Mi az a Windows LAPS?
A Windows helyi rendszergazdai jelszómegoldás (Windows LAPS) egy Windows-szolgáltatás, amely automatikusan kezeli és biztonsági másolatot készít egy helyi rendszergazdai fiók jelszaváról a Microsoft Entra-hoz vagy a Windows Server Active Directoryhoz csatlakoztatott eszközökön. A Windows LAPS használatával automatikusan kezelheti és biztonsági másolatot készíthet a Címtárszolgáltatások visszaállítási módjáról (DSRM) szóló fiókjelszóról a Windows Server Active Directory-tartományvezérlőken. Egy jogosult rendszergazda lekérheti a DSRM-jelszót, és használhatja azt.
Windows LAPS által támogatott platformok
A Windows LAPS az alábbi operációsrendszer-platformokon érhető el:
- Windows 11 23H2 és újabb Windows-ügyfélverziók
- Windows Server 23H2 és újabb Windows Server-kiadások
- Windows 11 22H2 – 2023. április 11-i frissítés és újabb verziók
- Windows 11 21H2 – 2023. április 11. frissítés és újabb verziók
- Windows 10 – 2023. április 11., frissítés és újabb verziók
- Windows Server 2022 – 2023. április 11. frissítés és újabb verziók
- Windows Server 2019 – 2023. április 11. frissítés és újabb verziók
Ezeknek a platformoknak az összes támogatott kiadása frissült a Windows LAPS-sel, beleértve a hosszú távú karbantartási csatorna (LTSC) kiadásokat is. A Windows LAPS szolgáltatás bevezetése nem módosítja a Microsoft szokásos termékéletciklus-szabályzatait.
Windows LAPS és Microsoft Entra ID
A Microsoft Entra ID-val és a Microsoft Intune-támogatással rendelkező Windows LAPS 2023. október 23-ától általánosan elérhető. További információ: A Windows helyi rendszergazdai jelszómegoldás a Microsoft Entra ID-vel már általánosan elérhető! és A Windows helyi rendszergazdai jelszómegoldás a Microsoft Entra ID-ben.
A Windows LAPS használatának előnyei
A Windows LAPS használatával rendszeresen elforgathatja és kezelheti a helyi rendszergazdai fiók jelszavait, és élvezheti az alábbi előnyöket:
- Védelem a pass-the-hash és az lateral-traversal támadások ellen
- Továbbfejlesztett biztonság távoli ügyfélszolgálati forgatókönyvekhez
- Az egyébként elérhetetlen eszközökre való bejelentkezés és helyreállítás lehetősége
- Részletes biztonsági modell (hozzáférés-vezérlési listák és opcionális jelszótitkosítás) a Windows Server Active Directoryban tárolt jelszavak védelméhez
- A Microsoft Entra szerepköralapú hozzáférés-vezérlési modelljének támogatása a Microsoft Entra-azonosítóban tárolt jelszavak védelméhez
Tájékoztató videók
Az alábbi videók a Windows LAPS funkcióval kapcsolatos további információk informatív módját ismertetik.
Windows Technical Takeoff bemutató (2022. november):
A Windows technológiai kihívásokat tárgyaló fóruma (2023. augusztus):
Főbb Windows LAPS-forgatókönyvek
A Windows LAPS több elsődleges forgatókönyvhöz is használható:
A helyi rendszergazdai fiókjelszavak biztonsági mentése a Microsoft Entra-azonosítóba (Microsoft Entra által csatlakoztatott eszközök esetén)
Helyi rendszergazdai fiókjelszavak biztonsági mentése a Windows Server Active Directoryba (Windows Server Active Directoryhoz csatlakoztatott ügyfelek és kiszolgálók esetén)
DSRM-fiókjelszavak biztonsági mentése a Windows Server Active Directoryba (Windows Server Active Directory-tartományvezérlők esetén)
Helyi rendszergazdai fiókjelszavak biztonsági mentése a Windows Server Active Directoryba az örökölt Microsoft LAPS használatával
Minden forgatókönyvben különböző házirend-beállításokat alkalmazhat.
Az eszköz csatlakozási állapotának korlátozásainak megértése
Az, hogy egy eszköz csatlakozik-e a Microsoft Entra-azonosítóhoz vagy a Windows Server Active Directoryhoz, meghatározza, hogyan használhatja a Windows LAPS-t.
- Azok az eszközök, amelyek csak Microsoft Entra-azonosítóhoz csatlakoznak, csak Microsoft Entra-azonosítóra készíthetnek biztonsági másolatot a jelszavakról.
- A csak a Windows Server Active Directoryhoz csatlakoztatott eszközök csak a Windows Server Active Directoryba tudnak biztonsági másolatot készíteni a jelszavakról.
- A hibrid csatlakozású (a Microsoft Entra ID-hoz és a Windows Server Active Directoryhoz egyaránt csatlakoztatott) eszközök biztonsági másolatot készíthetnek a jelszavukról a Microsoft Entra-azonosítóra vagy a Windows Server Active Directoryra.
Nem készíthet biztonsági másolatot a jelszavakról a Microsoft Entra-azonosítóra és a Windows Server Active Directoryra.
A Windows LAPS nem támogatja a munkahelyhez csatlakoztatott Microsoft Entra-ügyfeleket.
Windows LAPS-szabályzat beállítása
A Windows LAPS-környezet házirendjének beállításához és kezeléséhez több lehetősége is van:
A Windows LAPS kezelése és figyelése
A Windows LAPS kezelésére és figyelésére is többféle lehetőség áll rendelkezésre.
A Windows beállításai a következők:
- A Windows Server Active Directory – Felhasználók és számítógépek tulajdonságai párbeszédpanel.
- Egy dedikált eseménynapló-csatorna.
- A Windows LAPS-ra jellemző Windows PowerShell-modul.
Az Entra-alapú monitorozási és jelentéskészítési megoldások akkor érhetők el, ha jelszavakról készít biztonsági másolatot a Microsoft Entra ID-ra.
Az örökölt Microsoft LAPS-termék elavulása
Fontos
Az örökölt Microsoft LAPS-termék a Windows 11 23H2 és újabb verzióktól elavult. Az örökölt Microsoft LAPS Microsoft Installer (MSI) csomag telepítése le van tiltva az újabb operációsrendszer-verziókban, és a Microsoft már nem veszi figyelembe az örökölt Microsoft LAPS-termék kódmódosításait.
Helyi rendszergazdai fiókjelszavak kezeléséhez használja a Windows LAPS-t. A Windows LAPS a Windows Server 2019 és újabb verziókban, valamint a támogatott Windows 10- és Windows 11-ügyfeleken érhető el.
A Microsoft továbbra is támogatja az örökölt Microsoft LAPS-terméket a Windows régebbi verzióiban (korábbi, mint a Windows 11 23H2), amelyeken korábban támogatott volt. Ez a támogatás az operációsrendszer-verziók normál támogatásának megszűnésekor megszűnik.
Windows LAPS és régi Microsoft LAPS
A Windows LAPS számos tervezési fogalmat örököl az örökölt Microsoft LAPS-től. Ha ismeri az örökölt Microsoft LAPS-t, számos Windows LAPS-funkció ismerős. A fő különbség az, hogy a Windows LAPS egy teljesen különálló implementáció, amely natív a Windowsban. A Windows LAPS számos olyan funkciót is hozzáad, amelyek nem érhetők el az örökölt Microsoft LAPS-ben. A Windows LAPS használatával biztonsági másolatot készíthet a jelszavakról a Microsoft Entra-azonosítóra, titkosíthatja a jelszavakat a Windows Server Active Directoryban, és tárolhatja a jelszóelőzményeket.
Fontos
A Windows LAPS nem igényli az örökölt Microsoft LAPS telepítését. Az összes Windows LAPS-szolgáltatást teljes mértékben üzembe helyezheti és használhatja anélkül, hogy az örökölt Microsoft LAPS telepítésére vagy hivatkozására hivatkozik. Egy meglévő örökölt Microsoft LAPS-telepítés migrálásához azonban a Windows LAPS régebbi Microsoft LAPS emulációs módot kínál.
Fontos
Az örökölt Microsoft LAPS-termék elavult az újabb Microsoft OS-verziókban. További információ: Régi Microsoft LAPS-termékelavulása.
Támogatási nyilatkozat
A Microsoft a régebbi Microsoft LAPS-terméket a 2016-os naptári évben adta ki a Microsoft Letöltőközpontban . A Windows LAPS-t 2023. április 11-én a Windows Frissítések keretében kiszállították, a Windows LAPS és a Microsoft Entra IDplatformok számára.
A Microsoft és a támogatási szervezet támogatott támogatást nyújt mind a Microsoft LAPS, mind a Windows LAPS számára, beleértve a két termék közötti interoperabilitást is.
Fontos
Az örökölt Microsoft LAPS-termék elavult az újabb Microsoft OS-verziókban. További információ: Régi Microsoft LAPS-termékelavulása.
Határozottan javasoljuk, hogy most kezdje el megtervezni, hogy migrálja a Windows LAPS-kompatibilis rendszereket az örökölt Microsoft LAPS-ről a Windows LAPS szolgáltatásra. A Windows LAPS számos új biztonsági funkciót és továbbfejlesztett termékszervizelést kínál.
A külső helyi fiók jelszókezelő eszközei és a Windows LAPS közötti korlátozásokkal és együttműködési problémákkal kapcsolatos kérdéseket nem a Microsoft, hanem a külső alkalmazásfejlesztőnek kell irányítani.
Licencelési követelmények
Maga a Windows LAPS szolgáltatás ingyenesen elérhető minden támogatott Windows-platformon.
A Windows Server Active Directoryba más licenckövetelmények nélkül biztonsági másolatot készíthet a jelszavakról.
A Microsoft Entra ID-ra vonatkozó jelszavakról a Microsoft Entra ID ingyenes vagy magasabb licenccel biztonsági másolatot készíthet.
Más Entra- vagy Intune-beli funkciók más licencelési követelményekkel is rendelkezhetnek.
Visszajelzés küldése
Szeretne visszajelzést küldeni nekünk? A dokumentumspecifikus kérdéseket a lap alján található visszajelzési hivatkozásokon keresztül küldheti el.
Visszajelzést és egyéb kéréseket is küldhet a Windows LAPS visszajelzési Tech Community oldalán.
Ha visszajelzése a Microsoft Entra-azonosítóval vagy az Intune-tal kapcsolatos LAPS-funkciókra vonatkozik, visszajelzést küldhet a Microsoft Entra visszajelzési fórumán.
Ha nem biztos abban, hogy a visszajelzése hová kerül, küldje el az alábbi lehetőségek bármelyikével.
Lásd még:
- Windows helyi rendszergazdai jelszómegoldás bemutatása a Microsoft Entra-azonosítóval
- Windows helyi rendszergazdai jelszómegoldás a Microsoft Entra ID
- Windows helyi rendszergazdai jelszómegoldás a Microsoft Entra-azonosítóval már általánosan elérhető!
- Microsoft Intune támogatás a Windows LAPS számára
- LAPS CSP
- Windows LAPS hibaelhárítási útmutatója
- LAPS PowerShell-modul referenciája
- Régi Microsoft LAPS