Introduzione a Windows LAPS in modalità di emulazione Microsoft LAPS legacy
È possibile configurare la Soluzione password dell'amministratore locale di Windows (Windows LAPS) in modo da rispettare le impostazioni di Criteri di gruppo di Microsoft LAPS legacy, ma con alcune restrizioni e limitazioni. Questa funzionalità è denominata modalità di emulazione Microsoft LAPS legacy. Si può usare la modalità di emulazione per eseguire la migrazione di una distribuzione di Microsoft LAPS legacy esistente a Windows LAPS.
Come Microsoft LAPS, la modalità di emulazione supporta l'archiviazione delle password in Windows Server Active Directory solo in formato non crittografato. Per aumentare la sicurezza, è consigliabile eseguire la migrazione usando Windows LAPS in modo nativo, così da poter sfruttare la crittografia delle password.
Installazione e configurazione
Quando si configura Windows LAPS in modalità di emulazione Microsoft LAPS legacy, Windows LAPS presuppone che l'ambiente Windows Server Active Directory sia configurato per l'esecuzione di Microsoft LAPS legacy. Per altre informazioni sulla configurazione di Microsoft LAPS legacy, vedere la documentazione di Microsoft LAPS legacy.
Requisiti e limitazioni
I requisiti e le limitazioni seguenti si applicano al supporto della modalità di emulazione Microspft LAPS legacy:
Windows LAPS non supporta l'aggiunta dello schema di Windows Server Active Directory di Microsoft LAPS legacy.
È necessario installare Microsoft LAPS legacy in un controller di dominio oppure in un altro client di gestione per estendere lo schema di Windows Server Active Directory con gli elementi dello schema di Microsoft LAPS legacy. Usare il cmdlet
Update-AdmPwdADSchema
per estendere lo schema. Il cmdletUpdate-LapsADSchema
di Windows LAPS non aggiunge gli elementi dello schema di Microsoft LAPS legacy.Windows LAPS non installa i file di definizione di Criteri di gruppo di Microsoft LAPS legacy.
Per definire e amministrare i Criteri di gruppo di Microsoft LAPS legacy, è necessario installare Microsoft LAPS legacy in un controller di dominio oppure in un altro client di gestione.
Windows LAPS non supporta la gestione degli elenchi di controllo di accesso (ACL) di Active Directory di Microsoft LAPS legacy.
Per gestire gli elenchi di controllo di accesso di Windows Server Active Directory di Microsoft LAPS legacy, è necessario installare Microsoft LAPS legacy in un controller di dominio o in un altro client di gestione. Ad esempio, per usare il cmdlet
Set-AdmPwdComputerSelfPermissions
.Non è possibile applicare al computer altri criteri di Windows LAPS.
Se nel computer è presente un criterio di Windows LAPS, avrà sempre la precedenza indipendentemente dal modo in cui è stato applicato (provider di servizi di configurazione, oggetto Criteri di gruppo o modifica del Registro di sistema non elaborato). Se è presente un criterio di Windows LAPS, i criteri di Microsoft LAPS legacy vengono sempre ignorati. Per altre informazioni, vedere Impostazioni dei criteri di Windows LAPS.
Microsoft LAPS legacy non deve essere installato nel computer.
Questa restrizione evita lo scenario in cui Windows LAPS e Microsoft LAPS legacy tentano simultaneamente di gestire lo stesso account amministratore locale. La gestione dello stesso account da parte di due entità è un rischio per la sicurezza e non è supportata.
Per la funzionalità di emulazione, Microsoft LAPS legacy viene considerato installato se è installata l'estensione Criteri di gruppo lato client di Microsoft LAPS legacy. Per rilevare l'estensione, eseguire una query sul valore del Registro di sistema
DllName
in questa chiave del Registro di sistema:HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}
Quando il valore DllName è presente e fa riferimento a un file su disco (il file non viene caricato o verificato in altro modo), Microsoft LAPS legacy viene considerato installato.
La console di gestione Utenti e computer di Windows Server Active Directory non supporta la lettura o la scrittura di attributi dello schema di Microsoft LAPS legacy.
Windows LAPS ignora sempre un criterio di Microsoft LAPS legacy quando Windows LAPS è configurato in un controller di dominio Windows Server Active Directory.
Tutti i parametri dei criteri di Windows LAPS non supportati nei criteri di LAPS legacy vengono disabilitati o configurati sulle impostazioni predefinite.
Ad esempio, quando si esegue Windows LAPS in modalità di emulazione Microsoft LAPS legacy, non è possibile configurare Windows LAPS per eseguire attività come crittografare le password o salvare le password in Microsoft Entra ID.
Se tutti questi vincoli sono rispettati, Windows LAPS rispetta le impostazioni di Criteri di gruppo Microsoft LAPS legacy. L'account amministratore locale gestito specificato viene gestito in modo identico a Microsoft LAPS legacy.
Disabilitare la modalità di emulazione Microsoft LAPS legacy
Windows LAPS ha una differenza importante da tenere presente quando si pianifica una distribuzione o una migrazione da Microsoft LAPS legacy. Windows LAPS è sempre presente e attivo dopo che un dispositivo è stato aggiunto a Microsoft Entra ID o Windows Server Active Directory. L'installazione dell'estensione lato client di Microsoft LAPS legacy viene spesso usata come meccanismo per controllare quando vengono applicati i criteri di Microsoft LAPS legacy. Come funzionalità predefinita di Windows, Windows LAPS inizia ad applicare un criterio di Microsoft LAPS legacy non appena viene applicato al dispositivo. Questa applicazione immediata può causare interruzioni, ad esempio se si verifica durante il flusso di lavoro di installazione e configurazione per un nuovo sistema operativo.
Per evitare potenziali interruzioni, è possibile disabilitare la modalità di emulazione Microsoft LAPS legacy creando un valore del Registro di sistema REG_DWORD denominato BackupDirectory
nella chiave HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\Config
e impostandolo su zero (0). L'impostazione di questo valore impedisce a Windows LAPS di accedere alla modalità di emulazione Microsoft LAPS legacy, indipendentemente dal fatto che l'estensione lato client di Microsoft LAPS legacy sia installata o meno. Questo valore può essere usato temporaneamente o in modo permanente. Quando viene configurato un nuovo criterio di Windows LAPS, il nuovo criterio ha la precedenza. Per altre informazioni sull'ordine di precedenza dei criteri di Windows LAPS, vedere Configurare le impostazioni dei criteri di Windows LAPS.
Supporto amministrativo limitato
Il cmdlet Get-LapsADPassword
supporta il recupero dell'attributo password di Microsoft LAPS legacy (ms-Mcs-AdmPwd
). I campi Account
e PasswordUpdateTime
nell'output risultante sono sempre vuoti. Ad esempio:
PS C:\> Get-LapsADPassword -Identity lapsAD2 -AsPlainText
ComputerName : LAPSAD2
DistinguishedName : CN=LAPSAD2,OU=LapsTestOU,DC=laps,DC=com
Account :
Password : SV6[y1n3JG+3l8
PasswordUpdateTime :
ExpirationTimestamp : 7/31/2022 12:43:10 PM
Source : LegacyLapsCleartextPassword
DecryptionStatus : NotApplicable
AuthorizedDecryptor : NotApplicable
Il cmdlet Set-LapsADPasswordExpirationTime
non supporta la scadenza o la modifica dell'attributo di scadenza della password di Microsoft LAPS legacy (ms-Mcs-AdmPwdExpirationTime
).
La pagina delle proprietà di Windows LAPS nella console di gestione Utenti e computer di Windows Server Active Directory non supporta la visualizzazione o l'amministrazione di attributi di Microsoft LAPS legacy.
Registrazione
Quando Windows LAPS viene eseguito in modalità di emulazione Microsoft LAPS legacy, viene registrato un evento 10023 per fornire dettagli in merito alla configurazione corrente dei criteri:
In caso contrario, gli stessi eventi registrati da Windows LAPS quando non è eseguito in modalità di emulazione Microsoft LAPS legacy verrebbero registrati anche quando viene eseguito in modalità di emulazione Microsoft LAPS legacy.
Vedi anche
Questo articolo non illustra in dettaglio la gestione di altri aspetti di Microsoft LAPS legacy. Per altre informazioni, vedere la documentazione di Microsoft LAPS legacy nella pagina di download: