Configurare le impostazioni dei criteri per Windows LAPS
La Soluzione password dell'amministratore locale di Windows (Windows LAPS) supporta varie impostazioni controllabili tramite criteri. Informazioni sulle impostazioni e su come amministrarle.
Radici dei criteri supportate
Anche se non è consigliabile, è possibile amministrare un dispositivo usando più meccanismi di gestione dei criteri. Per supportare questo scenario in modo comprensibile e prevedibile, a ogni meccanismo dei criteri di Windows LAPS viene assegnata una chiave radice del Registro di sistema distinta:
| Nome del criterio | Radice della chiave del Registro di sistema del criterio |
|---|---|
| CSP LAPS | HKLM\Software\Microsoft\Policies\LAPS |
| Criteri di gruppo LAPS | HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\LAPS |
| Configurazione locale LAPS | HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\Config |
| Microsoft LAPS legacy | HKLM\Software\Policies\Microsoft Services\AdmPwd |
Windows LAPS esegue query su tutte le radici note dei criteri delle chiavi del Registro di sistema, procedendo dall'alto verso il basso. Se in una radice non viene trovata alcuna impostazione, la radice viene ignorata e la query procede alla radice successiva. Quando viene trovata una radice con almeno un'impostazione definita in modo esplicito, la radice viene usata come criterio attivo. Se la radice scelta non contiene impostazioni, alle impostazioni vengono assegnati i valori predefiniti.
Le impostazioni dei criteri non vengono mai condivise o ereditate tra le radici delle chiavi dei criteri.
Suggerimento
La chiave di configurazione locale LAPS è inclusa nella tabella precedente per completezza. È possibile usare questa chiave, se necessario, ma andrebbe usata principalmente per il test e lo sviluppo. Non sono disponibili strumenti di gestione o meccanismi dei criteri destinati a questa chiave.
Impostazioni dei criteri supportate da BackupDirectory
Windows LAPS supporta più impostazioni dei criteri che è possibile amministrare tramite varie soluzioni di gestione dei criteri o anche direttamente tramite il Registro di sistema. Alcune di queste impostazioni si applicano solo quando si esegue il backup delle password in Active Directory e alcune impostazioni sono comuni a entrambi gli scenari di AD e Microsoft Entra.
La tabella seguente specifica le impostazioni applicabili ai dispositivi con l'impostazione BackupDirectory specificata:
| Nome impostazione | Applicabile quando BackupDirectory=Microsoft Entra ID? | Applicabile quando BackupDirectory=AD? |
|---|---|---|
| AdministratorAccountName | Sì | Sì |
| PasswordAgeDays | Sì | Sì |
| PasswordLength | Sì | Sì |
| PassphraseLength | Sì | Sì |
| PasswordComplexity | Sì | Sì |
| PostAuthenticationResetDelay | Sì | Sì |
| PostAuthenticationActions | Sì | Sì |
| ADPasswordEncryptionEnabled | No | Sì |
| ADPasswordEncryptionPrincipal | No | Sì |
| ADEncryptedPasswordHistorySize | No | Sì |
| ADBackupDSRMPassword | No | Sì |
| PasswordExpirationProtectionEnabled | No | Sì |
| AutomaticAccountManagementEnabled | Sì | Sì |
| AutomaticAccountManagementTarget | Sì | Sì |
| AutomaticAccountManagementNameOrPrefix | Sì | Sì |
| AutomaticAccountManagementEnableAccount | Sì | Sì |
| AutomaticAccountManagementRandomizeName | Sì | Sì |
Se BackupDirectory è impostato su Disabilitato, tutte le altre impostazioni vengono ignorate.
È possibile amministrare pressoché tutte le impostazioni usando qualunque meccanismo di gestione dei criteri. Il provider di servizi di configurazione (CSP) di Windows LAPS ha due eccezioni a questa regola. Il CPS di Windows LAPS supporta due impostazioni che non sono presenti nella tabella precedente: ResetPassword e ResetPasswordStatus. Inoltre, il CSP di Windows LAPS non supporta l'impostazione ADBackupDSRMPassword (i controller di dominio non vengono mai gestiti tramite CSP). Per altre informazioni, vedere la documentazione del CSP di LAPS.
Criteri di gruppo di Windows LAPS
Windows LAPS include un nuovo oggetto Criteri di gruppo che è possibile usare per amministrare le impostazioni dei criteri nei dispositivi aggiunti a un dominio di Active Directory. Per accedere ai Criteri di gruppo di Windows LAPS, nella finestra Editor Gestione Criteri di gruppo passare a Configurazione computer>Modelli amministrativi>Sistema>LAPS. La figura seguente mostra un esempio:
Il modello per questo nuovo oggetto Criteri di gruppo viene installato come parte di Windows in %windir%\PolicyDefinitions\LAPS.admx.
Archivio centrale dell'oggetto Criteri di gruppo
Importante
I file modello dell'oggetto Criteri di gruppo di Windows LAPS NON vengono copiati automaticamente nell'archivio centrale oggetto Criteri di gruppo come parte di un'operazione di applicazione patch di Windows Update, presupponendo che sia stato scelto di implementare tale approccio. È invece necessario copiare manualmente il file LAPS.admx nella posizione dell'archivio centrale dell'oggetto Criteri di gruppo. Vedere Creare e gestire l'archivio centrale.
CPS di Windows LAPS
Windows LAPS include un CSP specifico che è possibile usare per amministrare le impostazioni dei criteri nei dispositivi aggiunti a Microsoft Entra. Gestire il CSP di Windows LAPS usando Microsoft Intune.
Applicare le impostazioni dei criteri
Le sezioni seguenti descrivono come usare e applicare le varie impostazioni dei criteri per Windows LAPS.
BackupDirectory
Usare questa impostazione per controllare la directory in cui eseguire il backup della password per l'account gestito.
| Valore | Descrizione dell'impostazione |
|---|---|
| 0 | Disabilitato (il backup della password non viene eseguito) |
| 1 | Eseguire il backup della password solo in Microsoft Entra |
| 2 | Backup della password solo in Windows Server Active Directory |
Se non specificato, l'impostazione predefinita è 0 (Disabilitato).
AdministratorAccountName
Usare questa impostazione per configurare il nome dell'account Administrator locale gestito.
Se non specificato, viene usata la gestione dell'account Administrator locale predefinito.
Importante
Non specificare questa impostazione a meno che non si voglia gestire un account diverso dall'account Administrator locale predefinito. L'account Administrator locale viene identificato automaticamente dal relativo identificatore relativo noto (RID).
Importante
È possibile configurare l'account specificato (predefinito o personalizzato) come abilitato o disabilitato. Windows LAPS gestirà la password dell'account in entrambi gli stati. Se lasciato in uno stato disabilitato, tuttavia, l'account deve essere ovviamente abilitato per essere effettivamente usato.
Importante
Se si configura Windows LAPS per gestire un account Administrator locale personalizzato, è necessario assicurarsi che l'account sia stato creato. Windows LAPS non crea l'account.
Importante
Questa impostazione viene ignorata se AutomaticAccountManagementEnabled è abilitato.
PasswordAgeDays
Questa impostazione controlla la validità massima della password dell'account Administrator locale gestito. I valori supportati sono:
- Minimo: 1 giorno (quando la directory di backup è configurata come Microsoft Entra ID, il minimo è 7 giorni).
- Massimo: 365 giorni
Se non specificato, l'impostazione predefinita è 30 giorni.
Importante
Le modifiche apportate all'impostazione del criterio PasswordAgeDays non hanno alcun effetto sulla scadenza della password corrente. Analogamente, le modifiche apportate all'impostazione del criterio PasswordAgeDays non causano l'avvio della rotazione delle password da parte del dispositivo gestito.
PasswordLength
Usare questa impostazione per configurare la lunghezza della password dell'account Administrator locale gestito. I valori supportati sono:
- Minimo: 8 caratteri
- Massimo: 64 caratteri
Se non specificato, l'impostazione predefinita è 14 caratteri.
Importante
Non configurare PasswordLength su un valore non compatibile con i criteri password locali del dispositivo gestito. In caso contrario, Windows LAPS non riuscirebbe a creare una nuova password compatibile (cercare un evento 10027 nel registro eventi di Windows LAPS).
L'impostazione PasswordLength viene ignorata a meno che PasswordComplexity non sia configurato per una delle opzioni della password.
PassphraseLength
Utilizzare questa impostazione per configurare il numero di parole nella passphrase dell'account amministratore locale gestito. I valori supportati sono:
- Minimo: 3 parole
- Maximum: 10 parole.
Se non specificato, il valore predefinito di questa impostazione è 6 parole.
L'impostazione PassphraseLength viene ignorata a meno che PasswordComplexity non sia configurato per una delle opzioni della passphrase.
PasswordComplexity
Utilizzare questa impostazione per configurare la complessità della password richiesta per l'account amministratore locale gestito o per specificare la creazione di una passphrase.
| Valore | Descrizione dell'impostazione |
|---|---|
| 1 | Lettere maiuscole |
| 2 | Lettere maiuscole + lettere minuscole |
| 3 | Lettere maiuscole + lettere minuscole + numeri |
| 4 | Lettere maiuscole + lettere minuscole + numeri + caratteri speciali |
| 5 | Lettere grandi + lettere minuscole + numeri + caratteri speciali (migliore leggibilità) |
| 6 | Passphrase (parole lunghe) |
| 7 | Passphrase (parole brevi) |
| 8 | Passphrase (parole brevi con prefissi univoci) |
Se non specificato, l'impostazione predefinita è 4.
Importante
Windows supporta le impostazioni di complessità delle password inferiori (1, 2 e 3) solo per compatibilità con le versioni precedenti di Microsoft LAPS. È consigliabile configurare sempre questa impostazione su 4.
Importante
Non configurare PasswordComplexity su un valore non compatibile con i criteri password locali del dispositivo gestito. In caso contrario, Windows LAPS non riuscirebbe a creare una nuova password compatibile (cercare un evento 10027 nel registro eventi di Windows LAPS).
PasswordExpirationProtectionEnabled
Usare questa impostazione per configurare l'imposizione della validità massima della password per l'account Administrator locale gestito.
I valori supportati sono 1 (True) o 0 (False).
Se non specificato, l'impostazione predefinita è 1 (True).
Suggerimento
In modalità Microsoft LAPS legacy, l'impostazione predefinita è False per compatibilità con le versioni precedenti.
ADPasswordEncryptionEnabled
Usare questa impostazione per abilitare la crittografia delle password in Active Directory.
I valori supportati sono 1 (True) o 0 (False).
Importante
L'abilitazione di questa impostazione richiede che il dominio di Active Directory sia in esecuzione al livello di funzionalità del dominio 2016 o versione successiva.
ADPasswordEncryptionPrincipal
Utilizzare questa impostazione per configurare il nome o l'ID di protezione (SID) di un utente o di un gruppo in grado di decrittografare la password archiviata in Active Directory.
Questa impostazione viene ignorata se la password è attualmente archiviata in Azure.
Se non specificato, solo i membri del gruppo Domain Admins nel dominio del dispositivo possono decrittografare la password.
Se specificato, l'utente o il gruppo specificato può decrittografare la password archiviata in Active Directory.
Importante
La stringa archiviata in questa impostazione è un SID in formato stringa o il nome completo di un utente o di un gruppo. Ecco alcuni esempi validi:
S-1-5-21-2127521184-1604012920-1887927527-35197contoso\LAPSAdminslapsadmins@contoso.com
L'entità identificata (dal SID o dal nome dell'utente o del gruppo) deve esistere ed è risolvibile dal dispositivo.
NOTA: i dati specificati in questa impostazione vengono immessi così come sono; ad esempio, non aggiungere virgolette o parentesi racchiuse.
Questa impostazione viene ignorata a meno che ADPasswordEncryptionEnabled non sia configurato su True e che non vengano soddisfatti tutti gli altri prerequisiti.
Questa impostazione viene ignorata quando viene eseguito il backup delle password dell'account della modalità ripristino servizi directory (DSRM) in un controller di dominio. In questo scenario, questa impostazione è sempre configurata sul gruppo Domain Admins del dominio del controller di dominio.
ADEncryptedPasswordHistorySize
Usare questa impostazione per configurare il numero di password crittografate precedenti memorizzate in Active Directory. I valori supportati sono:
- Minimo : 0 password
- Massimo: 12 password
Se non specificato, l'impostazione predefinita è 0 password (Disabilitato).
Importante
Questa impostazione viene ignorata a meno che ADPasswordEncryptionEnabled non sia configurato su True e che non vengano soddisfatti tutti gli altri prerequisiti.
Questa impostazione ha effetto anche sui controller di dominio che eseguono il backup delle password DSRM.
ADBackupDSRMPassword
Usare questa impostazione per abilitare il backup delle password dell'account DSRM nei controller di dominio di Windows Server Active Directory.
I valori supportati sono 1 (True) o 0 (False).
L'impostazione predefinita è 0 (False).
Importante
Questa impostazione viene ignorata a meno che ADPasswordEncryptionEnabled non sia configurato su True e che non vengano soddisfatti tutti gli altri prerequisiti.
PostAuthenticationResetDelay
Usare questa impostazione per specificare la quantità di tempo (in ore) da attendere dopo un'autenticazione prima di eseguire le azioni post-autenticazione specificate (vedere PostAuthenticationActions). I valori supportati sono:
- Minimo: 0 ore (impostando questo valore su 0 vengono disabilitate tutte le azioni post-autenticazione)
- Massimo: 24 ore
Se non specificato, l'impostazione predefinita è 24ore.
PostAuthenticationActions
Usare questa impostazione per specificare le azioni da eseguire alla scadenza del periodo di tolleranza configurato (vedere PostAuthenticationResetDelay).
Questa impostazione può avere uno dei valori seguenti:
| Valore | Nome | Azioni eseguite alla scadenza del periodo di tolleranza | Commenti |
|---|---|---|---|
| 1 | Immettere una nuova password | La password dell'account gestito viene reimpostata. | |
| 3 | Reimpostazione della password e disconnessione | La password dell'account gestito viene reimpostata, le sessioni di accesso interattive che usano l'account gestito vengono terminate e le sessioni SMB che usano l'account gestito vengono eliminate. | Le sessioni di accesso interattive ricevono un avviso di due minuti non configurabile che invita a salvare il lavoro e disconnettersi. |
| 5 | Reimpostazione della password e riavvio | La password dell'account gestito viene reimpostata e il dispositivo gestito viene riavviato. | Il dispositivo gestito viene riavviato dopo un ritardo di un minuto non configurabile. |
| 11 | Reimpostazione della password e disconnessione | La password dell'account gestito viene reimpostata, le sessioni di accesso interattive che usano l'account gestito vengono terminate, le sessioni SMB che usano l'account gestito vengono eliminate e tutti i processi rimanenti in esecuzione con l'identità dell'account gestito vengono terminati. | Le sessioni di accesso interattive ricevono un avviso di due minuti non configurabile che invita a salvare il lavoro e disconnettersi. |
Se non specificato, l'impostazione predefinita è 3.
Importante
Le azioni post-autenticazione consentite sono intese per limitare la quantità di tempo in cui è possibile usare una password di Windows LAPS prima della reimpostazione. La disconnessione dall'account gestito o il riavvio del dispositivo sono opzioni che aiutano a garantire che questo tempo sia limitato. L'interruzione improvvisa delle sessioni di accesso o il riavvio del dispositivo possono comportare la perdita di dati.
Dal punto di vista della sicurezza, un utente malintenzionato che acquisisce privilegi amministrativi su un dispositivo usando una password di Windows LAPS valida può evitare o aggirare questi meccanismi.
Importante
Il valore 11 di PostAuthenticationActions è supportato solo in Windows 11 24H2, Windows Server 2025 e versioni successive.
AutomaticAccountManagementEnabled
Usare questa impostazione per abilitare la gestione automatica degli account.
I valori supportati sono 1 (True) o 0 (False).
L'impostazione predefinita è 0 (False).
AutomaticAccountManagementTarget
Usare questa impostazione per specificare se l'account Amministratore predefinito viene gestito automaticamente o un nuovo account personalizzato.
| Valore | Descrizione dell'impostazione |
|---|---|
| 0 | Gestire automaticamente l'account Amministratore predefinito |
| 1 | Gestire automaticamente un nuovo account personalizzato |
L'impostazione predefinita è 1.
Questa impostazione viene ignorata a meno che AutomaticAccountManagementEnabled non sia abilitato.
AutomaticAccountManagementNameOrPrefix
Usare questa impostazione per specificare il nome o il prefisso del nome dell'account gestito automaticamente.
L'impostazione predefinita è WLapsAdmin.
Questa impostazione viene ignorata a meno che AutomaticAccountManagementEnabled non sia abilitato.
AutomaticAccountManagementEnableAccount
Usare questa impostazione per abilitare o disabilitare l'account gestito automaticamente.
| Valore | Descrizione dell'impostazione |
|---|---|
| 0 | Disabilitare l'account gestito automaticamente |
| 1 | Abilitare l'account gestito automaticamente |
L'impostazione predefinita è 0.
Questa impostazione viene ignorata a meno che AutomaticAccountManagementEnabled non sia abilitato.
AutomaticAccountManagementRandomizeName
Usare questa impostazione per abilitare la casualizzazione del nome dell'account gestito automaticamente.
Quando questa impostazione è abilitata, il nome dell'account gestito (determinato dall'impostazione AutomaticAccountManagementNameOrPrefix) ottiene un suffisso casuale di sei cifre ogni volta che la password è ruotata.
I nomi degli account locali di Windows hanno una lunghezza massima di 20 caratteri, il che significa che il componente del nome deve avere al massimo 14 caratteri per avere spazio sufficiente per il suffisso casuale. I nomi degli account specificati da AutomaticAccountManagementNameOrPrefix con lunghezza superiore a 14 caratteri vengono troncati.
| Valore | Descrizione dell'impostazione |
|---|---|
| 0 | Non casualizzare il nome dell'account gestito automaticamente |
| 1 | Casualizzare il nome dell'account gestito automaticamente |
L'impostazione predefinita è 0.
Questa impostazione viene ignorata a meno che AutomaticAccountManagementEnabled non sia abilitato.
Valori dei criteri predefiniti di Windows LAPS
Tutte le impostazioni dei criteri LAPS di Windows hanno un valore predefinito. Il valore predefinito viene applicato ogni volta che un amministratore non configura un'impostazione specifica. Il valore predefinito viene applicato anche ogni volta che un amministratore configura una determinata impostazione con un valore non supportato.
| Nome impostazione | Default value |
|---|---|
| BackupDirectory | Disabilitata |
| AdministratorAccountName | Null\vuoto |
| PasswordAgeDays | 30 |
| PasswordLength | 14 |
| PassphraseLength | 6 |
| PasswordComplexity | 4 |
| PostAuthenticationResetDelay | 24 |
| PostAuthenticationActions | 3 (Reimpostazione della password e disconnessione) |
| ADPasswordEncryptionEnabled | Vero |
| ADPasswordEncryptionPrincipal | Domain Admins |
| ADEncryptedPasswordHistorySize | 0 |
| ADBackupDSRMPassword | Falso |
| PasswordExpirationProtectionEnabled | Vero |
| AutomaticAccountManagementEnabled | Falso |
| AutomaticAccountManagementTarget | Sì |
| AutomaticAccountManagementNameOrPrefix | Sì |
| AutomaticAccountManagementEnableAccount | Falso |
| AutomaticAccountManagementRandomizeName | Falso |
Importante
ADPasswordEncryptionPrincipal è un'eccezione alla regola di impostazione non configurata correttamente. Questa impostazione viene impostata per impostazione predefinita su "Domain Admins" solo quando l'impostazione non è configurata. Nel caso in cui venga specificato un nome utente o di gruppo non valido, si verificherà un errore di elaborazione dei criteri e non verrà eseguito il backup della password dell'account gestito.
Tenere presenti queste impostazioni predefinite quando si configurano nuove funzionalità DI Windows LAPS, ad esempio il supporto di passphrase. Se si configura un criterio con un valore di PasswordComplexity pari a 6 (passphrase di parole lunghe), applicare tale criterio a un sistema operativo meno recente che non supporta tale valore, il sistema operativo di destinazione usa il valore predefinito 4. Per evitare questo risultato, creare due criteri diversi: uno per il sistema operativo precedente e uno per il sistema operativo più recente.