Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Rozwiązanie Windows Local Administrator Password Solution (Windows LAPS) umożliwia konfigurowanie ustawień zasad w celu bezpiecznego i automatycznego zarządzania hasłami administratora lokalnego. W tym artykule opisano każde ustawienie zasad i sposób administrowania nimi w celu zwiększenia bezpieczeństwa i zgodności.
Obsługiwane korzenie zasad
Chociaż nie jest to zalecane, można administrować urządzeniem przy użyciu wielu mechanizmów zarządzania zasadami. Aby obsługiwać ten scenariusz w zrozumiały i przewidywalny sposób, każdy mechanizm zasad LAPS systemu Windows ma przypisany odrębny klucz główny rejestru.
| Nazwa zasady | Katalog główny klucza rejestru zasad |
|---|---|
| LAPS CSP | HKLM\Software\Microsoft\Policies\LAPS |
| Zasady grupy LAPS | HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\LAPS |
| Konfiguracja lokalna LAPS | HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\Config |
| Starsza wersja rozwiązania Microsoft LAPS | HKLM\Software\Policies\Microsoft Services\AdmPwd |
System Windows LAPS wykonuje zapytania do wszystkich znanych katalogów głównych zasad rejestru, zaczynając od góry i przechodząc w dół. Jeśli nie znaleziono żadnych ustawień w katalogu głównym, ten katalog główny zostanie pominięty, a zapytanie przejdzie do następnego katalogu głównego. Jeśli zostanie znaleziony korzeń, który ma co najmniej jedno jawnie zdefiniowane ustawienie, to ten korzeń jest używany jako aktywna zasada. Jeśli wybrany katalog główny nie ma żadnych ustawień, ustawienia są przypisane do ich wartości domyślnych.
Ustawienia zasad nigdy nie są współdzielone ani dziedziczone pomiędzy kluczami zasad.
Tip
Klucz konfiguracji lokalnej LAPS znajduje się w poprzedniej tabeli na potrzeby kompletności. W razie potrzeby można użyć tego klucza, ale klucz jest przeznaczony głównie do testowania i programowania. Nie ma narzędzi do zarządzania ani mechanizmów polityki przeznaczonych dla tego klucza.
Obsługiwane ustawienia zasad przez BackupDirectory
System Windows LAPS obsługuje wiele ustawień zasad, którymi można administrować za pośrednictwem różnych rozwiązań do zarządzania zasadami, a nawet bezpośrednio za pośrednictwem rejestru. Niektóre z tych ustawień mają zastosowanie tylko podczas tworzenia kopii zapasowych haseł w usłudze Active Directory, a niektóre ustawienia są wspólne dla scenariuszy usługi Active Directory i firmy Microsoft Entra.
W poniższej tabeli określono, które ustawienia mają zastosowanie do urządzeń z określonym BackupDirectory ustawieniem:
| Nazwa ustawień | Dotyczy, gdy backupDirectory=Microsoft Entra ID? | Dotyczy to, gdy backupDirectory=AD? |
|---|---|---|
| AdministratorAccountName | Yes | Yes |
| PasswordAgeDays | Yes | Yes |
| PasswordLength | Yes | Yes |
| PassphraseLength | Yes | Yes |
| PasswordComplexity | Yes | Yes |
| PostAuthenticationResetDelay | Yes | Yes |
| PostAuthenticationActions | Yes | Yes |
| ADPasswordEncryptionEnabled | No | Yes |
| ADPasswordEncryptionPrincipal | No | Yes |
| ADEncryptedPasswordHistorySize | No | Yes |
| ADBackupDSRMPassword | No | Yes |
| PasswordExpirationProtectionEnabled | No | Yes |
| AutomaticAccountManagementEnabled | Yes | Yes |
| AutomaticAccountManagementTarget | Yes | Yes |
| AutomaticAccountManagementNameOrPrefix | Yes | Yes |
| AutomaticAccountManagementEnableAccount | Yes | Yes |
| AutomaticAccountManagementRandomizeName | Yes | Yes |
Jeśli BackupDirectory ustawiono wartość Wyłączone, wszystkie inne ustawienia są ignorowane.
Możesz administrować niemal wszystkimi ustawieniami przy użyciu dowolnego mechanizmu zarządzania zasadami.
Dostawca usług konfiguracji systemu Windows LAPS (CSP) ma dwa wyjątki od tej reguły. Dostawca CSP systemu Windows LAPS obsługuje dwa ustawienia, których nie ma w poprzedniej tabeli: ResetPassword i ResetPasswordStatus. Ponadto dostawca CSP systemu Windows LAPS nie obsługuje ADBackupDSRMPassword ustawienia (kontrolery domeny nigdy nie są zarządzane za pośrednictwem dostawcy CSP). Aby uzyskać więcej informacji, zobacz dokumentację LAPS CSP.
Zasady grupy Windows LAPS
System Windows LAPS zawiera nowy obiekt zasad grupy, którego można użyć do administrowania ustawieniami zasad na urządzeniach przyłączonych do domeny usługi Active Directory. Aby uzyskać dostęp do zasad grupy systemu Windows LAPS, w Edytorze zarządzania zasadami grupy przejdź do pozycji Konfiguracja> komputeraSzablony> administracyjneSystem>LAPS. Na poniższej ilustracji przedstawiono przykład:
Szablon dla tego nowego obiektu zasad grupy jest zainstalowany w ramach systemu Windows w %windir%\PolicyDefinitions\LAPS.admx.
Centralny magazyn obiektów zasad grupy
Important
Pliki szablonów obiektów zasad Grupy systemu Windows LAPS nie są automatycznie kopiowane do centralnego magazynu obiektów zasad Grupy podczas aktualizacji Windows Update, zakładając, że to podejście zostało zaimplementowane. Zamiast tego należy ręcznie skopiować plik LAPS.admx do centralnej lokalizacji magazynu centralnego zasad grupy. Zobacz Tworzenie magazynu centralnego i zarządzanie nim.
Windows LAPS CSP
System Windows LAPS zawiera określony CSP, którego można użyć do zarządzania ustawieniami zasad na urządzeniach dołączonych do Microsoft Entra. Zarządzaj Windows LAPS CSP przy użyciu Microsoft Intune.
Stosowanie ustawień zasad
W poniższych sekcjach opisano sposób używania i stosowania różnych ustawień zasad dla systemu Windows LAPS.
BackupDirectory
To ustawienie służy do kontrolowania, do którego katalogu jest zapisywane hasło dla konta zarządzanego.
| Value | Opis ustawienia |
|---|---|
| 0 | Wyłączone (hasło nie jest tworzone kopii zapasowej) |
| 1 | Tworzenie kopii zapasowej hasła tylko w usłudze Microsoft Entra |
| 2 | Tworzenie kopii zapasowej hasła tylko w usłudze Active Directory systemu Windows Server |
Jeśli nie zostanie określony, to ustawienie jest domyślnie ustawione na 0 (wyłączone).
AdministratorAccountName
To ustawienie służy do konfigurowania nazwy zarządzanego konta administratora lokalnego.
Jeśli nie zostanie określone, to ustawienie jest domyślnie używane do zarządzania wbudowanym kontem administratora lokalnego.
Important
Nie określaj tego ustawienia, chyba że chcesz zarządzać kontem innym niż wbudowane konto administratora lokalnego. Konto administratora lokalnego jest automatycznie identyfikowane przez dobrze znany identyfikator względny (RID).
Important
Określone konto (wbudowane lub niestandardowe) można skonfigurować jako włączone lub wyłączone. System Windows LAPS zarządza hasłem tego konta w obu stanach. Jeśli jednak konto pozostanie w stanie wyłączonym, należy najpierw włączyć konto, aby można je było używać.
Important
Jeśli skonfigurujesz system Windows LAPS do zarządzania niestandardowym kontem administratora lokalnego, musisz upewnić się, że konto zostało utworzone. System Windows LAPS nie tworzy konta.
Important
To ustawienie jest ignorowane po AutomaticAccountManagementEnabled włączeniu.
PasswordAgeDays
To ustawienie określa maksymalny wiek hasła zarządzanego konta administratora lokalnego. Obsługiwane wartości to:
- Minimum: jeden dzień (gdy katalog kopii zapasowej jest skonfigurowany jako identyfikator Entra firmy Microsoft, wartość minimalna to siedem dni).
- Maksimum: 365 dni
Jeśli nie zostanie określony, to ustawienie jest domyślnie ustawione na 30 dni.
Important
PasswordAgeDays Zmiany ustawienia zasad nie mają wpływu na czas wygaśnięcia bieżącego hasła. Podobnie zmiany ustawienia PasswordAgeDays zasad nie powodują zainicjowania rotacji haseł przez urządzenie zarządzane.
PasswordLength
To ustawienie służy do konfigurowania długości hasła zarządzanego konta administratora lokalnego. Obsługiwane wartości to:
- Minimum: 8 znaków
- Maksymalna: 64 znaki
Jeśli nie zostanie określony, to ustawienie jest domyślnie ustawione na 14 znaków.
Important
Nie należy konfigurować PasswordLength wartości niezgodnej z lokalnymi zasadami haseł urządzenia zarządzanego. W ten sposób system Windows LAPS nie może utworzyć nowego zgodnego hasła. (Poszukaj zdarzenia 10027 w dzienniku zdarzeń LAP systemu Windows).
To PasswordLength ustawienie jest ignorowane, chyba że PasswordComplexity jest skonfigurowane do jednej z opcji hasła.
PassphraseLength
To ustawienie służy do konfigurowania liczby wyrazów w hasłach zarządzanego konta administratora lokalnego. Obsługiwane wartości to:
- Minimum: 3 wyrazy
- Maksymalna: 10 wyrazów
Jeśli nie zostanie określony, to ustawienie jest domyślnie ustawione na 6 wyrazów.
To PassphraseLength ustawienie jest ignorowane, chyba że PasswordComplexity jest skonfigurowane do jednej z opcji hasła.
Important
PassphraseLength Jest obsługiwany tylko w systemach Windows 11 24H2, Windows Server 2025 i nowszych wersjach.
PasswordComplexity
Użyj tego ustawienia, aby skonfigurować wymaganą złożoność hasła zarządzanego konta administratora lokalnego lub określić, że zostanie utworzone hasło.
| Value | Opis ustawienia |
|---|---|
| 1 | Duże litery |
| 2 | Duże litery + małe litery |
| 3 | Duże litery + małe litery + cyfry |
| 4 | Duże litery + małe litery + cyfry + znaki specjalne |
| 5 | Duże litery + małe litery + cyfry + znaki specjalne (ulepszona czytelność) |
| 6 | Hasło (długie słowa) |
| 7 | Hasło (krótkie słowa) |
| 8 | Hasło (krótkie słowa z unikatowymi prefiksami) |
Jeśli nie zostanie określony, to ustawienie jest domyślnie ustawione na 4.
Important
System Windows obsługuje niższe ustawienia złożoności hasła (1, 2 i 3) tylko w celu zapewnienia zgodności z poprzednimi wersjami rozwiązania Microsoft LAPS. Zalecamy, aby zawsze skonfigurować to ustawienie na 4 (lub wyższą wartość, jeśli jest obsługiwana).
Important
Nie konfiguruj PasswordComplexity w ustawieniu niezgodnym z lokalną polityką haseł urządzenia zarządzanego. W ten sposób system Windows LAPS nie może utworzyć nowego zgodnego hasła. (Poszukaj zdarzenia 10027 w dzienniku zdarzeń systemu Windows LAPS).
Important
PasswordComplexity Wartości od 5 do 8 są obsługiwane tylko w systemach Windows 11 24H2, Windows Server 2025 i nowszych wersjach.
PasswordExpirationProtectionEnabled
To ustawienie służy do konfigurowania wymuszania maksymalnego wieku hasła dla zarządzanego konta administratora lokalnego.
Obsługiwane wartości to 1 (Prawda) lub 0 (Fałsz).
Jeśli nie zostanie określony, to ustawienie jest domyślnie ustawione na 1 (Prawda).
Tip
W starszym trybie microsoft LAPS to ustawienie jest domyślnie ustawione na Fałsz w celu zapewnienia zgodności z poprzednimi wersjami.
ADPasswordEncryptionEnabled
Użyj tego ustawienia, aby włączyć szyfrowanie haseł w usłudze Active Directory.
Obsługiwane wartości to 1 (Prawda) lub 0 (Fałsz).
Important
Włączenie tego ustawienia wymaga, aby domena usługi Active Directory działała na poziomie funkcjonalności domeny 2016 lub nowszym.
ADPasswordEncryptionPrincipal
To ustawienie służy do konfigurowania nazwy lub identyfikatora zabezpieczeń (SID) użytkownika lub grupy, która może odszyfrować hasło przechowywane w usłudze Active Directory.
To ustawienie jest ignorowane, jeśli hasło jest obecnie przechowywane na platformie Azure.
Jeśli to ustawienie nie zostanie określone, tylko członkowie grupy Administratorzy domeny w domenie urządzenia mogą odszyfrować hasło.
Jeśli to ustawienie zostanie określone, określony użytkownik lub grupa może odszyfrować hasło przechowywane w usłudze Active Directory.
Important
Ciąg przechowywany w tym ustawieniu jest identyfikatorem SID w postaci ciągu lub w pełni kwalifikowaną nazwą użytkownika lub grupy. Prawidłowe przykłady obejmują:
S-1-5-21-2127521184-1604012920-1887927527-35197contoso\LAPSAdminslapsadmins@contoso.com
Podmiot zidentyfikowany (według identyfikatora SID, nazwy użytkownika lub grupy) musi istnieć i być rozpoznawalny oraz rozwiązywalny przez urządzenie.
Dane określone w tym ustawieniu są wprowadzane as-is; na przykład nie dodawaj żadnych cudzysłowów ani nawiasów.
To ustawienie jest ignorowane, chyba że ADPasswordEncryptionEnabled jest skonfigurowane na wartość True , a wszystkie inne wymagania wstępne są spełnione.
To ustawienie jest ignorowane, gdy na kontrolerze domeny są tworzone kopie zapasowe haseł kont trybu naprawy usług katalogowych (DSRM). W tym scenariuszu to ustawienie zawsze jest domyślnie ustawiane na grupę Administratorzy domeny kontrolera domeny.
ADEncryptedPasswordHistorySize
To ustawienie służy do konfigurowania liczby poprzednich zaszyfrowanych haseł zapamiętanych w usłudze Active Directory. Obsługiwane wartości to:
- Minimalna liczba haseł: 0
- Maksymalna: 12 haseł
Jeśli nie zostanie określony, to ustawienie jest domyślnie ustawione na 0 haseł (wyłączone).
Important
To ustawienie jest ignorowane, chyba że ADPasswordEncryptionEnabled jest skonfigurowane na wartość True, a wszystkie inne wymagania wstępne są spełnione.
To ustawienie ma również wpływ na kontrolery domeny, które tworzą kopię zapasową haseł dsRM.
ADBackupDSRMPassword
Użyj tego ustawienia, aby włączyć tworzenie kopii zapasowej hasła konta DSRM na kontrolerach domeny usługi Active Directory systemu Windows Server.
Obsługiwane wartości to 1 (Prawda) lub 0 (Fałsz).
To ustawienie ma wartość domyślną 0 (Fałsz).
Important
To ustawienie jest ignorowane, chyba że ADPasswordEncryptionEnabled jest skonfigurowane na wartość True, a wszystkie inne wymagania wstępne są spełnione.
PostAuthenticationResetDelay
Użyj tego ustawienia, aby określić czas oczekiwania (w godzinach) po uwierzytelnieniu przed uruchomieniem określonych akcji po uwierzytelnieniu (zobacz PostAuthenticationActions). Obsługiwane wartości to:
- Minimum : 0 godzin (ustawienie tej wartości na 0 powoduje wyłączenie wszystkich akcji po uwierzytelnieniu)
- Maksimum: 24 godziny
Jeśli nie zostanie określony, to ustawienie jest domyślnie ustawione na 24 godziny.
PostAuthenticationActions
To ustawienie służy do określania akcji, które mają być podejmowane po wygaśnięciu skonfigurowanego okresu prolongaty (zobacz PostAuthenticationResetDelay).
To ustawienie może mieć jedną z następujących wartości:
| Value | Name | Akcje wykonywane po wygaśnięciu okresu prolongaty | Comments |
|---|---|---|---|
| 1 | Resetowanie hasła | Hasło konta zarządzanego jest resetowane. | |
| 3 | Resetowanie hasła i wylogowywanie | Hasło konta zarządzanego jest resetowane, sesje logowania interakcyjnego przy użyciu konta zarządzanego zostaną zakończone, a sesje protokołu SMB przy użyciu konta zarządzanego zostaną usunięte. | Interaktywne sesje logowania otrzymują dwuminutowe, niekonfigurowalne ostrzeżenie, aby zapisać swoją pracę i wylogować się. |
| 5 | Resetowanie hasła i ponowne uruchamianie | Hasło konta zarządzanego zostanie zresetowane i urządzenie zarządzane zostanie uruchomione ponownie. | Urządzenie zarządzane jest uruchamiane ponownie po niekonfigurowalnym opóźnieniu jednominutowym. |
| 11 | Resetowanie hasła i wylogowywanie | Hasło konta zarządzanego jest resetowane, sesje logowania interakcyjnego przy użyciu konta zarządzanego zostaną zakończone, sesje protokołu SMB przy użyciu konta zarządzanego zostaną usunięte, a pozostałe procesy uruchomione w ramach tożsamości konta zarządzanego zostaną zakończone. | Interaktywne sesje logowania otrzymują dwuminutowe, niekonfigurowalne ostrzeżenie, aby zapisać swoją pracę i wylogować się. |
Jeśli nie zostanie określony, to ustawienie jest domyślnie ustawione na 3.
Important
Dozwolone akcje po uwierzytelnieniu mają pomóc ograniczyć czas, przez jaki można użyć hasła systemu Windows LAPS przed jego zresetowaniem. Wylogowywanie się z konta zarządzanego lub ponowne uruchamianie urządzenia to opcje, które pomagają zagwarantować, że czas jest ograniczony. Nagłe zakończenie zalogowanych sesji lub ponowne uruchomienie urządzenia może spowodować utratę danych.
Z punktu widzenia zabezpieczeń złośliwy użytkownik, który uzyskuje uprawnienia administracyjne na urządzeniu przy użyciu prawidłowego hasła systemu Windows LAPS, ma ostateczną możliwość zapobiegania lub obejścia tych mechanizmów.
Important
PostAuthenticationActions wartość 11 jest obsługiwana tylko w systemach Windows 11 24H2, Windows Server 2025 i nowszych wersjach.
AutomaticAccountManagementEnabled
Użyj tego ustawienia, aby włączyć automatyczne zarządzanie kontami.
Obsługiwane wartości to 1 (Prawda) lub 0 (Fałsz).
To ustawienie ma wartość domyślną 0 (Fałsz).
Important
AutomaticAccountManagementEnabled Jest obsługiwany tylko w systemach Windows 11 24H2, Windows Server 2025 i nowszych wersjach.
AutomaticAccountManagementTarget
Użyj tego ustawienia, aby określić, czy wbudowane konto administratora, czy nowe konto niestandardowe jest automatycznie zarządzane.
| Value | Opis ustawienia |
|---|---|
| 0 | Automatyczne zarządzanie wbudowanym kontem administratora |
| 1 | Automatyczne zarządzanie nowym kontem niestandardowym |
To ustawienie jest domyślnie ustawione na 1.
To ustawienie jest ignorowane, chyba że AutomaticAccountManagementEnabled jest włączone.
Important
AutomaticAccountManagementTarget Jest obsługiwany tylko w systemach Windows 11 24H2, Windows Server 2025 i nowszych wersjach.
AutomaticAccountManagementNameOrPrefix
Użyj tego ustawienia, aby określić nazwę lub prefiks nazwy automatycznie zarządzanego konta.
To ustawienie jest domyślnie ustawione na WLapsAdmin.
To ustawienie jest traktowane jako nazwa, jeśli AutomaticAccountManagementRandomizeName ma wartość 0 (Fałsz).
To ustawienie jest traktowane jako prefiks nazwy, jeśli AutomaticAccountManagementRandomizeName ma wartość 1 (True).
To ustawienie jest ignorowane, chyba że AutomaticAccountManagementEnabled jest włączone.
Important
AutomaticAccountManagementNameOrPrefix Jest obsługiwany tylko w systemach Windows 11 24H2, Windows Server 2025 i nowszych wersjach.
AutomaticAccountManagementEnableAccount
Użyj tego ustawienia, aby włączyć lub wyłączyć automatycznie zarządzane konto.
| Value | Opis ustawienia |
|---|---|
| 0 | Wyłączanie automatycznie zarządzanego konta |
| 1 | Włączanie automatycznie zarządzanego konta |
To ustawienie ma wartość domyślną 0.
To ustawienie jest ignorowane, chyba że AutomaticAccountManagementEnabled jest włączone.
Important
AutomaticAccountManagementEnableAccount Jest obsługiwany tylko w systemach Windows 11 24H2, Windows Server 2025 i nowszych wersjach.
AutomaticAccountManagementRandomizeName
Użyj tego ustawienia, aby włączyć losowe generowanie nazwy konta zarządzanego automatycznie.
Po włączeniu tego ustawienia do nazwy konta zarządzanego (określonego przez ustawienie AutomaticAccountManagementNameOrPrefix) dodawany jest losowy sześciocyfrowy sufiks za każdym razem, gdy hasło jest zmieniane.
Nazwy kont lokalnych systemu Windows mają maksymalną długość 20 znaków, co oznacza, że składnik nazwy musi mieć maksymalnie 14 znaków, aby mieć wystarczającą ilość miejsca dla sufiksu losowego. Nazwy kont określone przez AutomaticAccountManagementNameOrPrefix, które mają więcej niż 14 znaków, są skracane.
| Value | Opis ustawienia |
|---|---|
| 0 | Nie losuj nazwy automatycznie zarządzanego konta |
| 1 | Losowe określanie nazwy konta zarządzanego automatycznie |
To ustawienie ma wartość domyślną 0.
To ustawienie jest ignorowane, chyba że AutomaticAccountManagementEnabled jest włączone.
Important
AutomaticAccountManagementRandomizeName Jest obsługiwany tylko w systemach Windows 11 24H2, Windows Server 2025 i nowszych wersjach.
Domyślne wartości zasad systemu Windows LAPS
Wszystkie ustawienia zasad systemu Windows LAPS mają wartość domyślną. Wartość domyślna jest stosowana zawsze, gdy administrator nie konfiguruje określonego ustawienia. Wartość domyślna jest również stosowana za każdym razem, gdy administrator konfiguruje określone ustawienie z nieobsługiwaną wartością.
| Nazwa ustawień | Wartość domyślna |
|---|---|
| BackupDirectory | Disabled |
| AdministratorAccountName | Null\empty |
| PasswordAgeDays | 30 |
| PasswordLength | 14 |
| PassphraseLength | 6 |
| PasswordComplexity | 4 |
| PostAuthenticationResetDelay | 24 |
| PostAuthenticationActions | 3 (Resetowanie hasła i wylogowywanie) |
| ADPasswordEncryptionEnabled | True |
| ADPasswordEncryptionPrincipal | Administratorzy domeny |
| ADEncryptedPasswordHistorySize | 0 |
| ADBackupDSRMPassword | False |
| PasswordExpirationProtectionEnabled | True |
| AutomaticAccountManagementEnabled | False |
| AutomaticAccountManagementTarget | Yes |
| AutomaticAccountManagementNameOrPrefix | Yes |
| AutomaticAccountManagementEnableAccount | False |
| AutomaticAccountManagementRandomizeName | False |
Important
ADPasswordEncryptionPrincipal jest wyjątkiem od błędnie skonfigurowanej reguły ustawienia. To ustawienie jest domyślnie ustawione na "Administratorzy domeny" tylko wtedy, gdy ustawienie nie jest skonfigurowane. Po określeniu nieprawidłowej nazwy użytkownika lub grupy, wystąpi awaria przetwarzania zasad i hasło zarządzanego konta nie zostanie zarchiwizowane.
Należy pamiętać o tych wartościach domyślnych podczas konfigurowania nowych funkcji systemu Windows LAPS, na przykład obsługi hasła. Jeśli skonfigurujesz zasady z wartością PasswordComplexity 6 (długie hasła wyrazów), a następnie zastosujesz te zasady do starszego systemu operacyjnego, który nie obsługuje tej wartości, docelowy system operacyjny używa wartości domyślnej 4. Aby uniknąć tego wyniku, utwórz dwie różne zasady: jedną dla starszego systemu operacyjnego i jedną dla nowszego systemu operacyjnego.