Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Meer informatie over het basisontwerp en de beveiligingsconcepten voor Windows Local Administrator Password Solution (Windows LAPS), waaronder:
- Architecture
- Basisscenariostroom
- Cyclus van verwerking van achtergrondbeleid
- Microsoft Entra-wachtwoorden
- Windows Server Active Directory-wachtwoorden
- Wachtwoord opnieuw instellen na verificatie
- Beveiliging tegen manipulatie van accountwachtwoorden
- Veilige modus van Windows
Windows LAPS-architectuur
In de volgende afbeelding ziet u de Windows LAPS-architectuur:
Het architectuurdiagram van Windows LAPS heeft verschillende belangrijke onderdelen:
IT-beheerder: vertegenwoordigt gezamenlijk de verschillende IT-beheerdersrollen die kunnen worden betrokken bij een Windows LAPS-implementatie. De IT-beheerdersrollen zijn betrokken bij de beleidsconfiguratie, het verlopen of ophalen van opgeslagen wachtwoorden en het werken met beheerde apparaten.
Beheerd apparaat: Vertegenwoordigt een aan Microsoft Entra gekoppeld of Windows Server Active Directory-apparaat waarop u een lokaal beheerdersaccount wilt beheren. De functie bestaat uit enkele belangrijke binaire bestanden: laps.dll voor kernlogica, lapscsp.dll voor CSP-logica (Configuration Service Provider) en lapspsh.dll voor PowerShell-cmdletlogica. U kunt Windows LAPS ook configureren met behulp van Groepsbeleid. Windows LAPS reageert op wijzigingsmeldingen van het groepsbeleidsobject (GPO). Het beheerde apparaat kan een Windows Server Active Directory-domeincontroller zijn en worden geconfigureerd voor het maken van back-ups van DSRM-accountwachtwoorden (Directory Services Repair Mode).
Windows Server Active Directory: een on-premises Implementatie van Windows Server Active Directory.
Microsoft Entra-id: een Microsoft Entra-implementatie die wordt uitgevoerd in de cloud.
Microsoft Intune De voorkeursoplossing voor Microsoft-apparaatbeleidsbeheer, die ook in de cloud wordt uitgevoerd.
Basisscenariostroom
De eerste stap in een eenvoudig Windows LAPS-scenario is het configureren van het Windows LAPS-beleid voor uw organisatie. U wordt aangeraden de volgende configuratieopties te gebruiken:
Aan Microsoft Entra gekoppelde apparaten: Microsoft Intune gebruiken.
Windows Server Active Directory-gekoppelde apparaten: Groepsbeleid gebruiken.
Hybride apparaten van Microsoft Entra die zijn ingeschreven bij Microsoft Intune: Gebruik Microsoft Intune.
Nadat het beheerde apparaat is geconfigureerd met een beleid waarmee Windows LAPS wordt ingeschakeld, begint het apparaat het geconfigureerde wachtwoord voor het lokale account te beheren. Wanneer het wachtwoord verloopt, genereert het apparaat een nieuw, willekeurig wachtwoord dat voldoet aan de lengte- en complexiteitsvereisten van het huidige beleid.
Wanneer een nieuw wachtwoord wordt gevalideerd, slaat het apparaat het wachtwoord op in de geconfigureerde map, windows Server Active Directory of Microsoft Entra-id. Een gekoppelde verlooptijd voor wachtwoorden, die is gebaseerd op de instelling voor wachtwoordduur van het huidige beleid, wordt ook berekend en opgeslagen in de map. Het apparaat roteert het wachtwoord automatisch wanneer de verlooptijd van het wachtwoord is bereikt.
Wanneer het wachtwoord voor het lokale account wordt opgeslagen in de relevante map, heeft een geautoriseerde IT-beheerder toegang tot het wachtwoord. Wachtwoorden die zijn opgeslagen in Microsoft Entra ID, worden beveiligd via een op rollen gebaseerd toegangsbeheermodel. Wachtwoorden die zijn opgeslagen in Windows Server Active Directory, worden beveiligd via toegangsbeheerlijsten (ACL's) en eventueel ook via wachtwoordversleuteling.
U kunt het wachtwoord roteren vóór de normaal verwachte verlooptijd. Draai een wachtwoord vóór een geplande vervaldatum met behulp van een van de volgende methoden:
- Draai het wachtwoord handmatig op het beheerde apparaat zelf met behulp van de
Reset-LapsPasswordcmdlet. - Roep de actie ResetPassword Execute aan in de Windows LAPS-CSP.
- Wijzig de verlooptijd van het wachtwoord in de map (alleen van toepassing op Windows Server Active Directory).
- Activeer automatische rotatie wanneer het beheerde account wordt gebruikt om te verifiëren bij het beheerde apparaat.
Cyclus van verwerking van achtergrondbeleid
Windows LAPS maakt gebruik van een achtergrondtaak die elk uur wakker wordt om het huidige actieve beleid te verwerken. Deze taak is niet geïmplementeerd met een Windows Task Scheduler-taak en kan niet worden geconfigureerd.
Wanneer de achtergrondtaak wordt uitgevoerd, wordt de volgende basisstroom uitgevoerd:
Het voor de hand liggende belangrijkste verschil tussen de Microsoft Entra ID-stroom en de Windows Server Active Directory-stroom is gerelateerd aan hoe de verlooptijd van het wachtwoord wordt gecontroleerd. In beide scenario's wordt de verlooptijd van het wachtwoord naast het meest recente wachtwoord in de map opgeslagen.
In het Microsoft Entra-scenario peilt het beheerde apparaat microsoft Entra-id niet. In plaats daarvan wordt de huidige verlooptijd van het wachtwoord lokaal op het apparaat bijgehouden.
In het Windows Server Active Directory-scenario controleert het beheerde apparaat regelmatig de directory om de verlooptijd van het wachtwoord op te vragen en wordt het uitgevoerd wanneer het wachtwoord verloopt.
De beleidsverwerkingscyclus handmatig starten
Windows LAPS reageert wel op wijzigingsmeldingen voor groepsbeleid. U kunt de beleidsverwerkingscyclus op twee manieren handmatig starten:
Een groepsbeleid vernieuwen afdwingen. Hier is een voorbeeld:
gpupdate.exe /target:computer /forceVoer de cmdlet
Invoke-LapsPolicyProcessinguit. Deze methode heeft de voorkeur omdat deze meer bereik heeft.
Tip
De eerder uitgebrachte Microsoft LAPS (legacy Microsoft LAPS) is ontwikkeld als een Groepsbeleid Client Side Extension (CSE). Groepsbeleidsobjecten worden geladen en aangeroepen in elke vernieuwingscyclus van Groepsbeleid. De frequentie van de verouderde Polling-cyclus van Microsoft LAPS is hetzelfde als de frequentie van de vernieuwingscyclus van Groepsbeleid. Windows LAPS is niet gebouwd als een CSE, dus de pollingcyclus is vastgelegd in één keer per uur. Windows LAPS wordt niet beïnvloed door de vernieuwingscyclus voor groepsbeleid.
Microsoft Entra-wachtwoorden
Wanneer u een back-up maakt van wachtwoorden naar Microsoft Entra ID, worden wachtwoorden voor het beheerde lokale account opgeslagen in het Microsoft Entra-apparaatobject. Windows LAPS wordt geverifieerd bij Microsoft Entra ID met behulp van de apparaat-id van het beheerde apparaat. Gegevens die zijn opgeslagen in Microsoft Entra ID zijn zeer veilig, maar voor extra beveiliging wordt het wachtwoord verder versleuteld voordat het wordt bewaard. Deze extra versleutelingslaag wordt verwijderd voordat het wachtwoord wordt geretourneerd naar geautoriseerde clients.
Standaard kunnen alleen leden van de rollen Globale beheerder, Cloudapparaatbeheerder en Intune-beheerder het wachtwoord voor duidelijke tekst ophalen.
Windows Server Active Directory-wachtwoorden
In de volgende secties vindt u belangrijke informatie over het gebruik van Windows LAPS met Windows Server Active Directory.
Wachtwoordbeveiliging
Wanneer u een back-up maakt van wachtwoorden naar Windows Server Active Directory, worden wachtwoorden voor het beheerde lokale account opgeslagen op het computerobject. Windows LAPS beveiligt deze wachtwoorden met behulp van twee mechanismen:
- ACLs
- Versleutelde wachtwoorden
ACLs
De frontline van wachtwoordbeveiliging in Windows Server Active Directory maakt gebruik van ACL's die zijn ingesteld op het computerobject dat een organisatie-eenheid (OE) bevat. De ACL's worden overgenomen door het computerobject zelf. U kunt opgeven wie verschillende wachtwoordkenmerken kan lezen met behulp van de Set-LapsADReadPasswordPermission cmdlet. Op dezelfde manier kunt u opgeven wie het kenmerk voor de verlooptijd van het wachtwoord kan lezen en instellen met behulp van de Set-LapsADResetPasswordPermission cmdlet.
Versleutelde wachtwoorden
De tweede regel wachtwoordbeveiliging maakt gebruik van de functie Windows Server Active Directory-wachtwoordversleuteling. Als u Windows Server Active Directory-wachtwoordversleuteling wilt gebruiken, moet uw domein worden uitgevoerd op het Windows Server 2016 Domain Functional Level (DFL) of hoger. Wanneer dit is ingeschakeld, wordt het wachtwoord eerst versleuteld, zodat alleen een specifieke beveiligingsprincipaal (een groep of gebruiker) het kan ontsleutelen. De wachtwoordversleuteling vindt plaats op het beheerde apparaat zelf voordat het apparaat het wachtwoord naar de map verzendt.
Important
- We raden u ten zeerste aan om wachtwoordversleuteling in te schakelen wanneer u uw Windows LAPS-wachtwoorden opslaat in Windows Server Active Directory.
- Microsoft biedt geen ondersteuning voor het ophalen van eerder ontsleutelde LAPS-wachtwoorden in een domein met een DFL ouder dan de Windows Server 2016-DFL. De bewerking kan al dan niet slagen, afhankelijk van of domeincontrollers met eerdere versies dan Windows Server 2016 zijn gepromoveerd naar het domein.
Machtigingen voor gebruikersgroepen
Wanneer u het beveiligingsmodel voor het ophalen van wachtwoorden ontwerpt, moet u rekening houden met de informatie in de volgende afbeelding:
Het diagram illustreert de voorgestelde beveiligingslagen voor Windows Server Active Directory-wachtwoorden en hun relatie met elkaar.
De buitenste cirkel (groen) bestaat uit beveiligingsprincipals die zijn gemachtigd om het kenmerk voor de verlooptijd van het wachtwoord te lezen of in te stellen op computerobjecten in de map. Deze mogelijkheid is een gevoelige machtiging, maar wordt beschouwd als niet-destructief. Een aanvaller die deze machtiging krijgt, kan afdwingen dat beheerde apparaten vaker worden gedraaid.
De middelste cirkel (geel) bestaat uit beveiligingsprinciplen die zijn gemachtigd om wachtwoordkenmerken te lezen of in te stellen op computerobjecten in de map. Deze mogelijkheid is een gevoelige machtiging en moet zorgvuldig worden bewaakt. De veiligste methode is om dit machtigingsniveau te reserveren voor leden van de beveiligingsgroep Domeinadministrators.
De binnenste cirkel (rood) is alleen van toepassing wanneer wachtwoordversleuteling is ingeschakeld. De binnenste cirkel bestaat uit groepen of gebruikers die ontsleutelingsmachtigingen krijgen voor versleutelde wachtwoordkenmerken op computerobjecten in de map. Net als de machtiging in de middelste cirkel is deze mogelijkheid een gevoelige machtiging en moet zorgvuldig worden gecontroleerd. De veiligste methode is om dit machtigingsniveau te reserveren voor leden van de groep Domeinadministrators.
Important
Overweeg om uw beveiligingslagen aan te passen aan de gevoeligheid van de beheerde machines in uw organisatie. Het kan bijvoorbeeld acceptabel zijn dat frontline IT-werkapparaten toegankelijk zijn voor helpdeskbeheerders, maar u wilt waarschijnlijk strengere grenzen instellen voor laptops van bedrijfsleiders.
Wachtwoordversleuteling
De functie Windows LAPS-wachtwoordversleuteling is gebaseerd op de Cryptografie-API: Next Generation Data Protection API (CNG DPAPI). CNG DPAPI ondersteunt meerdere versleutelingsmodi, maar Windows LAPS ondersteunt het versleutelen van wachtwoorden met slechts één Windows Server Active Directory-beveiligingsprincipaal (gebruiker of groep). De onderliggende versleuteling is gebaseerd op AES-256-versleuteling (Advanced Encryption Standard 256).
U kunt de beleidsinstelling ADPasswordEncryptionPrincipal gebruiken om een specifieke beveiligingsprincipal in te stellen voor het versleutelen van het wachtwoord. Als ADPasswordEncryptionPrincipal niet is opgegeven, versleutelt Windows LAPS het wachtwoord ten opzichte van de groep Domain Admins van het domein van het beheerde apparaat. Voordat een beheerd apparaat een wachtwoord versleutelt, controleert het apparaat altijd of de opgegeven gebruiker of groep kan worden opgelost.
Tip
- Windows LAPS ondersteunt het versleutelen van wachtwoorden met slechts één beveiligingsprincipaal. CNG DPAPI biedt wel ondersteuning voor versleuteling tegen meerdere veiligheidsprincipals, maar deze modus wordt niet ondersteund door Windows LAPS omdat dit de grootte van de versleutelde wachtwoordbuffers vergroot. Als u ontsleutelingsmachtigingen moet verlenen aan meerdere beveiligingsprinciplen om de beperking op te lossen, kunt u een wrappergroep maken met alle relevante beveiligingsprinciplen als leden.
- De beveiligingsprincipaal die is gemachtigd om het wachtwoord te ontsleutelen, kan niet worden gewijzigd nadat een wachtwoord is versleuteld.
Versleutelde wachtwoordgeschiedenis
Windows LAPS ondersteunt een functie voor wachtwoordgeschiedenis voor windows Server Active Directory-clients en domeincontrollers die lid zijn van een domein. Wachtwoordgeschiedenis wordt alleen ondersteund wanneer wachtwoordversleuteling is ingeschakeld. Wachtwoordgeschiedenis wordt niet ondersteund als u wachtwoorden zonder tekst opslaat in Windows Server Active Directory.
Wanneer versleutelde wachtwoordgeschiedenis is ingeschakeld en het tijd is om het wachtwoord te roteren, leest het beheerde apparaat eerst de huidige versie van het versleutelde wachtwoord uit Windows Server Active Directory. Het huidige wachtwoord wordt vervolgens toegevoegd aan de wachtwoordgeschiedenis. Eerdere versies van het wachtwoord in de geschiedenis worden zo nodig verwijderd om te voldoen aan de geconfigureerde maximale geschiedenisbeperking.
Tip
De functie wachtwoordgeschiedenis werkt alleen als aan het beheerde apparaat selfmachtigingen worden verleend om de huidige versie van het versleutelde wachtwoord uit Windows Server Active Directory te lezen. Deze vereiste wordt automatisch afgehandeld wanneer u de Set-LapsADComputerSelfPermission cmdlet uitvoert.
Important
U wordt aangeraden nooit machtigingen te verlenen aan een beheerd apparaat om een versleuteld wachtwoord te ontsleutelen voor elk apparaat, inclusief voor het apparaat zelf.
Ondersteuning voor DSRM-wachtwoorden
Windows LAPS ondersteunt het maken van een back-up van het DSRM-accountwachtwoord op Windows Server-domeincontrollers. Een back-up van DSRM-accountwachtwoorden kan alleen worden gemaakt in Windows Server Active Directory en als wachtwoordversleuteling is ingeschakeld. Anders werkt deze functie vrijwel identiek aan de manier waarop ondersteuning voor versleutelde wachtwoorden werkt voor Windows Server Active Directory-clients.
Het maken van back-ups van DSRM-wachtwoorden naar Microsoft Entra-id wordt niet ondersteund.
Important
Wanneer DSRM-wachtwoordback-up is ingeschakeld, kan het huidige DSRM-wachtwoord voor elke domeincontroller worden opgehaald als ten minste één domeincontroller in dat domein toegankelijk is.
Overweeg een catastrofaal scenario waarin alle domeincontrollers in een domein niet beschikbaar zijn. In dat geval kunt u, zolang u regelmatig back-ups onderhoudt volgens best practices voor Active Directory, nog steeds DSRM-wachtwoorden herstellen uit back-ups met behulp van de procedure die wordt beschreven in Wachtwoorden ophalen tijdens scenario's voor herstel na noodgevallen van Active Directory.
Wachtwoord opnieuw instellen na verificatie
Windows LAPS biedt ondersteuning voor het automatisch roteren van het wachtwoord voor het lokale beheerdersaccount als wordt gedetecteerd dat het lokale beheerdersaccount is gebruikt voor verificatie. Deze functie is bedoeld om de hoeveelheid tijd te binden die het wachtwoord voor duidelijke tekst kan worden gebruikt. U kunt een respijtperiode configureren om een gebruiker tijd te geven om de beoogde acties te voltooien.
Wachtwoord opnieuw instellen nadat verificatie niet wordt ondersteund voor het DSRM-account op domeincontrollers.
Beveiliging tegen manipulatie van accountwachtwoorden
Wanneer Windows LAPS is geconfigureerd voor het beheren van een wachtwoord voor een lokaal beheerdersaccount, is dat account beveiligd tegen onbedoelde of onopzettelijke manipulatie. Deze beveiliging wordt uitgebreid naar het DSRM-account wanneer Windows LAPS dat account beheert op een Windows Server Active Directory-domeincontroller.
Windows LAPS weigert onverwachte pogingen om het wachtwoord van het account te wijzigen met een STATUS_POLICY_CONTROLLED_ACCOUNT fout (0xC000A08B) of ERROR_POLICY_CONTROLLED_ACCOUNT (0x21CE\8654). Elke dergelijke afwijzing wordt genoteerd met een 10031-gebeurtenis in het gebeurtenislogboekkanaal van Windows LAPS.
Uitgeschakeld in de veilige modus van Windows
Wanneer Windows wordt gestart in de veilige modus, de DSRM-modus of in een andere niet-normale opstartmodus, wordt Windows LAPS uitgeschakeld. Er wordt gedurende deze tijd geen back-up gemaakt van het wachtwoord van het beheerde account, zelfs niet als het een verlopen status heeft.
Windows LAPS-integratie met smartcardbeleid
Het door Windows LAPS beheerde account wordt uitgesloten wanneer het beleid 'Interactieve aanmelding: Windows Hello voor Bedrijven of smartcard vereisen' (ook wel SCForceOption genoemd) is ingeschakeld. Zie Aanvullende instellingen voor groepsbeleid voor smartcards en registersleutels.
Hoe een Windows LAPS-beleid wordt toegepast op een nieuw clientapparaat
In de volgende secties wordt beschreven hoe een Windows LAPS-beleid wordt toegepast op een nieuw clientapparaat.
Nieuw installatiescenario voor het besturingssysteem met een Windows LAPS-beleid
Windows LAPS is ingebouwd in het Windows-besturingssysteem. Het is een Windows-basisbeveiligingsfunctie en kan niet worden verwijderd. Het is daarom belangrijk om rekening te houden met het effect dat een Windows LAPS-beleid kan hebben tijdens een nieuwe installatie van het besturingssysteem.
De belangrijkste factor waar u rekening mee moet houden, is dat Windows LAPS altijd 'ingeschakeld' is. Zodra een Windows LAPS-beleid op het apparaat wordt toegepast, begint Windows LAPS onmiddellijk met het afdwingen van het beleid. Dit gedrag kan onderbrekingen veroorzaken als op een bepaald moment uw werkstroom voor besturingssysteemimplementatie betrekking heeft op het toevoegen van een apparaat aan een organisatie-eenheid met een ingeschakeld Windows LAPS-beleid. Als het Windows LAPS-beleid is gericht op hetzelfde lokale account waarmee de implementatiewerkstroom is aangemeld, wordt de werkstroom waarschijnlijk verbroken door de onmiddellijke wijziging van het wachtwoord voor het lokale account (bijvoorbeeld na het automatisch opnieuw opstarten).
De eerste techniek om dit probleem te verhelpen, is het gebruik van een schone staging-organisatie-eenheid (OU). Een staging-OU wordt beschouwd als een tijdelijke locatie voor het account van het apparaat waarop een minimale set vereiste beleidsregels wordt toegepast, en mag geen Windows LAPS-beleid toepassen. Aan het einde van de werkstroom voor besturingssysteemimplementatie wordt het account van het apparaat naar de uiteindelijke doel-OU verplaatst. Microsoft raadt het gebruik van een schone faserings-OE aan als een algemene best practice.
Een tweede techniek is het configureren van het Windows LAPS-beleid om op een ander account te richten dan het account dat wordt gebruikt door het implementatiewerkstroom van het besturingssysteem. Als best practice moeten lokale accounts die aan het einde van de implementatiewerkstroom van het besturingssysteem overbodig zijn, worden verwijderd.
Nieuw installatiescenario voor het besturingssysteem met een verouderd LAPS-beleid
Dit scenario heeft dezelfde basisproblemen als het installatiescenario voor het nieuwe besturingssysteem met een Windows LAPS-beleid, maar heeft een aantal speciale problemen met betrekking tot de ondersteuning van Windows LAPS voor de verouderde LAPS-emulatiemodus.
Nogmaals, de primaire factor waar u rekening mee moet houden, is dat Windows LAPS altijd 'aan' is. Zodra een verouderd LAPS-beleid wordt toegepast op het apparaat en ervan uitgaande dat aan alle verouderde LAPS-emulatiemoduscriteria wordt voldaan, begint Windows LAPS onmiddellijk met het afdwingen van het beleid. Dit gedrag kan onderbrekingen veroorzaken als op een bepaald moment uw werkstroom voor besturingssysteemimplementatie betrekking heeft op het toevoegen van een apparaat aan een organisatie-eenheid met een verouderd LAPS-beleid. Als het verouderde LAPS-beleid is gericht op hetzelfde lokale account waarmee de implementatiewerkstroom is aangemeld, wordt de werkstroom waarschijnlijk verbroken door de onmiddellijke wijziging van het wachtwoord voor het lokale account (bijvoorbeeld na het automatisch opnieuw opstarten).
De eerste techniek om dit probleem te verhelpen, is het gebruik van een schone staging-organisatie-eenheid (OU). Een faseringsorganisatie-eenheid (OE) wordt beschouwd als een tijdelijke thuisbasis voor het account van het apparaat, waarop een minimale set vereiste beleidsregels wordt toegepast en dat geen verouderd LAPS-beleid zou moeten toepassen. Aan het einde van de werkstroom voor besturingssysteemimplementatie wordt het account van het apparaat naar de uiteindelijke doel-OU verplaatst. Microsoft raadt het gebruik van een schone faserings-OE aan als een algemene best practice.
Een tweede techniek is om het verouderde LAPS-beleid te configureren zodat het zich richt op een ander account dan het account dat wordt gebruikt door de implementatieworkflow van het besturingssysteem. Als best practice moeten lokale accounts die aan het einde van de implementatiewerkstroom van het besturingssysteem overbodig zijn, worden verwijderd.
Een derde techniek is het uitschakelen van de verouderde LAPS-emulatiemodus aan het begin van de werkstroom voor de implementatie van het besturingssysteem en het inschakelen (indien nodig) aan het einde van de implementatiewerkstroom van het besturingssysteem.
Detectie en beperking van terugdraaien van Windows LAPS OS-installatiekopieën
Wanneer een installatiekopie van een live-besturingssysteem wordt teruggezet naar een eerdere versie, is het resultaat vaak een 'verscheurde toestand' waarbij het wachtwoord dat is opgeslagen in de directory niet meer overeenkomt met het wachtwoord dat lokaal op het apparaat is opgeslagen. Het probleem kan bijvoorbeeld optreden wanneer een Hyper-V virtuele machine wordt hersteld naar een eerdere momentopname.
Zodra het probleem zich voordoet, kan de IT-beheerder zich niet aanmelden bij het apparaat met behulp van het persistente Windows LAPS-wachtwoord. Het probleem wordt pas opgelost als Windows LAPS het wachtwoord roteert, maar dat kan niet gebeuren voor dagen of weken, afhankelijk van de huidige vervaldatum van het wachtwoord.
Windows LAPS vermindert dit probleem door een willekeurige GUID naar de map te schrijven op hetzelfde moment dat een nieuw wachtwoord wordt behouden, gevolgd door het opslaan van een lokale kopie. De GUID wordt opgeslagen in het kenmerk msLAPS-CurrentPasswordVersion. Tijdens elke verwerkingscyclus wordt de guid msLAPS-CurrentPasswordVersion opgevraagd en vergeleken met de lokale kopie. Als de twee GUID's verschillen, wordt het wachtwoord onmiddellijk gewijzigd.
Deze functie wordt alleen ondersteund bij het maken van back-ups van wachtwoorden tot Active Directory. Microsoft Entra-id wordt niet ondersteund.
Important
Detectie en beperking van het terugdraaien van Windows LAPS kan alleen werken als de computer nog steeds een geldig wachtwoord voor het computeraccount heeft en zich kan authenticeren bij Active Directory. Deze voorwaarde is al dan niet waar, afhankelijk van de niet-overeenkomende status die wordt veroorzaakt door het terugdraaien. Als de machine niet meer kan worden geverifieerd, zijn er andere herstelstappen vereist, zoals het opnieuw instellen van het wachtwoord van het computeraccount. Het Windows LAPS-account op de teruggedraaide computer is mogelijk nog steeds handig als de functie wachtwoordgeschiedenis van Windows LAPS is ingeschakeld.
Important
De rollback-detectie en -beperking van Windows LAPS-besturingssysteemimages wordt ondersteund in Windows 11 24H2, Windows Server 2025 en hoger. Voor deze functie is het msLAPS-CurrentPasswordVersion schemakenmerk vereist, dat alleen beschikbaar is bij het gebruik van het Windows Server 2025-forestschema. Deze attribuut wordt automatisch toegevoegd wanneer je de eerste Windows Server 2025 domeincontroller in je forest promoot; Het wordt niet geïnstalleerd door de Update-LapsADSchema cmdlet te draaien.
Zie ook
- Windows LAPS-accountbeheermodi
- Windows LAPS-wachtwoorden en wachtwoordzinnen
- CNG DPAPI
- Microsoft Intune
Volgende stappen
Nu u de basisconcepten van het Windows LAPS-ontwerp begrijpt, gaat u aan de slag met een van de volgende scenario's: