию.
Вы можете создавать резервные копии паролей в идентификатор Microsoft Entra с помощью бесплатной или более поздней лицензии Microsoft Entra ID.
Другие функции, связанные с Entra или Intune, могут иметь другие требования к лицензированию.
Отправить отзыв
Хотите отправить нам отзыв? Вы можете отправить вопросы, относящиеся к документу, с помощью ссылок обратной связи в нижней части этой страницы.
Вы также можете отправить отзывы и другие запросы на странице Windows LAPS Tech Community.
Если ваш отзыв относится к функциям LAPS, связанным с идентификатором Microsoft Entra или Intune, вы можете отправить отзыв на форуме отзывов Microsoft Entra.
Если вы не уверены, куда следует отправить отзыв, отправьте его с помощью любого из этих вариантов.
См. также
- Знакомство с решением для пароля локального администратора Windows с идентификатором Microsoft Entra
- Решение для управления паролем локального администратора Windows в Microsoft Entra ID
- Решение с паролем локального администратора Windows с идентификатором Microsoft Entra теперь общедоступен!
- Поддержка Microsoft Intune для Windows LAPS
- LAPS CSP
- Руководство по устранению неполадок Windows LAPS
- Справочник по модулю LAPS PowerShell
- Устаревшая версия Microsoft LAPS