Windows 本地管理员密码解决方案(Windows LAPS)是一项 Windows 功能,可自动管理和备份已加入 Microsoft Entra 或 Windows Server Active Directory 的设备上的本地管理员帐户的密码。 你还可以使用 Windows LAPS 自动管理和备份 Windows Server Active Directory 域控制器上的目录服务还原模式 (DSRM) 帐户密码。 授权管理员可以检索 DSRM 密码并使用。
Windows LAPS 支持的平台
Windows LAPS 在以下 OS 平台上可用:
Windows 客户端
- Windows 11 23H2 及更高版本。
- 已收到 2023 年 4 月 11 日更新或更高版本的其他 Windows 客户端版本,包括:
Windows Server
- Windows Server 2025 及更高版本。
- 适用于容器的 Windows Server 年度频道、23H2 及更高版本。
- 已收到 2023 年 4 月 11 日更新或更高版本的其他 Windows Server 版本,包括:
这些平台的所有受支持版本都已更新为 Windows LAPS,包括长期服务渠道(LTSC)版本。 Windows LAPS 功能的引入不会修改标准Microsoft产品生命周期策略。
Windows LAPS 和 Microsoft Entra ID
自 2023 年 10 月 23 日起,具有 Microsoft Entra ID 和 Microsoft Intune 支持的 Windows LAPS 已正式发布。 有关详细信息,请参阅 windows 本地管理员密码解决方案,其中Microsoft Entra ID 现已正式发布! Microsoft Entra ID 中的 Windows 本地管理员密码解决方案。
使用 Windows LAPS 时的优势
使用 Windows LAPS 定期轮换和管理本地管理员帐户密码,并有以下优势:
- 防范哈希传递和横向遍历攻击
- 提高了远程技术支持方案的安全性
- 能够登录和恢复其他不可访问的设备
- 细粒度安全模型(访问控制列表和可选的密码加密),用于保护存储在 Windows Server Active Directory 中的密码
- 支持 Microsoft Entra 基于角色的访问控制模型来保护存储在 Microsoft Entra ID 中的密码
信息性视频
以下视频提供了有关 Windows LAPS 功能的详细信息的信息方法。
“Windows 技术起飞”演示文稿(2022 年 11 月):
“Windows 应对技术”讨论(2023 年 8 月):
关键的 Windows LAPS 方案
可以将 Windows LAPS 用于多种主要方案:
将本地管理员帐户密码备份到 Microsoft Entra ID(适用于已加入 Microsoft Entra 的设备)
将本地管理员帐户密码备份到 Windows Server Active Directory(适用于已加入 Windows Server Active Directory 的客户端和服务器)
将 DSRM 帐户密码备份到 Windows Server Active Directory(适用于 Windows Server Active Directory 域控制器)
使用旧版 Microsoft LAPS 将本地管理员帐户密码备份到Windows Server Active Directory
在每个方案中,可以应用不同的策略设置。
了解设备加入状态限制
设备是否加入 Microsoft Entra ID 或 Windows Server Active Directory 将决定你如何使用 Windows LAPS。
- 只加入 Microsoft Entra ID 的设备仅能将密码备份到 Microsoft Entra ID。
- 仅加入 Windows Server Active Directory 的设备只能将密码备份到 Windows Server Active Directory。
- 已 加入混合 的设备(同时加入 Microsoft Entra ID 和 Windows Server Active Directory)可以备份其密码,以Microsoft Entra ID 或 Windows Server Active Directory。
无法将密码同时备份到 Microsoft Entra ID 和 Windows Server Active Directory。
Windows LAPS 不支持已加入 Microsoft Entra 工作区的客户端。
设置 Windows LAPS 策略
若要设置和管理 Windows LAPS 部署的策略,可以使用多个选项:
管理和监视 Windows LAPS
你还可以使用各种选项来管理和监视 Windows LAPS。
适用于 Windows 的选项包括:
- Windows Server Active Directory 用户和计算机属性对话框。
- 专用事件日志通道。
- 特定于 Windows LAPS 的 Windows PowerShell 模块。
将密码备份到 Microsoft Entra ID 时,可以使用基于 Entra 的监视和报告解决方案。
弃用旧版 Microsoft LAPS 产品
Important
旧版 Microsoft LAPS 产品自 Windows 11 23H2 及更高版本起已弃用。 旧版 MICROSOFT LAPS Microsoft Installer (MSI) 包的安装在较新的作系统版本上受阻,Microsoft不再考虑旧版 MICROSOFT LAPS 产品的代码更改。
使用 Windows LAPS 管理本地管理员帐户密码。 Windows LAPS 适用于 Windows Server 2019 及更高版本以及受支持的 Windows 10 和 Windows 11 客户端。
Microsoft将继续支持以前支持的旧版 Windows(早于 Windows 11 23H2)上的旧版 Microsoft LAPS 产品。 这种支持将在对这些 OS 版本的正常终止支持后结束。
Windows LAPS 与旧版 Microsoft LAPS
Windows LAPS 继承了旧版 Microsoft LAPS 中的许多设计概念。 如果你熟悉旧版 Microsoft LAPS,那么许多 Windows LAPS 功能都很熟悉。 一个主要区别在于,Windows LAPS 是 Windows 原生的完全独立实现。 Windows LAPS 还添加了许多在旧版 Microsoft LAPS 中不可用的功能。 可以使用 Windows LAPS 将密码备份到 Microsoft Entra ID、加密 Windows Server Active Directory 中的密码,以及存储密码历史记录。
Important
Windows LAPS 不需要安装旧版 Microsoft LAPS。 无需安装或引用旧版 Microsoft LAPS,即可完全部署和使用所有 Windows LAPS 功能。 但为了帮助迁移现有的旧版 Microsoft LAPS 部署,Windows LAPS 提供了旧版 Microsoft LAPS 仿真模式。
Important
旧版 Microsoft LAPS 产品在较新的Microsoft作系统版本上已弃用。 有关详细信息,请参阅 弃用旧版 Microsoft LAPS 产品。
支持声明
Microsoft 于 2016 日历年在 Microsoft 下载中心发布了旧版 Microsoft LAPS 产品。 Windows LAPS 作为 2023 年 4 月 11 日发布的 Windows 更新的一部分,适用于 Windows LAPS 中列出的平台和Microsoft Entra ID 中列出的平台。
Microsoft及其支持交付组织为Microsoft LAPS 和 Windows LAPS 提供了辅助支持,包括两种产品的互作性。
Important
旧版 Microsoft LAPS 产品在较新的Microsoft作系统版本上已弃用。 有关详细信息,请参阅 弃用旧版 Microsoft LAPS 产品。
强烈建议你立即开始计划将支持 Windows LAPS 的系统从使用旧版 Microsoft LAPS 迁移到 Windows LAPS 功能。 Windows LAPS 提供许多新的安全功能和改进的产品服务。
有关第三方本地帐户密码管理工具与 Windows LAPS 之间的限制和互作性问题,应定向到第三方应用程序开发人员,而不是Microsoft。
许可要求
Windows LAPS 功能本身在所有受支持的 Windows 平台中免费提供。
无需其他许可要求即可将密码备份到 Windows Server Active Directory。
可使用 Microsoft Entra ID Free 或更高版本的许可证将密码备份到 Microsoft Entra ID。
其他与 Entra 相关或 Intune 相关的功能可以具有其他许可要求。
提交反馈
想要向我们发送反馈? 请随时通过此页面底部的反馈链接提交特定于文档的问题。
还可以通过 Windows LAPS 反馈技术社区页面提交反馈和其他请求。
如果你的反馈特定于 Microsoft Entra ID 相关或 Intune 相关 LAPS 功能,则可以通过 Microsoft Entra 反馈论坛提交反馈。
如果不确定你的反馈应从何处进行,请使用上述任一选项提交。
另请参阅
- 介绍使用 Microsoft Entra ID 的 Windows 本地管理员密码解决方案
- Microsoft Entra ID 中的 Windows 本地管理员密码解决方案
- 具有 Microsoft Entra ID 的 Windows 本地管理员密码解决方案现已正式发布!
- Microsoft Intune 对 Windows LAPS 的支持
- LAPS CSP
- Windows LAPS 故障排除指南
- LAPS PowerShell 模块参考
- 旧版 Microsoft LAPS