Поделиться через


Начало работы с Windows LAPS в устаревшем режиме эмуляции Microsoft LAPS

Вы можете настроить решение для паролей локального Администратор istrator Windows (Windows LAPS) для учета устаревших параметров групповой политики Microsoft LAPS, но с некоторыми ограничениями и ограничениями. Эта функция называется устаревшим режимом эмуляции Microsoft LAPS. При переносе существующего развертывания Microsoft LAPS в Windows LAPS можно использовать режим эмуляции.

Как и Microsoft LAPS, режим эмуляции поддерживает хранение паролей в Windows Server Active Directory только в виде чистотекстового текста. Чтобы повысить безопасность, рекомендуется перейти на использование Windows LAPS в собственном коде, чтобы воспользоваться преимуществами шифрования паролей.

Установка и настройка

При настройке Windows LAPS в устаревшем режиме эмуляции Microsoft LAPS windows LAPS предполагается, что среда Windows Server Active Directory настроена для запуска устаревшей версии Microsoft LAPS. Дополнительные сведения о устаревшей конфигурации Microsoft LAPS см. в устаревшей документации по Microsoft LAPS.

Требования и ограничения

Следующие требования и ограничения применяются к устаревшей поддержке режима эмуляции Microsoft LAPS:

  • Windows LAPS не поддерживает добавление устаревшей схемы Microsoft LAPS Windows Server Active Directory.

    Необходимо установить устаревшую версию Microsoft LAPS на контроллере домена или другом клиенте управления, чтобы расширить схему Windows Server Active Directory с помощью устаревших элементов схемы Microsoft LAPS. Update-AdmPwdADSchema Используйте командлет для расширения схемы. Командлет Windows LAPS не добавляет устаревшие элементы схемы Microsoft LAPS Update-LapsADSchema .

  • Windows LAPS не устанавливает устаревшие файлы определения групповой политики Microsoft LAPS.

    Чтобы определить и администрировать устаревшие групповые политики Microsoft LAPS, необходимо установить устаревшие microsoft LAPS на контроллере домена или другом клиенте управления.

  • Windows LAPS не поддерживает управление устаревшими списками управления доступом Microsoft LAPS Active Directory (ACL).

    Чтобы управлять устаревшими списками управления доступом Microsoft LAPS Для Windows Server Active Directory, необходимо установить устаревшие microsoft LAPS на контроллере домена или другом клиенте управления. Например, чтобы использовать Set-AdmPwdComputerSelfPermissions командлет.

  • К компьютеру не применяются другие политики WINDOWS LAPS.

    Если на компьютере присутствует политика LAPS Windows, она всегда имеет приоритет независимо от того, как она была применена (поставщик служб конфигурации, объект групповой политики или необработанное изменение реестра). Если политика LAPS Windows присутствует, устаревшая политика Microsoft LAPS всегда игнорируется. Дополнительные сведения см. в разделе параметров политики Windows LAPS.

  • Устаревшая версия Microsoft LAPS не должна быть установлена на компьютере.

    Это ограничение позволяет избежать сценария, в котором Windows LAPS и устаревшие microsoft LAPS одновременно пытаются управлять одной учетной записью локального администратора. Управление одной учетной записью двумя сущностями является угрозой безопасности и не поддерживается.

    Для функции эмуляции устаревшая версия Microsoft LAPS считается установленной, если установлено устаревшее расширение клиентской политики групповой политики Microsoft LAPS (CSE). Чтобы определить расширение, выполните запрос DllName к значению реестра в этом разделе реестра:

    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}

    Если значение DllName присутствует, а значение ссылается на файл на диске (файл не загружается или не проверяется), устаревшие версии Microsoft LAPS считаются установленными.

  • Консоль управления пользователей и компьютеров Windows Server Active Directory не поддерживает чтение или запись устаревших атрибутов схемы Microsoft LAPS.

  • Windows LAPS всегда игнорирует устаревшую политику Microsoft LAPS при настройке Windows LAPS на контроллере домена Windows Server Active Directory.

  • Все ручки политики LAPS Windows, которые не поддерживаются в устаревшей политике LAPS по умолчанию для отключенных или стандартных параметров.

    Например, при запуске Windows LAPS в устаревшем режиме эмуляции Microsoft LAPS нельзя настроить windows LAPS для выполнения таких задач, как шифрование паролей или сохранение паролей в идентификатор Microsoft Entra ID.

Если все эти ограничения выполнены, Windows LAPS учитывает устаревшие параметры групповой политики Microsoft LAPS. Указанная управляемая учетная запись локального администратора управляется идентично тому, как она управляется в устаревшей версии Microsoft LAPS.

Отключение устаревшего режима эмуляции Microsoft LAPS

Windows LAPS имеет важное различие, чтобы учитывать при планировании развертывания или миграции с устаревшей версии Microsoft LAPS. Windows LAPS всегда присутствует и активен после присоединения устройства к идентификатору Microsoft Entra или Windows Server Active Directory. Установка устаревшей версии CSE Microsoft LAPS часто используется в качестве механизма для управления применением устаревшей политики Microsoft LAPS. Как встроенная функция Windows, Windows LAPS начинает применять устаревшую политику Microsoft LAPS, как только она применяется к устройству. Такие немедленные принудительное применение может быть нарушено, например, если принудительное применение происходит во время процесса установки и настройки для новой операционной системы.

Чтобы предотвратить такие потенциальные нарушения, можно отключить устаревший режим эмуляции Microsoft LAPS, создав значение реестра REG_DWORD с именем BackupDirectory HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\Config в разделе и присвойте ему значение нулю (0). Если задать это значение, windows LAPS не будет вводить устаревший режим эмуляции Microsoft LAPS независимо от того, установлен ли устаревший CSE Microsoft LAPS. Это значение может использоваться временно или постоянно. При настройке новой политики WINDOWS LAPS эта новая политика имеет приоритет. Дополнительные сведения о приоритете политики Windows LAPS см. в разделе "Настройка параметров политики Windows LAPS".

Ограниченная административная поддержка

Командлет Get-LapsADPassword поддерживает получение устаревшего атрибута пароля Microsoft LAPS (ms-Mcs-AdmPwd). PasswordUpdateTime Поля Account в результирующем выходных данных всегда пусты. Например:

PS C:\> Get-LapsADPassword -Identity lapsAD2 -AsPlainText
ComputerName        : LAPSAD2
DistinguishedName   : CN=LAPSAD2,OU=LapsTestOU,DC=laps,DC=com
Account             :
Password            : SV6[y1n3JG+3l8
PasswordUpdateTime  :
ExpirationTimestamp : 7/31/2022 12:43:10 PM
Source              : LegacyLapsCleartextPassword
DecryptionStatus    : NotApplicable
AuthorizedDecryptor : NotApplicable

Командлет Set-LapsADPasswordExpirationTime не поддерживает истечение срока действия или изменение устаревшего атрибута срока действия пароля Microsoft LAPS (ms-Mcs-AdmPwdExpirationTime).

Страница свойств Windows LAPS в Пользователи и компьютеры Active Directory консоль управления Windows Server не поддерживает отображение или администрирование устаревших атрибутов Microsoft LAPS.

Ведение журнала

При запуске Windows LAPS в устаревшем режиме эмуляции Microsoft LAPS событие 10023 регистрируется для подробной текущей конфигурации политики:

Снимок экрана: журнал событий, показывающий сообщение журнала событий конфигурации Microsoft LAPS.

В противном случае те же события, зарегистрированные в Windows LAPS, когда они не выполняются в устаревшем режиме эмуляции Microsoft LAPS, также регистрируются при выполнении в устаревшем режиме эмуляции Microsoft LAPS.

См. также

В этой статье подробно не рассматривается управление другими аспектами устаревшей версии Microsoft LAPS. Дополнительные сведения см. в устаревшей документации по Microsoft LAPS на странице скачивания:

Следующие шаги