Поделиться через


Что такое Windows LAPS?

Решение для пароля локального администратора Windows (Windows LAPS) — это функция Windows, которая автоматически управляет и резервирует пароль учетной записи локального администратора на устройствах, подключенных к Microsoft Entra или Windows Server Active Directory. Вы также можете использовать Windows LAPS для автоматического управления и резервного копирования пароля учетной записи режима восстановления служб каталогов (DSRM) на контроллерах домена Windows Server Active Directory. Авторизованный администратор может получить пароль DSRM и использовать его.

Поддерживаемые платформы Windows LAPS

Windows LAPS доступен на следующих платформах ОС:

Все поддерживаемые версии этих платформ были обновлены, включая выпуски с долгосрочным обслуживанием (LTSC) с использованием Windows LAPS. Введение функции Windows LAPS не изменяет стандартные политики жизненного цикла продуктов Майкрософт.

Идентификатор Windows LAPS и Microsoft Entra

Windows LAPS с идентификатором Microsoft Entra ID и поддержкой Microsoft Intune общедоступен по состоянию на 23 октября 2023 года. Дополнительные сведения см. в статье Решение по паролю локального администратора Windows с Microsoft Entra ID теперь доступно в общедоступном режиме! и Решение по паролю локального администратора Windows в Microsoft Entra ID.

Преимущества использования Windows LAPS

Используйте Windows LAPS для регулярной смены паролей учетной записи локального администратора и управления ими и получения следующих преимуществ:

  • Защита от атак передачи хэша и бокового перемещения
  • Улучшенная безопасность для сценариев удаленной службы технической поддержки
  • Возможность входа в систему и восстановления устройств, которые в противном случае недоступны
  • Детальная модель безопасности (списки управления доступом и необязательное шифрование паролей) для защиты паролей, хранящихся в Windows Server Active Directory
  • Поддержка модели управления доступом на основе ролей Microsoft Entra для защиты паролей, хранящихся в идентификаторе Microsoft Entra

Информационные видео

В следующих видеороликах представлен информативный способ просмотра дополнительных возможностей Windows LAPS.

Презентация Windows по техническому запуску (ноябрь 2022 г.):

Обсуждение Windows о решении технологических вопросов (август 2023 г.):

Ключевые сценарии LAPS для Windows

Windows LAPS можно использовать для нескольких основных сценариев:

  • Резервное копирование паролей учетных записей локального администратора в идентификатор Microsoft Entra ( для устройств, присоединенных к Microsoft Entra)

  • Резервное копирование паролей учетных записей локального администратора в Windows Server Active Directory (для клиентов и серверов, присоединенных к Windows Server Active Directory)

  • Резервное копирование паролей учетной записи DSRM в Windows Server Active Directory (для контроллеров домена Windows Server Active Directory)

  • Резервное копирование паролей учетной записи локального администратора в Windows Server Active Directory с помощью устаревшей версии Microsoft LAPS

В каждом сценарии можно применять различные параметры политики.

Общие сведения об ограничениях состояния соединения устройств

На то, как можно использовать Windows LAPS, влияет то, присоединено ли устройство к Microsoft Entra ID или Windows Server Active Directory.

  • Устройства, присоединенные только к Microsoft Entra ID, могут создавать резервные копии паролей только в Microsoft Entra ID.
  • Устройства, присоединенные только к Windows Server Active Directory, могут создавать резервные копии паролей только в Windows Server Active Directory.
  • Устройства, присоединенные к гибридному соединению (присоединенные к идентификатору Microsoft Entra и Windows Server Active Directory), могут создавать резервные копии паролей в идентификатор Microsoft Entra или в Windows Server Active Directory.

Не удается создать резервную копию паролей как в идентификаторе Microsoft Entra, так и в Windows Server Active Directory.

Windows LAPS не поддерживает клиенты Microsoft Entra, присоединенные к рабочему месту.

Настройка политики Windows LAPS

Чтобы настроить политику для развертывания Windows LAPS и управлять ими, у вас есть несколько вариантов:

Управление и мониторинг Windows LAPS

Вы также можете управлять и отслеживать Windows LAPS с помощью различных опций.

Варианты для Windows:

  • Диалоговое окно свойств пользователей и компьютеров Windows Server Active Directory.
  • Выделенный канал журнала событий.
  • Модуль Windows PowerShell, относящееся к Windows LAPS.

Решения для мониторинга и создания отчетов на основе Entra доступны при резервном копировании паролей в Microsoft Entra ID.

Отмена устаревшего продукта Microsoft LAPS

Внимание

устаревший продукт Microsoft LAPS не рекомендуется использовать в Windows 11 23H2 и более поздних версий. Установка устаревшего пакета Microsoft LAPS Microsoft Installer (MSI) блокируется на более новых версиях ОС, и корпорация Майкрософт больше не рассматривает изменения кода для устаревшего продукта Microsoft LAPS.

Используйте Windows LAPS для управления паролями учетной записи локального администратора. Windows LAPS доступен в Windows Server 2019 и более поздних версиях, а также на поддерживаемых клиентах Windows 10 и Windows 11.

Корпорация Майкрософт продолжит поддерживать устаревший продукт Microsoft LAPS в более ранних версиях Windows (более ранних версий, чем Windows 11 23H2), на которых он ранее поддерживался. Эта поддержка будет завершена после нормального окончания поддержки этих версий ОС.

Windows LAPS и устаревшая версия Microsoft LAPS

Windows LAPS наследует множество концепций проектирования от устаревшей версии Microsoft LAPS. Если вы знакомы с устаревшей версией Microsoft LAPS, многие функции Windows LAPS знакомы. Ключевое отличие заключается в том, что Windows LAPS является полностью отдельной реализацией, которая является собственной для Windows. Windows LAPS также добавляет множество функций, которые недоступны в устаревшей версии Microsoft LAPS. Вы можете использовать Windows LAPS для резервного копирования паролей в идентификатор Microsoft Entra, шифрования паролей в Windows Server Active Directory и хранения журнала паролей.

Внимание

Windows LAPS не требует установки устаревшей версии Microsoft LAPS. Вы можете полностью развернуть и использовать все функции Windows LAPS без установки или обращения к устаревшей версии Microsoft LAPS. Но чтобы помочь перенести существующее устаревшее развертывание Microsoft LAPS, Windows LAPS предлагает устаревший режим эмуляции Microsoft LAPS.

Внимание

Устаревший продукт Microsoft LAPS устарел на более новых версиях ОС Майкрософт. Дополнительные сведения см. в статье о прекращении использования устаревшего продукта Microsoft LAPS.

Заявление о поддержке

Корпорация Майкрософт выпустила устаревший продукт Microsoft LAPS в календарном году 2016 года в Центре загрузки Майкрософт. Windows LAPS поставляется в составе обновлений Windows, выпущенных 11 апреля 2023 г., для платформ, перечисленных в Windows LAPS и Microsoft Entra ID.

Корпорация Майкрософт и её служба поддержки предлагают помощь в использовании Microsoft LAPS и Windows LAPS, включая совместимость между этими двумя продуктами.

Внимание

Устаревший продукт Microsoft LAPS устарел на более новых версиях ОС Майкрософт. Дополнительные сведения см. в статье о прекращении использования устаревшего продукта Microsoft LAPS.

Настоятельно рекомендуется приступить к миграции систем с поддержкой Windows LAPS с устаревшей версии Microsoft LAPS на функцию Windows LAPS. Windows LAPS предлагает множество новых функций безопасности и улучшенную обслуживание продуктов.

Вопросы об ограничениях и взаимодействии между сторонними средствами управления паролями учетных записей и Windows LAPS должны направляться сторонним разработчикам приложений, а не корпорации Майкрософт.

Требования к лицензированию

Сама функция Windows LAPS доступна бесплатно на всех поддерживаемых платформах Windows.

Вы можете создавать резервные копии паролей в Windows Server Active Directory без других требований к лицензированию.

Вы можете создавать резервные копии паролей в идентификатор Microsoft Entra с помощью бесплатной или более поздней лицензии Microsoft Entra ID.

Другие функции, связанные с Entra или Intune, могут иметь другие требования к лицензированию.

Отправка отзывов

Хотите отправить нам отзыв? Вы можете отправить вопросы, относящиеся к документу, с помощью ссылок обратной связи в нижней части этой страницы.

Вы также можете отправить отзывы и другие запросы на странице Windows LAPS Tech Community.

Если ваш отзыв относится к функциям LAPS, связанным с идентификатором Microsoft Entra или Intune, вы можете отправить отзыв через форуме отзывов Microsoft Entra.

Если вы не уверены, куда следует отправить отзыв, отправьте его с помощью любого из этих вариантов.

См. также

Следующие шаги