Что такое Windows LAPS?
Решение для пароля локального администратора Windows (Windows LAPS) — это функция Windows, которая автоматически управляет и резервирует пароль учетной записи локального администратора на устройствах, подключенных к Microsoft Entra или Windows Server Active Directory. Вы также можете использовать Windows LAPS для автоматического управления и резервного копирования пароля учетной записи режима восстановления служб каталогов (DSRM) на контроллерах домена Windows Server Active Directory. Авторизованный администратор может получить пароль DSRM и использовать его.
Поддерживаемые платформы Windows LAPS
Windows LAPS доступен на следующих платформах ОС:
- Windows 11 версии 23H2 и более поздние выпуски Windows Client
- Windows Server 23H2 и более поздние релизы Windows Server
- Windows 11 22H2 — обновление от 11 апреля 2023 г. и более поздние версии
- Windows 11 21H2 — обновление от 11 апреля 2023 г. и более поздние версии
- Windows 10 — обновление от 11 апреля 2023 г. и более поздние обновления.
- Windows Server 2022 — 11 апреля 2023 г., включая обновление и более поздние версии
- Windows Server 2019 — обновление 11 апреля 2023 г. и более поздние версии
Все поддерживаемые версии этих платформ были обновлены, включая выпуски с долгосрочным обслуживанием (LTSC) с использованием Windows LAPS. Введение функции Windows LAPS не изменяет стандартные политики жизненного цикла продуктов Майкрософт.
Идентификатор Windows LAPS и Microsoft Entra
Windows LAPS с идентификатором Microsoft Entra ID и поддержкой Microsoft Intune общедоступен по состоянию на 23 октября 2023 года. Дополнительные сведения см. в статье Решение по паролю локального администратора Windows с Microsoft Entra ID теперь доступно в общедоступном режиме! и Решение по паролю локального администратора Windows в Microsoft Entra ID.
Преимущества использования Windows LAPS
Используйте Windows LAPS для регулярной смены паролей учетной записи локального администратора и управления ими и получения следующих преимуществ:
- Защита от атак передачи хэша и бокового перемещения
- Улучшенная безопасность для сценариев удаленной службы технической поддержки
- Возможность входа в систему и восстановления устройств, которые в противном случае недоступны
- Детальная модель безопасности (списки управления доступом и необязательное шифрование паролей) для защиты паролей, хранящихся в Windows Server Active Directory
- Поддержка модели управления доступом на основе ролей Microsoft Entra для защиты паролей, хранящихся в идентификаторе Microsoft Entra
Информационные видео
В следующих видеороликах представлен информативный способ просмотра дополнительных возможностей Windows LAPS.
Презентация Windows по техническому запуску (ноябрь 2022 г.):
Обсуждение Windows о решении технологических вопросов (август 2023 г.):
Ключевые сценарии LAPS для Windows
Windows LAPS можно использовать для нескольких основных сценариев:
Резервное копирование паролей учетных записей локального администратора в идентификатор Microsoft Entra ( для устройств, присоединенных к Microsoft Entra)
Резервное копирование паролей учетных записей локального администратора в Windows Server Active Directory (для клиентов и серверов, присоединенных к Windows Server Active Directory)
Резервное копирование паролей учетной записи DSRM в Windows Server Active Directory (для контроллеров домена Windows Server Active Directory)
Резервное копирование паролей учетной записи локального администратора в Windows Server Active Directory с помощью устаревшей версии Microsoft LAPS
В каждом сценарии можно применять различные параметры политики.
Общие сведения об ограничениях состояния соединения устройств
На то, как можно использовать Windows LAPS, влияет то, присоединено ли устройство к Microsoft Entra ID или Windows Server Active Directory.
- Устройства, присоединенные только к Microsoft Entra ID, могут создавать резервные копии паролей только в Microsoft Entra ID.
- Устройства, присоединенные только к Windows Server Active Directory, могут создавать резервные копии паролей только в Windows Server Active Directory.
- Устройства, присоединенные к гибридному соединению (присоединенные к идентификатору Microsoft Entra и Windows Server Active Directory), могут создавать резервные копии паролей в идентификатор Microsoft Entra или в Windows Server Active Directory.
Не удается создать резервную копию паролей как в идентификаторе Microsoft Entra, так и в Windows Server Active Directory.
Windows LAPS не поддерживает клиенты Microsoft Entra, присоединенные к рабочему месту.
Настройка политики Windows LAPS
Чтобы настроить политику для развертывания Windows LAPS и управлять ими, у вас есть несколько вариантов:
- Поставщик служб конфигурации Windows LAPS (CSP)
- Групповая политика Windows LAPS
- Устаревшая версия Microsoft LAPS
Управление и мониторинг Windows LAPS
Вы также можете управлять и отслеживать Windows LAPS с помощью различных опций.
Варианты для Windows:
- Диалоговое окно свойств пользователей и компьютеров Windows Server Active Directory.
- Выделенный канал журнала событий.
- Модуль Windows PowerShell, относящееся к Windows LAPS.
Решения для мониторинга и создания отчетов на основе Entra доступны при резервном копировании паролей в Microsoft Entra ID.
Отмена устаревшего продукта Microsoft LAPS
Внимание
устаревший продукт Microsoft LAPS не рекомендуется использовать в Windows 11 23H2 и более поздних версий. Установка устаревшего пакета Microsoft LAPS Microsoft Installer (MSI) блокируется на более новых версиях ОС, и корпорация Майкрософт больше не рассматривает изменения кода для устаревшего продукта Microsoft LAPS.
Используйте Windows LAPS для управления паролями учетной записи локального администратора. Windows LAPS доступен в Windows Server 2019 и более поздних версиях, а также на поддерживаемых клиентах Windows 10 и Windows 11.
Корпорация Майкрософт продолжит поддерживать устаревший продукт Microsoft LAPS в более ранних версиях Windows (более ранних версий, чем Windows 11 23H2), на которых он ранее поддерживался. Эта поддержка будет завершена после нормального окончания поддержки этих версий ОС.
Windows LAPS и устаревшая версия Microsoft LAPS
Windows LAPS наследует множество концепций проектирования от устаревшей версии Microsoft LAPS. Если вы знакомы с устаревшей версией Microsoft LAPS, многие функции Windows LAPS знакомы. Ключевое отличие заключается в том, что Windows LAPS является полностью отдельной реализацией, которая является собственной для Windows. Windows LAPS также добавляет множество функций, которые недоступны в устаревшей версии Microsoft LAPS. Вы можете использовать Windows LAPS для резервного копирования паролей в идентификатор Microsoft Entra, шифрования паролей в Windows Server Active Directory и хранения журнала паролей.
Внимание
Windows LAPS не требует установки устаревшей версии Microsoft LAPS. Вы можете полностью развернуть и использовать все функции Windows LAPS без установки или обращения к устаревшей версии Microsoft LAPS. Но чтобы помочь перенести существующее устаревшее развертывание Microsoft LAPS, Windows LAPS предлагает устаревший режим эмуляции Microsoft LAPS.
Внимание
Устаревший продукт Microsoft LAPS устарел на более новых версиях ОС Майкрософт. Дополнительные сведения см. в статье о прекращении использования устаревшего продукта Microsoft LAPS.
Заявление о поддержке
Корпорация Майкрософт выпустила устаревший продукт Microsoft LAPS в календарном году 2016 года в Центре загрузки Майкрософт. Windows LAPS поставляется в составе обновлений Windows, выпущенных 11 апреля 2023 г., для платформ, перечисленных в Windows LAPS и Microsoft Entra ID.
Корпорация Майкрософт и её служба поддержки предлагают помощь в использовании Microsoft LAPS и Windows LAPS, включая совместимость между этими двумя продуктами.
Внимание
Устаревший продукт Microsoft LAPS устарел на более новых версиях ОС Майкрософт. Дополнительные сведения см. в статье о прекращении использования устаревшего продукта Microsoft LAPS.
Настоятельно рекомендуется приступить к миграции систем с поддержкой Windows LAPS с устаревшей версии Microsoft LAPS на функцию Windows LAPS. Windows LAPS предлагает множество новых функций безопасности и улучшенную обслуживание продуктов.
Вопросы об ограничениях и взаимодействии между сторонними средствами управления паролями учетных записей и Windows LAPS должны направляться сторонним разработчикам приложений, а не корпорации Майкрософт.
Требования к лицензированию
Сама функция Windows LAPS доступна бесплатно на всех поддерживаемых платформах Windows.
Вы можете создавать резервные копии паролей в Windows Server Active Directory без других требований к лицензированию.
Вы можете создавать резервные копии паролей в идентификатор Microsoft Entra с помощью бесплатной или более поздней лицензии Microsoft Entra ID.
Другие функции, связанные с Entra или Intune, могут иметь другие требования к лицензированию.
Отправка отзывов
Хотите отправить нам отзыв? Вы можете отправить вопросы, относящиеся к документу, с помощью ссылок обратной связи в нижней части этой страницы.
Вы также можете отправить отзывы и другие запросы на странице Windows LAPS Tech Community.
Если ваш отзыв относится к функциям LAPS, связанным с идентификатором Microsoft Entra или Intune, вы можете отправить отзыв через форуме отзывов Microsoft Entra.
Если вы не уверены, куда следует отправить отзыв, отправьте его с помощью любого из этих вариантов.
См. также
- Знакомство с решением для пароля локального администратора Windows с идентификатором Microsoft Entra
- Решение для управления паролем локального администратора Windows в Microsoft Entra ID
- Решение для локального администратора Windows с паролем от Microsoft Entra ID теперь общедоступно!
- Поддержка Microsoft Intune для Windows LAPS
- LAPS CSP
- Руководство по устранению неполадок Windows LAPS
- Справочник по модулю LAPS PowerShell
- Устаревшая версия Microsoft LAPS