Windows 本地管理员密码解决方案 (Windows Local Administrator Password Solution 简称:Windows LAPS) 是一项 Windows 功能,可自动管理和备份已加入 Azure Active Directory 或已加入 Windows Server Active Directory 的设备上的本地管理员账户的密码。还可以使用 Windows LAPS 自动管理和备份 Windows Server Active Directory 域控制器上的目录服务修复模式 (DSRM) 账户密码。授权管理员可以检索 DSRM 密码并使用它。
使用 Windows LAPS 的好处
使用 Windows LAPS 定期轮换和管理本地管理员账户密码并获得以下好处:
- 防止传递哈希和横向遍历攻击
- 提高远程帮助台场景的安全性
- 能够登录和恢复原本无法访问的设备
- 用于保护存储在 Windows Server Active Directory 中的密码的细粒度安全模型(访问控制列表和可选密码加密)
- 支持 Azure 基于角色的访问控制模型,用于保护存储在 Azure Active Directory 中的密码
支持的平台
Windows LAPS 在桌面 Windows、Windows Server 和 Windows Server Core 上受支持。Windows LAPS 是所有受支持 SKU 上的原生 Windows 功能。安装该功能不需要额外的步骤。
如前所述,Windows LAPS 目前仅在 Windows 11 Insider Preview Build 25145 及更高版本中可用。目前对 Windows LAPS Azure Active Directory 方案的支持仅限于少数 Windows Insider 用户。
关键的 Windows LAPS 场景
您可以将 Windows LAPS 用于几个主要方案:
- 将本地管理员账户密码备份到Azure Active Directory(适用于加入 Azure Active Directory 的设备)
- 将本地管理员账户密码备份到 Windows Server Active Directory(适用于已加入 Windows Server Active Directory 的客户端和服务器)
- 将 DSRM账户密码备份到 Windows Server Active Directory(适用于 Windows Server Active Directory 域控制器)
- 使用旧版 Microsoft LAPS 将本地管理员账户密码备份到 Windows Server Active Directory
在每种情况下,您都可以应用不同的策略设置。
Windows LAPS 不支持加入 Azure Active Directory 工作区的客户端。
了解设备加入状态限制
设备是加入 Azure Active Directory 还是 Windows Server Active Directory 决定了您可以如何使用 Windows LAPS。
仅加入Azure Active Directory的设备只能将密码备份到 Azure Active Directory。
仅加入 Windows Server Active Directory 的设备只能将密码备份到 Windows Server Active Directory。
混合加入(加入 Azure Active Directory 和 Windows Server Active Directory)的设备可以将其密码备份到 Azure Active Directory 或 Windows Server Active Directory。您不能同时将密码备份到 Azure Active Directory 和 Windows Server Active Directory。
