Udostępnij przez

Co to jest system Windows LAPS?

Rozwiązanie Windows Local Administrator Password Solution (Windows LAPS) to funkcja systemu Windows, która automatycznie zarządza hasłem konta administratora lokalnego na urządzeniach dołączonych do firmy Microsoft lub przyłączonych do usługi Active Directory systemu Windows Server. Możesz również użyć systemu Windows LAPS do automatycznego zarządzania i tworzenia kopii zapasowej hasła konta trybu przywracania usług katalogowych (DSRM) na kontrolerach domeny usługi Active Directory systemu Windows Server. Autoryzowany administrator może pobrać hasło dsRM i użyć go.

Platformy obsługiwane przez system Windows LAPS

System Windows LAPS jest dostępny na następujących platformach systemu operacyjnego:

Klient systemu Windows

Uwaga / Notatka

Ustawienia CSP automatycznego zarządzania kontami wymagają systemu Windows 11 24H2 lub nowszego.

Serwer z systemem Windows

Wszystkie obsługiwane wersje tych platform zostały zaktualizowane o system Windows LAPS, w tym wersje długoterminowego kanału obsługi (LTSC). Wprowadzenie funkcji WINDOWS LAPS nie modyfikuje standardowych zasad cyklu życia produktów firmy Microsoft.

Windows LAPS i Microsoft Entra ID

System Windows LAPS z identyfikatorem Microsoft Entra ID i pomocą techniczną usługi Microsoft Intune jest ogólnie dostępny od 23 października 2023 r. Aby uzyskać więcej informacji, zobacz Windows Local Administrator Password Solution with Microsoft Entra ID now general available! and Windows Local Administrator Password Solution in Microsoft Entra ID (Rozwiązanie hasła administratora lokalnego systemu Windows w usłudze Microsoft Entra ID).

Zalety korzystania z usługi Windows LAPS

Użyj systemu Windows LAPS, aby regularnie wymieniać hasła konta administratora lokalnego i zarządzać nimi i uzyskiwać następujące korzyści:

  • Ochrona przed atakami typu pass-the-hash i lateralnymi ruchami w sieci
  • Ulepszone zabezpieczenia dla scenariuszy zdalnego helpdesku
  • Możliwość logowania się do i odzyskiwania urządzeń, które w przeciwnym razie są niedostępne
  • Precyzyjny model zabezpieczeń (listy kontroli dostępu i opcjonalne szyfrowanie haseł) na potrzeby zabezpieczania haseł przechowywanych w usłudze Active Directory systemu Windows Server
  • Obsługa modelu kontroli dostępu opartej na rolach firmy Microsoft w celu zabezpieczania haseł przechowywanych w identyfikatorze Entra firmy Microsoft

Filmy informacyjne

Poniższe filmy wideo oferują informacyjny sposób, aby zobaczyć więcej na temat funkcji WINDOWS LAPS.

Prezentacja startowa systemu Windows Technical (listopad 2022 r.):

Dyskusja techniczna na temat systemu Windows (sierpień 2023 r.):

Kluczowe scenariusze systemu Windows LAPS

System Windows LAPS można używać w kilku podstawowych scenariuszach:

  • Tworzenie kopii zapasowej haseł konta administratora lokalnego do Microsoft Entra ID (dla urządzeń dołączonych do Microsoft Entra)

  • Tworzenie kopii zapasowych haseł konta administratora lokalnego w usłudze Active Directory systemu Windows Server (dla klientów i serwerów przyłączonych do usługi Active Directory systemu Windows Server)

  • Tworzenie kopii zapasowych haseł kont dsRM w usłudze Active Directory systemu Windows Server (dla kontrolerów domeny usługi Active Directory systemu Windows Server)

  • Tworzenie kopii zapasowych haseł kont administratora lokalnego w usłudze Active Directory systemu Windows Server przy użyciu starszej wersji usługi Microsoft LAPS

W każdym scenariuszu można zastosować różne ustawienia zasad.

Zrozumienie ograniczeń stanu połączenia urządzenia

To, czy urządzenie jest połączone z usługą Microsoft Entra ID lub Windows Server Active Directory, decyduje o sposobie używania Windows LAPS.

  • Urządzenia dołączone tylko do Microsoft Entra ID mogą tworzyć kopie zapasowe haseł tylko do Microsoft Entra ID.
  • Urządzenia dołączone tylko do usługi Active Directory systemu Windows Server mogą tworzyć kopie zapasowe haseł tylko w usłudze Active Directory systemu Windows Server.
  • Urządzenia dołączone hybrydowo (przyłączone do usługi Microsoft Entra ID i Active Directory systemu Windows Server) mogą tworzyć kopie zapasowe haseł do identyfikatora Entra firmy Microsoft lub usługi Active Directory systemu Windows Server.

Nie można utworzyć kopii zapasowej haseł zarówno w usłudze Microsoft Entra ID, jak i w usłudze Active Directory systemu Windows Server.

System Windows LAPS nie obsługuje klientów połączonych z Microsoft Entra w miejscu pracy.

Ustawianie zasad systemu Windows LAPS

Aby skonfigurować zasady wdrożenia systemu Windows LAPS i zarządzać nimi, masz wiele opcji:

Zarządzanie systemem Windows LAPS i monitorowanie go

Dostępne są również różne opcje zarządzania systemem Windows LAPS i monitorowania ich.

Opcje dla systemu Windows obejmują:

  • Okno dialogowe Właściwości Użytkownicy i komputery usługi Active Directory systemu Windows Server.
  • Dedykowany kanał dziennika zdarzeń.
  • Moduł programu Windows PowerShell specyficzny dla systemu Windows LAPS.

Rozwiązania do monitorowania i raportowania oparte na usłudze Entra są dostępne podczas tworzenia kopii zapasowych haseł do identyfikatora Entra firmy Microsoft.

Wycofanie starszego produktu Microsoft LAPS

Important

Starszy produkt Microsoft LAPS jest przestarzały w systemie Windows 11 23H2 lub nowszym. Instalacja starszego pakietu Microsoft LAPS Microsoft Installer (MSI) jest zablokowana w nowszych wersjach systemu operacyjnego, a firma Microsoft nie uwzględnia już zmian w kodzie starszego produktu Microsoft LAPS.

Użyj systemu Windows LAPS do zarządzania hasłami konta administratora lokalnego. System Windows LAPS jest dostępny w systemach Windows Server 2019 i nowszych oraz na obsługiwanych klientach z systemami Windows 10 i Windows 11.

Firma Microsoft będzie nadal obsługiwać starszy produkt Microsoft LAPS w starszych wersjach systemu Windows (starszych niż Windows 11 23H2), na których była wcześniej obsługiwana. Ta obsługa zakończy się po normalnym zakończeniu wsparcia dla tych wersji systemu operacyjnego.

System Windows LAPS a starsza wersja rozwiązania Microsoft LAPS

System Windows LAPS dziedziczy wiele pojęć projektowych ze starszej wersji rozwiązania Microsoft LAPS. Jeśli znasz starsze wersje rozwiązania Microsoft LAPS, znane są wiele funkcji systemu Windows LAPS. Kluczową różnicą jest to, że system Windows LAPS to całkowicie oddzielna implementacja natywna dla systemu Windows. System Windows LAPS dodaje również wiele funkcji, które nie są dostępne w starszej wersji rozwiązania Microsoft LAPS. Za pomocą systemu Windows LAPS można tworzyć kopie zapasowe haseł w usłudze Microsoft Entra ID, szyfrować hasła w usłudze Active Directory systemu Windows Server i przechowywać historię haseł.

Important

System Windows LAPS nie wymaga zainstalowania starszej wersji rozwiązania Microsoft LAPS. Możesz w pełni wdrożyć wszystkie funkcje systemu Windows LAPS i korzystać z nich bez instalowania lub odwoływania się do starszej wersji rozwiązania Microsoft LAPS. Jednak w celu ułatwienia migracji istniejącego starszego wdrożenia Microsoft LAPS, system Windows LAPS oferuje tryb emulacji starszego Microsoft LAPS.

Important

Starszy produkt Microsoft LAPS jest przestarzały w nowszych wersjach systemu operacyjnego Microsoft. Aby uzyskać więcej informacji, zobacz Wycofanie starszego produktu Microsoft LAPS.

Instrukcja pomocy technicznej

Firma Microsoft wydała starszą wersję produktu Microsoft LAPS w roku kalendarzowym 2016 w Centrum pobierania Microsoft. System Windows LAPS dostarczany w ramach aktualizacji systemu Windows wydany 11 kwietnia 2023 r. dla platform wymienionych w systemach Windows LAPS i Microsoft Entra ID.

Firma Microsoft i jego organizacja dostarczania pomocy technicznej oferują pomoc techniczną zarówno dla produktów Microsoft LAPS, jak i Windows LAPS, w tym współdziałania tych dwóch produktów.

Important

Starszy produkt Microsoft LAPS jest przestarzały w nowszych wersjach systemu operacyjnego Microsoft. Aby uzyskać więcej informacji, zobacz Wycofanie starszego produktu Microsoft LAPS.

Zdecydowanie zalecamy rozpoczęcie planowania teraz migracji systemów z obsługą systemu Windows LAPS ze starszej wersji systemu Microsoft LAPS do funkcji Windows LAPS. System Windows LAPS oferuje wiele nowych funkcji zabezpieczeń i ulepszoną obsługę produktu.

Pytania dotyczące ograniczeń i współdziałania między narzędziami do zarządzania hasłami konta lokalnego innej firmy i systemem Windows LAPS powinny być kierowane do dewelopera aplikacji innej firmy, a nie firmy Microsoft.

Wymagania dotyczące licencjonowania

Sama funkcja Windows LAPS jest dostępna bezpłatnie na wszystkich obsługiwanych platformach systemu Windows.

Możesz utworzyć kopię zapasową haseł w usłudze Active Directory systemu Windows Server bez innych wymagań dotyczących licencjonowania.

Możesz utworzyć kopię zapasową haseł do identyfikatora Entra firmy Microsoft za pomocą bezpłatnej lub wyższej licencji microsoft Entra ID.

Inne funkcje związane z usługą Entra lub Intune mogą mieć inne wymagania dotyczące licencjonowania.

Prześlij opinię

Chcesz wysłać nam opinię? Możesz przesłać pytania specyficzne dla dokumentu za pośrednictwem linków opinii w dolnej części tej strony.

Możesz również przesłać opinie oraz inne żądania za pośrednictwem strony społeczności technicznej na temat Windows LAPS, oznaczonej jako feedback i.

Jeśli Twoja opinia jest specyficzna dla funkcji LAPS związanych z identyfikatorem firmy Microsoft lub usługi Intune, możesz przesłać opinię za pośrednictwem forum opinii firmy Microsoft Entra.

Jeśli nie masz pewności, gdzie powinna zostać przesłana twoja opinia, prześlij ją przy użyciu dowolnej z tych opcji.

Zobacz także

Dalsze kroki

  • Last updated on