Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Zapoznaj się z podstawowymi pojęciami dotyczącymi projektowania i zabezpieczeń rozwiązania Windows Local Administrator Password Solution (Windows LAPS), w tym:
- Architecture
- Podstawowy przepływ scenariusza
- Cykl przetwarzania polityki w tle
- Microsoft Entra passwords (Hasła firmy Microsoft)
- Hasła usługi Active Directory systemu Windows Server
- Resetowanie hasła po uwierzytelnieniu
- Ochrona przed naruszeniami haseł konta
- Tryb awaryjny systemu Windows
Architektura systemu Windows LAPS
Na poniższej ilustracji przedstawiono architekturę systemu Windows LAPS:
Diagram architektury systemu Windows LAPS zawiera kilka kluczowych składników:
Administrator IT: reprezentuje zbiorczo różne role administratora IT, które mogą być zaangażowane we wdrożenie systemu Windows LAPS. Role administratora IT są związane z konfiguracją zasad, wygaśnięciem lub pobieraniem przechowywanych haseł oraz interakcją z zarządzanymi urządzeniami.
Urządzenie zarządzane: reprezentuje urządzenie przyłączone do usługi Microsoft Entra lub dołączone do usługi Active Directory systemu Windows Server, na którym chcesz zarządzać kontem administratora lokalnego. Funkcja składa się z kilku kluczowych plików binarnych: laps.dll dla podstawowej logiki, lapscsp.dll dla logiki dostawcy usług konfiguracji (CSP) i lapspsh.dll logiki poleceń cmdlet programu PowerShell. Możesz również skonfigurować Windows LAPS za pomocą Zasad Grupowych. System Windows LAPS odpowiada na powiadomienia o zmianie obiektu zasad grupy (GPO). Zarządzane urządzenie może być kontrolerem domeny usługi Active Directory systemu Windows Server i być skonfigurowane do tworzenia kopii zapasowych haseł kont trybu naprawy usług katalogowych (DSRM).
Windows Server Active Directory: lokalne wdrożenie usługi Active Directory systemu Windows Server.
Microsoft Entra ID: wdrożenie firmy Microsoft Entra uruchomione w chmurze.
Microsoft Intune Preferowane rozwiązanie do zarządzania zasadami urządzeń firmy Microsoft, które działa również w chmurze.
Podstawowy przepływ scenariusza
Pierwszym krokiem w podstawowym scenariuszu systemu Windows LAPS jest skonfigurowanie zasad systemu Windows LAPS dla organizacji. Zalecamy użycie następujących opcji konfiguracji:
Urządzenia dołączone do Microsoft Entra: Użyj Microsoft Intune.
Urządzenia przyłączone do usługi Active Directory systemu Windows Server: użyj zasad grupy.
Urządzenia dołączone hybrydowo do Microsoft Entra zarejestrowane w usłudze Microsoft Intune: użyj usługi Microsoft Intune.
Po skonfigurowaniu urządzenia zarządzanego przy użyciu zasad, które umożliwiają system Windows LAPS, urządzenie zaczyna zarządzać skonfigurowanym hasłem konta lokalnego. Po wygaśnięciu hasła urządzenie generuje nowe, losowe hasło zgodne z wymaganiami dotyczącymi długości i złożoności bieżących zasad.
Po zweryfikowaniu nowego hasła urządzenie przechowuje hasło w skonfigurowanym katalogu — Windows Server Active Directory lub Microsoft Entra ID. Powiązany czas wygaśnięcia hasła, oparty na bieżącej zasadzie dotyczącej wieku hasła, jest również obliczany i przechowywany w katalogu. Urządzenie obraca hasło automatycznie po osiągnięciu czasu wygaśnięcia hasła.
Gdy hasło konta lokalnego jest przechowywane w odpowiednim katalogu, autoryzowany administrator IT może uzyskać dostęp do hasła. Hasła przechowywane w identyfikatorze Entra firmy Microsoft są zabezpieczone za pośrednictwem modelu kontroli dostępu opartego na rolach. Hasła przechowywane w usłudze Active Directory systemu Windows Server są zabezpieczone za pośrednictwem list kontroli dostępu (ACL), a także opcjonalnie za pośrednictwem szyfrowania haseł.
Hasło można obrócić przed zwykle oczekiwanym czasem wygaśnięcia. Obróć hasło przed zaplanowanym wygaśnięciem przy użyciu jednej z następujących metod:
- Ręcznie zmień hasło na zarządzanym urządzeniu, używając polecenia
Reset-LapsPasswordcmdlet. - Wywołaj akcję „Wykonaj ResetPassword” w CSP systemu Windows LAPS.
- Zmodyfikuj czas wygaśnięcia hasła w katalogu (dotyczy tylko usługi Active Directory systemu Windows Server).
- Wyzwalaj automatyczną rotację, gdy konto zarządzane jest używane do uwierzytelniania na urządzeniu zarządzanym.
Cykl przetwarzania polityki w tle
System Windows LAPS używa zadania w tle, które jest wznawiane co godzinę w celu przetworzenia aktualnie aktywnych zasad. To zadanie nie jest implementowane za pomocą zadania harmonogramu zadań systemu Windows i nie można go konfigurować.
Po uruchomieniu zadania w tle jest wykonywany następujący podstawowy przepływ:
Oczywista kluczowa różnica między przepływem Microsoft Entra ID i przepływem usługi Active Directory systemu Windows Server jest związana ze sposobem sprawdzania czasu wygaśnięcia hasła. W obu scenariuszach czas wygaśnięcia hasła jest przechowywany obok najnowszego hasła w katalogu.
W scenariuszu Microsoft Entra urządzenie zarządzane nie sonduje identyfikatora Microsoft Entra. Zamiast tego bieżący czas wygaśnięcia hasła jest utrzymywany lokalnie na urządzeniu.
W scenariuszu usługi Active Directory systemu Windows Server urządzenie zarządzane regularnie sonduje katalog w celu zapytania o czas wygaśnięcia hasła i działa po wygaśnięciu hasła.
Ręczne uruchamianie cyklu przetwarzania zasad
System Windows LAPS odpowiada na powiadomienia o zmianie zasad grupy. Cykl przetwarzania zasad można ręcznie uruchomić na dwa sposoby:
Wymuś odświeżenie zasad grupy. Oto przykład:
gpupdate.exe /target:computer /forceInvoke-LapsPolicyProcessingUruchom polecenie cmdlet . Ta metoda jest preferowana, ponieważ jest bardziej ukierunkowana.
Tip
Wcześniejsza wersja Microsoft LAPS (starsza wersja Microsoft LAPS) została utworzona jako rozszerzenie po stronie klienta zasad grupy (GPO). Kontrolery zasad grupy są ładowane i wywoływane w każdym cyklu odświeżania zasad grupy. Częstotliwość cyklu sondowania dziedzicznej usługi Microsoft LAPS jest taka sama jak częstotliwość cyklu odświeżania Zasad Grupy. System Windows LAPS nie jest zbudowany jako CSE, więc jego cykl sondowania jest zakodowany raz na godzinę. System Windows LAPS nie ma wpływu na cykl odświeżania zasad grupy.
Microsoft Entra passwords (Hasła firmy Microsoft)
Podczas tworzenia kopii zapasowych haseł do identyfikatora Entra firmy Microsoft hasła zarządzanego konta lokalnego są przechowywane w obiekcie urządzenia Microsoft Entra. System Windows LAPS uwierzytelnia się w usłudze Microsoft Entra ID przy użyciu tożsamości urządzenia zarządzanego. Dane przechowywane w identyfikatorze Entra firmy Microsoft są wysoce bezpieczne, ale w celu zapewnienia dodatkowej ochrony hasło jest dalej szyfrowane przed utrwalone. Ta dodatkowa warstwa szyfrowania jest usuwana przed zwróceniem hasła do autoryzowanych klientów.
Domyślnie tylko członkowie ról administratora globalnego, administratora urządzeń w chmurze i administratora usługi Intune mogą pobierać hasło w postaci zwykłego tekstu.
Hasła usługi Active Directory systemu Windows Server
Poniższe sekcje zawierają ważne informacje o korzystaniu z systemu Windows LAPS z usługą Active Directory systemu Windows Server.
Zabezpieczenia haseł
Podczas tworzenia kopii zapasowych haseł w usłudze Active Directory systemu Windows Server hasła zarządzanego konta lokalnego są przechowywane w obiekcie komputera. System Windows LAPS zabezpiecza te hasła przy użyciu dwóch mechanizmów:
- ACLs
- Zaszyfrowane hasła
ACLs
W pierwszej linii zabezpieczeń haseł w usłudze Active Directory systemu Windows Server są używane listy ACL skonfigurowane na obiekcie komputera, który zawiera jednostkę organizacyjną (OU). ACL są dziedziczone przez sam obiekt komputera. Możesz określić, kto może odczytywać różne atrybuty hasła, używając Set-LapsADReadPasswordPermission polecenia cmdlet . Podobnie można określić, kto może odczytywać i ustawiać atrybut czasu wygaśnięcia hasła przy użyciu Set-LapsADResetPasswordPermission polecenia cmdlet .
Zaszyfrowane hasła
Drugi wiersz zabezpieczeń haseł używa funkcji szyfrowania haseł w usłudze Active Directory systemu Windows Server. Aby korzystać z szyfrowania haseł w usłudze Active Directory systemu Windows Server, domena musi działać na poziomie funkcjonalności domeny systemu Windows Server 2016 (DFL) lub nowszym. Po włączeniu hasło jest najpierw szyfrowane, aby tylko określony podmiot zabezpieczeń (grupa lub użytkownik) mógł go odszyfrować. Szyfrowanie haseł odbywa się na samym urządzeniu zarządzanym, zanim urządzenie wyśle hasło do katalogu.
Important
- Zdecydowanie zalecamy włączenie szyfrowania haseł dostępu podczas przechowywania haseł LAPS w Windows Server Active Directory.
- Firma Microsoft nie obsługuje odzyskiwania wcześniej odszyfrowanych haseł LAPS w domenie działającej na poziomie funkcjonalnym wcześniejszym niż Windows Server 2016 DFL. Operacja może lub nie powiedzie się w zależności od tego, czy kontrolery domeny z uruchomionymi wersjami starszymi niż Windows Server 2016 zostały podniesione do domeny.
Uprawnienia grupy użytkowników
Podczas projektowania modelu zabezpieczeń pobierania haseł należy wziąć pod uwagę informacje przedstawione na poniższym rysunku:
Na diagramie przedstawiono sugerowane warstwy zabezpieczeń haseł usługi Active Directory systemu Windows Server i ich relacje ze sobą.
Najbardziej zewnętrzne koło (zielone) składa się z podmiotów zabezpieczeń, które mają uprawnienia do odczytu lub ustawienia atrybutu czasu wygaśnięcia hasła na obiektach komputerowych w katalogu. Ta możliwość jest poufnym uprawnieniem, ale jest uznawana za niezniszczącą. Osoba atakująca, która uzyska te uprawnienia, może wymusić częstsze rotacje zarządzanych urządzeń.
Środkowy okrąg (żółty) składa się z podmiotów zabezpieczeń, którym udzielono uprawnień do odczytu lub ustawiania atrybutów haseł na obiektach komputera w katalogu. Ta możliwość jest poufnym uprawnieniem i powinna być uważnie monitorowana. Najbezpieczniejsze podejście polega na zarezerwowaniu tego poziomu uprawnień dla członków grupy zabezpieczeń Administratorzy domeny.
Okrąg wewnętrzny (czerwony) ma zastosowanie tylko wtedy, gdy jest włączone szyfrowanie haseł. Wewnętrzny okrąg składa się z grup lub użytkowników, którzy otrzymują uprawnienia odszyfrowywania dla zaszyfrowanych atrybutów haseł na obiektach komputera w katalogu. Podobnie jak uprawnienie w środkowym kole, ta możliwość jest poufnym uprawnieniem i powinna być uważnie monitorowana. Najbezpieczniejsze podejście polega na zarezerwowaniu tego poziomu uprawnień dla członków grupy Administratorzy domeny.
Important
Rozważ dostosowanie warstw zabezpieczeń w celu dopasowania ich do poufności zarządzanych maszyn w organizacji. Może to być na przykład akceptowalne dla urządzeń roboczych IT z pierwszej linii, aby były dostępne dla administratorów działu pomocy technicznej, ale prawdopodobnie zechcesz ustawić ściślejsze granice dla laptopów kierowniczych firmy.
Szyfrowanie haseł
Funkcja szyfrowania haseł systemu Windows LAPS jest oparta na API kryptografii: API ochrony danych nowej generacji (CNG DPAPI). CNG DPAPI obsługuje wiele trybów szyfrowania, ale system Windows LAPS obsługuje szyfrowanie haseł tylko dla jednego podmiotu zabezpieczeń usługi Active Directory systemu Windows Server (użytkownika lub grupy). Podstawowe szyfrowanie jest oparte na szyfrowaniu klucza 256-bitowego (AES-256) w warstwie Advanced Encryption Standard.
Możesz użyć ustawienia zasad ADPasswordEncryptionPrincipal do ustawienia określonego podmiotu zabezpieczeń do szyfrowania hasła. Jeśli parametr ADPasswordEncryptionPrincipal nie jest określony, system Windows LAPS szyfruje hasło względem grupy Administratorzy domeny urządzenia zarządzanego. Zanim urządzenie zarządzane zaszyfruje hasło, zawsze sprawdza, czy określony użytkownik lub grupa są możliwe do zidentyfikowania.
Tip
- System Windows LAPS obsługuje szyfrowanie haseł tylko względem jednego podmiotu zabezpieczeń. CNG DPAPI obsługuje szyfrowanie dla wielu podmiotów zabezpieczeń, ale ten tryb nie jest obsługiwany przez Windows LAPS, ponieważ powoduje nadmierny wzrost rozmiaru buforów zaszyfrowanych haseł. Jeśli musisz udzielić uprawnień odszyfrowywania wielu podmiotom zabezpieczeń, aby rozwiązać ten problem, możesz utworzyć grupę powłokową zawierającą wszystkie odpowiednie podmioty zabezpieczeń jako członków.
- Podmiot zabezpieczeń autoryzowany do odszyfrowywania hasła nie może zostać zmieniony po zaszyfrowaniu hasła.
Zaszyfrowana historia haseł
System Windows LAPS obsługuje funkcję historii haseł dla klientów przyłączonych do domeny systemu Windows Server i kontrolerów domeny. Historia haseł jest obsługiwana tylko wtedy, gdy jest włączone szyfrowanie haseł. Historia haseł nie jest obsługiwana w przypadku przechowywania haseł w postaci zwykłego tekstu w usłudze Active Directory systemu Windows Server.
Po włączeniu zaszyfrowanej historii haseł i rotacji hasła urządzenie zarządzane najpierw odczytuje bieżącą wersję zaszyfrowanego hasła z usługi Active Directory systemu Windows Server. Bieżące hasło jest następnie dodawane do historii haseł. Wcześniejsze wersje hasła w historii są usuwane zgodnie z potrzebami w celu zachowania zgodności ze skonfigurowanym maksymalnym ograniczeniem historii.
Tip
Aby funkcja historii haseł działała, urządzenie zarządzane musi mieć uprawnienia SELF, aby odczytać bieżącą wersję zaszyfrowanego hasła z usługi Active Directory systemu Windows Server. To wymaganie jest obsługiwane automatycznie, gdy uruchamiany jest cmdlet Set-LapsADComputerSelfPermission.
Important
Zalecamy, aby nigdy nie udzielać uprawnień do urządzenia zarządzanego w celu odszyfrowania zaszyfrowanego hasła dla dowolnego urządzenia, w tym dla samego urządzenia.
Obsługa haseł dsRM
System Windows LAPS obsługuje tworzenie kopii zapasowych hasła konta DSRM na kontrolerach domeny systemu Windows Server. Hasła konta DSRM można zarchiwizować wyłącznie do usługi Active Directory systemu Windows Server, w przypadku włączenia szyfrowania haseł. W przeciwnym razie ta funkcja działa niemal identycznie, jak działa obsługa zaszyfrowanych haseł dla klientów przyłączonych do usługi Active Directory systemu Windows Server.
Tworzenie kopii zapasowych haseł modułu DSRM do identyfikatora Entra firmy Microsoft nie jest obsługiwane.
Important
Po włączeniu kopii zapasowej hasła dsRM bieżące hasło modułu DSRM dla dowolnego kontrolera domeny jest możliwe do pobrania, jeśli co najmniej jeden kontroler domeny w tej domenie jest dostępny.
Rozważmy katastrofalny scenariusz, w którym wszystkie kontrolery domeny w domenie nie działają. W takiej sytuacji, o ile utrzymujesz regularne kopie zapasowe zgodnie z najlepszymi rozwiązaniami usługi Active Directory, nadal można odzyskać hasła DSRM z kopii zapasowych, korzystając z procedury opisanej w temacie Pobieranie haseł podczas scenariuszy odzyskiwania po awarii usługi Active Directory.
Resetowanie hasła po uwierzytelnieniu
System Windows LAPS obsługuje automatyczne obracanie hasła konta administratora lokalnego, jeśli wykryje, że konto administratora lokalnego zostało użyte do uwierzytelniania. Ta funkcja ma na celu ograniczenie czasu, przez który można używać hasła w postaci zwykłego tekstu. Możesz skonfigurować okres prolongaty, aby dać użytkownikowi czas na ukończenie zamierzonych akcji.
Resetowanie hasła po uwierzytelnieniu nie jest obsługiwane dla konta DSRM na kontrolerach domeny.
Ochrona przed naruszeniami haseł konta
Gdy system Windows LAPS jest skonfigurowany do zarządzania hasłem konta administratora lokalnego, to konto jest chronione przed przypadkowym lub niedbałym manipulowaniem. Ta ochrona jest rozszerzona na konto DSRM, gdy system Windows LAPS zarządza tym kontem na kontrolerze domeny usługi Active Directory systemu Windows Server.
System Windows LAPS odrzuca nieoczekiwane próby zmodyfikowania hasła konta za pomocą STATUS_POLICY_CONTROLLED_ACCOUNT błędu (0xC000A08B) lub ERROR_POLICY_CONTROLLED_ACCOUNT (0x21CE\8654). Każde takie odrzucenie jest oznaczone zdarzeniem 10031 w kanale dziennika zdarzeń systemu Windows LAPS.
Wyłączone w trybie awaryjnym systemu Windows
Po uruchomieniu systemu Windows w trybie awaryjnym, trybie DSRM lub w innym nietypowym trybie rozruchu system Windows LAPS jest wyłączony. Hasło konta zarządzanego nie jest zapisywane do kopii zapasowej w tym czasie, nawet jeśli jest przeterminowane.
Integracja systemu Windows LAPS z polityką kart inteligentnych
Konto zarządzane przez usługę Windows LAPS jest zwolnione, gdy włączona jest zasada "Logowanie interakcyjne: Wymagaj usługi Windows Hello dla firm lub karty inteligentnej" (znana również jako SCForceOption). Zobacz Dodatkowe ustawienia zasad grupy kart inteligentnych i klucze rejestru.
Jak zasady systemu Windows LAPS są stosowane do nowego urządzenia klienckiego
W kolejnych sekcjach opisano, jak polityka systemu Windows LAPS jest stosowana na nowym urządzeniu klienckim.
Nowy scenariusz instalacji systemu operacyjnego z polityką Windows LAPS
System Windows LAPS jest wbudowany w system operacyjny Windows. Jest to funkcja zabezpieczeń punktu odniesienia systemu Windows i nie można jej odinstalować. Dlatego ważne jest, aby pamiętać o skutkach, jakie zasady systemu Windows LAPS mogą mieć podczas nowej instalacji systemu operacyjnego.
Głównym czynnikiem, o którego należy pamiętać, jest to, że system Windows LAPS jest zawsze "włączony". Gdy tylko zasady systemu Windows LAPS zostaną zastosowane do urządzenia, system Windows LAPS natychmiast zacznie wymuszać zasady. To zachowanie może spowodować zakłócenia, jeśli w pewnym momencie przepływ pracy wdrażania systemu operacyjnego obejmuje dołączenie urządzenia do jednostki organizacyjnej z włączonymi zasadami LAPS systemu Windows. Jeśli zasady systemu Windows LAPS dotyczą tego samego konta lokalnego, za pomocą którego jest zalogowany przepływ pracy wdrażania, wynikowa natychmiastowa modyfikacja hasła konta lokalnego prawdopodobnie spowoduje przerwanie przepływu pracy (na przykład po ponownym uruchomieniu podczas automatycznego logowania).
Pierwszą techniką rozwiązania tego problemu jest użycie czystej jednostki organizacyjnej "przejściowej". Tymczasowa jednostka organizacyjna jest uważana za tymczasowy dom dla konta urządzenia, który stosuje minimalny zestaw wymaganych zasad i nie powinien stosować zasad LAPS systemu Windows. Dopiero po zakończeniu przepływu pracy wdrażania systemu operacyjnego konto urządzenia jest ostatecznie przeniesione do docelowej jednostki organizacyjnej. Firma Microsoft zaleca użycie czystej przejściowej jednostki organizacyjnej jako ogólnego najlepszego rozwiązania.
Drugą techniką jest skonfigurowanie zasad Windows LAPS tak, aby były przeznaczone dla innego konta niż to, które jest używane przez przepływ pracy wdrażania systemu operacyjnego. Najlepszym rozwiązaniem jest usunięcie wszystkich kont lokalnych, które są niepotrzebne na końcu przepływu pracy wdrażania systemu operacyjnego.
Nowy scenariusz instalacji systemu operacyjnego ze starszymi zasadami LAPS
Ten scenariusz ma takie same podstawowe problemy jak nowy scenariusz instalacji systemu operacyjnego z zasadami systemu Windows LAPS, ale ma pewne specjalne problemy związane z obsługą systemu Windows LAPS dla starszego trybu emulacji LAPS.
Ponownie, głównym czynnikiem, który należy pamiętać, jest to, że system Windows LAPS jest zawsze "włączony". Po zastosowaniu starszych zasad LAPS do urządzenia — przy założeniu, że wszystkie starsze kryteria trybu emulacji LAPS są spełnione — system Windows LAPS natychmiast zaczyna wymuszać zasady. To zachowanie może spowodować zakłócenia, jeśli w pewnym momencie przepływ pracy wdrażania systemu operacyjnego obejmuje dołączenie urządzenia do jednostki organizacyjnej z włączonymi starszymi zasadami LAPS. Jeśli starsze zasady LAPS dotyczą tego samego konta lokalnego, za pomocą którego jest zalogowany przepływ pracy wdrażania, wynikowa natychmiastowa modyfikacja hasła konta lokalnego prawdopodobnie spowoduje przerwanie przepływu pracy (na przykład po ponownym uruchomieniu podczas automatycznego logowania).
Pierwszą techniką rozwiązania tego problemu jest użycie czystej jednostki organizacyjnej "przejściowej". Tymczasowa jednostka organizacyjna jest uznawana za tymczasowy dom dla konta urządzenia, które stosuje minimalny zestaw wymaganych zasad i nie powinno stosować starszych zasad LAPS. Dopiero po zakończeniu przepływu pracy wdrażania systemu operacyjnego konto urządzenia jest ostatecznie przeniesione do docelowej jednostki organizacyjnej. Firma Microsoft zaleca użycie czystej przejściowej jednostki organizacyjnej jako ogólnego najlepszego rozwiązania.
Drugą techniką jest skonfigurowanie starszych zasad LAPS pod kątem innego konta niż używanego przez przepływ pracy wdrażania systemu operacyjnego. Najlepszym rozwiązaniem jest usunięcie wszystkich kont lokalnych, które są niepotrzebne na końcu przepływu pracy wdrażania systemu operacyjnego.
Trzecią techniką jest wyłączenie starszego trybu emulacji LAPS na początku przepływu pracy wdrażania systemu operacyjnego i włączenie go (w razie potrzeby) na końcu przepływu pracy wdrażania systemu operacyjnego.
Wykrywanie i łagodzenie skutków wycofywania obrazów systemu operacyjnego Windows LAPS
Gdy obraz uruchomionego systemu operacyjnego zostanie przywrócony do wcześniejszej wersji, wynik to często „rozbieżny stan”, w którym hasło przechowywane w katalogu nie jest już zgodne z hasłem przechowywanym lokalnie na urządzeniu. Na przykład problem może wystąpić, gdy maszyna wirtualna Hyper-V zostanie przywrócona do wcześniejszej migawki.
Po wystąpieniu problemu administrator IT nie może zalogować się do urządzenia przy użyciu utrwalonego hasła systemu Windows LAPS. Problem nie zostanie rozwiązany, dopóki system Windows LAPS nie obróci hasła — ale może to nie wystąpić przez kilka dni lub tygodni w zależności od bieżącej daty wygaśnięcia hasła.
System Windows LAPS ogranicza ten problem, zapisując jednocześnie losowy identyfikator GUID w katalogu i utrwalając nowe hasło, a następnie zapisując jego kopię lokalną. Identyfikator GUID jest przechowywany w atrybucie msLAPS-CurrentPasswordVersion. Podczas każdego cyklu przetwarzania identyfikator GUID msLAPS-CurrentPasswordVersion jest sprawdzany i porównywany z kopią lokalną. Jeśli dwa identyfikatory GUID są różne, hasło jest natychmiast zmieniane.
Ta funkcja jest obsługiwana tylko w przypadku tworzenia kopii zapasowych haseł do usługi Active Directory. Identyfikator Entra firmy Microsoft nie jest obsługiwany.
Important
Wykrywanie i łagodzenie skutków wycofywania systemu Windows LAPS może działać tylko wtedy, gdy maszyna nadal ma prawidłowe hasło do konta komputera i może uwierzytelniać się w usłudze Active Directory. Ten warunek może być spełniony lub nie, w zależności od niespójnego stanu spowodowanego wycofaniem. Jeśli maszyna nie jest już w stanie uwierzytelnić się, wymagane będą inne kroki odzyskiwania, takie jak zresetowanie hasła konta komputera. Konto systemu Windows LAPS na przywróconej maszynie może być nadal przydatne, jeśli funkcja historii haseł systemu Windows LAPS została włączona.
Important
Funkcja wykrywania i ograniczania skutków wycofywania obrazu systemu operacyjnego Windows LAPS jest obsługiwana w Windows 11 wersja 24H2, Windows Server 2025 i nowszych. Ta funkcja wymaga atrybutu schematu msLAPS-CurrentPasswordVersion , który jest dostępny tylko w przypadku korzystania ze schematu lasu systemu Windows Server 2025. Ten atrybut jest automatycznie dodawany przy awansie pierwszego kontrolera domeny Windows Server 2025 w swoim środowisku leśnym; nie jest instalowany przez uruchomienie Update-LapsADSchema cmdlet.
Zobacz także
- Tryby zarządzania kontami systemu Windows LAPS
- Hasła i frazy hasłowe w systemie Windows LAPS
- CNG DPAPI
- Microsoft Intune
Dalsze kroki
Teraz, gdy rozumiesz podstawowe pojęcia dotyczące projektowania systemu Windows LAPS, rozpocznij pracę z jednym z następujących scenariuszy: