Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Вы можете настроить решение паролей локального администратора Windows (Windows LAPS) для учета устаревших параметров групповой политики Microsoft LAPS, но с некоторыми ограничениями и лимитациями. Эта функция называется устаревшим режимом эмуляции Microsoft LAPS. При переносе существующего развертывания Microsoft LAPS в Windows LAPS можно использовать режим эмуляции.
Как и Microsoft LAPS, режим эмуляции поддерживает хранение паролей в Windows Server Active Directory только в виде чистотекстового текста. Чтобы повысить безопасность, рекомендуется перейти на использование Windows LAPS на уровне системы, чтобы воспользоваться преимуществами шифрования паролей.
Установка и настройка
При настройке Windows LAPS в режиме эмуляции устаревшего Microsoft LAPS, Windows LAPS предполагает, что ваша среда Windows Server Active Directory настроена для работы с устаревшей системой Microsoft LAPS. Дополнительные сведения о устаревшей конфигурации Microsoft LAPS см. в устаревшей документации по Microsoft LAPS.
Требования и ограничения
Следующие требования и ограничения применяются к устаревшей поддержке режима эмуляции Microsoft LAPS:
Windows LAPS не поддерживает добавление устаревшей схемы Microsoft LAPS Windows Server Active Directory.
Необходимо установить устаревшую версию Microsoft LAPS на контроллере домена или другом клиенте управления, чтобы расширить схему Windows Server Active Directory с помощью устаревших элементов схемы Microsoft LAPS. Используйте командлет
Update-AdmPwdADSchema, чтобы расширить схему. Командлет Windows LAPSUpdate-LapsADSchemaне добавляет устаревшие элементы схемы Microsoft LAPS.Windows LAPS не устанавливает устаревшие файлы определения групповой политики Microsoft LAPS.
Чтобы определить и администрировать устаревшие групповые политики Microsoft LAPS, необходимо установить устаревшие microsoft LAPS на контроллере домена или другом клиенте управления.
Windows LAPS не поддерживает управление устаревшими списками управления доступом Microsoft LAPS Active Directory (ACL).
Чтобы управлять устаревшими списками управления доступом в Microsoft LAPS для Windows Server Active Directory, необходимо установить устаревшую версию Microsoft LAPS на контроллере домена или другом клиенте управления. Например, чтобы использовать
Set-AdmPwdComputerSelfPermissionsкомандлет.К компьютеру не применяются другие политики WINDOWS LAPS.
Если на компьютере присутствует политика LAPS Windows, она всегда имеет приоритет независимо от того, как она была применена (поставщик служб конфигурации, объект групповой политики или необработанное изменение реестра). Если политика LAPS Windows присутствует, устаревшая политика Microsoft LAPS всегда игнорируется. Дополнительные сведения см. в разделе параметров политики Windows LAPS.
Устаревшая версия Microsoft LAPS не должна быть установлена на компьютере.
Это ограничение позволяет избежать сценария, в котором Windows LAPS и устаревшие microsoft LAPS одновременно пытаются управлять одной учетной записью локального администратора. Управление одной учетной записью двумя сущностями является угрозой безопасности и не поддерживается.
Для функции эмуляции устаревшая версия Microsoft LAPS считается установленной, если установлено устаревшее расширение клиентской политики групповой политики Microsoft LAPS (CSE). Чтобы определить расширение, выполните запрос к значению
DllNameв этом ключе реестра.HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}Если значение DllName присутствует, а значение ссылается на файл на диске (файл не загружается или не проверяется), устаревшие версии Microsoft LAPS считаются установленными.
Консоль управления Windows Server Active Directory для пользователей и компьютеров не поддерживает чтение или запись устаревших атрибутов схемы Microsoft LAPS.
Windows LAPS всегда игнорирует устаревшую политику Microsoft LAPS при настройке Windows LAPS на контроллере домена Windows Server Active Directory.
Все параметры политики LAPS Windows, которые не поддерживаются в наследственной политике LAPS, по умолчанию устанавливаются в отключенное состояние или приобретают стандартные настройки.
Например, при запуске Windows LAPS в устаревшем режиме эмуляции Microsoft LAPS нельзя настроить windows LAPS для выполнения таких задач, как шифрование паролей или сохранение паролей в идентификатор Microsoft Entra ID.
Если все эти ограничения выполнены, Windows LAPS учитывает устаревшие параметры групповой политики Microsoft LAPS. Указанная управляемая учетная запись локального администратора управляется идентично тому, как она управляется в устаревшей версии Microsoft LAPS.
Отключение устаревшего режима эмуляции Microsoft LAPS
Windows LAPS имеет важное различие, чтобы учитывать при планировании развертывания или миграции с устаревшей версии Microsoft LAPS. Windows LAPS всегда присутствует и активен после присоединения устройства к идентификатору Microsoft Entra или Windows Server Active Directory. Установка устаревшей версии CSE Microsoft LAPS часто используется в качестве механизма для управления применением устаревшей политики Microsoft LAPS. Как встроенная функция Windows, Windows LAPS начинает применять устаревшую политику Microsoft LAPS, как только она применяется к устройству. Такие немедленные принудительные исполнения могут быть разрушительными, например, если они происходят во время процедуры установки и конфигурации новой операционной системы.
Чтобы предотвратить такие потенциальные сбои, можно отключить устаревший режим эмуляции Microsoft LAPS, создав значение реестра REG_DWORD с именем BackupDirectory в разделе HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\Config и установив его в ноль (0). Если задать это значение, windows LAPS не будет вводить устаревший режим эмуляции Microsoft LAPS независимо от того, установлен ли устаревший CSE Microsoft LAPS. Это значение может использоваться временно или постоянно. При настройке новой политики WINDOWS LAPS эта новая политика имеет приоритет. Дополнительные сведения о приоритете политики Windows LAPS см. в разделе "Настройка параметров политики Windows LAPS".
Ограниченная административная поддержка
Командлет Get-LapsADPassword поддерживает получение устаревшего атрибута пароля Microsoft LAPS (ms-Mcs-AdmPwd). Поля Account и PasswordUpdateTime в результирующем выводе всегда пусты. Рассмотрим пример.
PS C:\> Get-LapsADPassword -Identity lapsAD2 -AsPlainText
ComputerName : LAPSAD2
DistinguishedName : CN=LAPSAD2,OU=LapsTestOU,DC=laps,DC=com
Account :
Password : <masked>
PasswordUpdateTime :
ExpirationTimestamp : 7/31/2022 12:43:10 PM
Source : LegacyLapsCleartextPassword
DecryptionStatus : NotApplicable
AuthorizedDecryptor : NotApplicable
Командлет Set-LapsADPasswordExpirationTime не поддерживает истечение срока действия или изменение устаревшего атрибута срока действия пароля Microsoft LAPS (ms-Mcs-AdmPwdExpirationTime).
Страница свойств Windows LAPS в консоли управления "Пользователи и компьютеры Windows Server Active Directory" не поддерживает отображение или администрирование устаревших атрибутов Microsoft LAPS.
Logging
При запуске Windows LAPS в устаревшем режиме эмуляции Microsoft LAPS событие 10023 регистрируется для подробной текущей конфигурации политики:
В противном случае те же события, зарегистрированные в Windows LAPS, когда они не выполняются в устаревшем режиме эмуляции Microsoft LAPS, также регистрируются при выполнении в устаревшем режиме эмуляции Microsoft LAPS.
См. также
В этой статье подробно не рассматривается управление другими аспектами устаревшей версии Microsoft LAPS. Дополнительные сведения см. в устаревшей документации по Microsoft LAPS на странице скачивания: