Windows 本機系統管理員密碼解決方案 (Windows LAPS) 具有專用的事件記錄檔通道。 所有 Windows LAPS 作業都會使用豐富的事件記錄。 瞭解重要事件以及如何檢視記錄。
檢視事件記錄檔
若要檢視 Windows LAPS 事件記錄通道,請在 Windows Server 事件查看器中,移至 應用程式和服務>記錄>Microsoft>Windows>LAPS>作業。
關鍵事件
請務必注意一些重要的 Windows LAPS 事件,以及如何在事件記錄檔中檢視它們:
- 政策處理開始與結束事件
- 原則設定詳細數據
- 密碼更新確認事件
- 封鎖的外部密碼修改要求
- 驗證後操作相關事件
原則處理周期開始和結束
當 Windows LAPS 開始背景原則處理週期時,作業的進度會在事件記錄檔中追蹤。 瞭解指出每個周期開始和結束的特定事件,可讓您輕鬆地讀取事件記錄檔並瞭解事件。
每個背景原則處理週期從 10003 事件開始:
LAPS policy processing is now starting.
每個 10003 事件後面接著數個描述所發生狀況的其他事件。 當迴圈完成時,最終事件會將作業標示為成功或失敗。
使用 10004 事件追蹤成功的迴圈。 以下是 10004 事件的範例:
LAPS policy processing succeeded.
使用 10005 事件追蹤失敗的循環過程。 以下是 10005 事件的範例:
LAPS policy processing failed with the error code below.
Error code: 80070032
如果發生失敗,您可以使用錯誤碼進行疑難解答。 您也可以查看介入事件以取得詳細資訊。
原則設定詳細數據
啟用密碼備份時,會在每個 Windows LAPS 背景策略處理循環期間發出策略設定事件。 事件會記錄每次週期重複的特定政策設定值。
當原則設定為將密碼備份至 Windows Server Active Directory 時,會記錄 10021 事件。 以下是 10021 事件的範例:
The current LAPS policy is configured as follows:
Policy source: GPO
Backup directory: Active Directory
Local administrator account name:
Password age in days: 30
Password complexity: 4
Password length: 14
Password expiration protection enabled: 1
Password encryption enabled: 1
Password encryption target principal: LapsAdministrators@contoso.com
Password encrypted history size: 12
Backup DSRM password on domain controllers: 0
Post authentication grace period (hours): 8
Post authentication actions: 1
當原則設定為將密碼備份至 Microsoft Entra ID 時,會記錄 10022 事件。 以下是 10022 事件的範例:
The current LAPS policy is configured as follows:
Policy source: CSP
Backup directory: Azure AD
Local administrator account name: ContosoLocalAdminAccount
Password age in days: 7
Password complexity: 4
Password length: 64
Post authentication grace period (hours): 8
Post authentication actions: 3
當 Windows LAPS 設定為使用舊版 Microsoft LAPS 原則時,會記錄 10023 事件。 以下是 10023 事件的範例:
The current LAPS policy is configured as follows:
Policy source: Legacy LAPS
Backup directory: Active Directory
Local administrator account name:
Password age in days: 30
Password complexity: 4
Password length: 8
Password expiration protection enabled: 0
這些特定的原則設定值是範例,不應被視為建議。
密碼更新確認事件
當 Windows LAPS 以新密碼成功更新設定的目錄 (Windows Server Active Directory 或 Microsoft Entra ID)時,會記錄成功事件:Windows Server Active Directory 中密碼更新 10018,Microsoft Entra ID 中的密碼更新則為 10029。
以下是 10018 事件的範例:
LAPS successfully updated Active Directory with the new password.
以下是 10029 事件的範例:
LAPS successfully updated Azure Active Directory with the new password.
當目錄更新至新密碼時,Windows LAPS 也會更新管理的本機帳戶。 成功時會記錄 10020 事件。
以下是 10020 事件的範例:
LAPS successfully updated the local admin account with the new password.
Account name: ContosoLocalAdminAccount
Account RID: 1087
封鎖的外部密碼修改要求
啟用 Windows LAPS 時,它會保護指定受管理帳戶的密碼不受 Windows LAPS 以外的任何實體修改。 嘗試變更密碼被阻止時,會記錄 10031 事件。
以下是 10031 事件的範例:
LAPS blocked an external request that tried to modify the password of the current managed account.
Account name: ContosoLocalAdminAccount
Account RID: 1087
驗證後動作事件
設定驗證後的動作時,Windows LAPS 會監控指定的受管理帳戶的成功驗證。 偵測到驗證時,會記錄 10041 事件。
以下是 10041 事件的範例:
LAPS detected a successful authentication for the currently managed account. A background task has been scheduled to execute the configured post-authentication actions after the configured grace period has expired.%n
Account name: ContosoLocalAdminAccount
Account RID: 1087
Password reset timer deadline: %3%n
當達到 10041 事件中列出的期限時,Windows LAPS 會記錄 10042 事件:
The post-authentication grace period has expired per policy. The configured post-authentication actions will now be executed.
Account name: ContosoLocalAdminAccount
Account RID: 1087
Windows LAPS 接著會嘗試輪替密碼,並執行任何指定的驗證後動作。 密碼輪替成功時,會記錄 10044 事件。
以下是 10044 事件的範例:
LAPS successfully reset the password for the currently managed account and completed all configured post-authentication actions.%n
%n
Account name: ContosoLocalAdminAccount
Account RID: 1087
如果密碼輪替失敗,則會記錄 10043 事件。 以下是 10043 事件的範例:
LAPS failed to reset the password for the currently managed account. The password is considered expired due to an authentication event. LAPS will continue retrying the password reset operation until it succeeds.
Account name: ContosoLocalAdminAccount
Account RID: 1087
Password reset retry count: 1
Error code: 80070032
用戶端事件記錄檔與 AD 域控制器事件記錄檔
Windows LAPS 事件記錄檔通道包含與做為用戶端之本機計算機相關的事件。 Active Directory 域控制器上的 Windows LAPS 事件記錄通道只包含與本機 DSRM 帳戶管理相關的事件(如果已啟用),而且絕不包含任何與已加入網域用戶端行為相關的事件。