Usar logs de eventos do Windows LAPS

A Solução de Senha de Administrador Local do Windows (LAPS do Windows) tem um canal de log de eventos dedicado. Todas as operações da LAPS do Windows são controladas com evento avançado. Saiba mais sobre os principais eventos e como exibir o log.

Exibir o log de eventos

Para exibir o canal de log de eventos da LAPS do Windows, no Visualizador de Eventos do Windows Server, acesse Aplicativos e Serviços>Logs>Microsoft>Windows>LAPS>Operacional.

Screenshot of the event log and a Windows LAPS policy processing started event log message.

Principais eventos

É importante estar ciente de alguns dos principais eventos da LAPS do Windows e como exibi-los nos logs de eventos:

  • Eventos de início e término do processamento de política
  • Detalhes da configuração da política
  • Eventos de confirmação de atualização de senha
  • Solicitação de modificação de senha externa bloqueada
  • Eventos relacionados à ação pós-autenticação

Início e término do ciclo de processamento de política

Quando a LAPS do Windows inicia um ciclo de processamento de política em segundo plano, o progresso da operação é acompanhado no log de eventos. O conhecimento dos eventos específicos que indicam o início e o fim de cada ciclo facilita a leitura do log de eventos e a compreensão dos eventos.

Cada ciclo de processamento de política em segundo plano começa com um evento 10003:

LAPS policy processing is now starting.

Cada evento 10003 é seguido por vários outros eventos que descrevem o que está acontecendo. Quando o ciclo é concluído, o evento final marca a operação como bem-sucedida ou com falha.

Um ciclo bem-sucedido é indicado com um evento 10004. Aqui está um exemplo de evento 10004:

LAPS policy processing succeeded.

Um ciclo com falha é indicado com um evento 10005. Aqui está um exemplo de evento 10005:

LAPS policy processing failed with the error code below.

Error code: 80070032

Se ocorrer uma falha, você poderá usar o código de erro para solucionar problemas. Você também pode examinar os eventos intermediários para obter informações detalhadas.

Detalhes da configuração da política

Quando o backup de senha está habilitado, um evento de configuração de política é emitido durante cada ciclo de processamento da política em segundo plano da LAPS do Windows. O evento registra o valor de configuração de política específico para cada iteração do ciclo.

Quando a política é configurada para fazer backup da senha no Windows Server Active Directory, um evento 10021 é registrado. Aqui está um exemplo de evento 10021:

The current LAPS policy is configured as follows:

Policy source: GPO
Backup directory: Active Directory
Local administrator account name:
Password age in days: 30
Password complexity: 4
Password length: 14
Password expiration protection enabled: 1
Password encryption enabled: 1
Password encryption target principal: LapsAdministrators@contoso.com
Password encrypted history size: 12
Backup DSRM password on domain controllers: 0
Post authentication grace period (hours): 8
Post authentication actions: 1

Quando a política é configurada para fazer backup da senha no Microsoft Entra ID, um evento 10022 é registrado. Aqui está um exemplo de evento 10022:

The current LAPS policy is configured as follows:

Policy source: CSP
Backup directory: Azure AD
Local administrator account name: ContosoLocalAdminAccount
Password age in days: 7
Password complexity: 4
Password length: 64
Post authentication grace period (hours): 8
Post authentication actions: 3

Quando a LAPS do Windows é configurada para usar uma política herdada da LAPS do Windows, um evento 10023 é registrado. Aqui está um exemplo de evento 10023:

The current LAPS policy is configured as follows:

Policy source: Legacy LAPS
Backup directory: Active Directory
Local administrator account name:
Password age in days: 30
Password complexity: 4
Password length: 8
Password expiration protection enabled: 0

Esses valores específicos de configuração de política são exemplos e não devem ser considerados recomendações.

Eventos de confirmação de atualização de senha

Quando a LAPS do Windows atualiza com êxito o diretório configurado (Windows Server Active Directory ou Microsoft Entra ID) com uma nova senha, um evento de êxito é registrado: 10018 para atualizações de senha no Windows Server Active Directory e 10029 para atualizações de senha no Azure Active Directory.

Aqui está um exemplo de evento 10018:

LAPS successfully updated Active Directory with the new password.

Aqui está um exemplo de evento 10029:

LAPS successfully updated Azure Active Directory with the new password.

Quando o diretório é atualizado com a nova senha, a LAPS do Windows também atualiza a conta local gerenciada. Um evento 10020 significa que o logon foi feito com sucesso.

Aqui está um exemplo de evento 10020:

LAPS successfully updated the local admin account with the new password.

Account name: ContosoLocalAdminAccount
Account RID: 1087

Solicitação de modificação de senha externa bloqueada

Quando a LAPS do Windows está habilitada, ela impede que a senha da conta gerenciada especificada seja modificada por qualquer entidade que não seja a LAPS do Windows. Um evento 10031 é registrado quando uma tentativa de alterar a senha é bloqueada.

Aqui está um exemplo de evento 10031:

LAPS blocked an external request that tried to modify the password of the current managed account.

Account name: ContosoLocalAdminAccount
Account RID: 1087

Eventos de ação pós-autenticação

Quando as ações pós-autenticação são configuradas, a LAPS do Windows monitora as autenticações bem-sucedidas pela conta gerenciada especificada. Quando uma autenticação é detectada, um evento 10041 é registrado.

Aqui está um exemplo de evento 10041:

LAPS detected a successful authentication for the currently managed account. A background task has been scheduled to execute the configured post-authentication actions after the configured grace period has expired.%n

Account name: ContosoLocalAdminAccount
Account RID: 1087
Password reset timer deadline: %3%n

Quando a data limite listada no evento 10041 é atingida, a LAPS do Windows registra um evento 10042:

The post-authentication grace period has expired per policy. The configured post-authentication actions will now be executed.

Account name: ContosoLocalAdminAccount
Account RID: 1087

Em seguida, a LAPS do Windows tenta girar a senha e executar as ações de pós-autenticação especificadas. Um evento 10044 é registrado quando a rotação de senha é bem-sucedida.

Aqui está um exemplo de evento 10044:

LAPS successfully reset the password for the currently managed account and completed all configured post-authentication actions.%n
%n
Account name: ContosoLocalAdminAccount
Account RID: 1087

Se a rotação de senha falhar, um evento 10043 será registrado. Aqui está um exemplo de evento 10043:

LAPS failed to reset the password for the currently managed account. The password is considered expired due to an authentication event. LAPS will continue retrying the password reset operation until it succeeds.

Account name: ContosoLocalAdminAccount
Account RID: 1087
Password reset retry count: 1
Error code: 80070032

Log de eventos do cliente versus log de eventos do controlador de domínio do AD

O canal de log de eventos da LAPS do Windows contém eventos relacionados ao computador local que atua como um cliente. O canal de log de eventos da LAPS do Windows em um controlador de domínio do Active Directory contém apenas eventos relacionados ao gerenciamento da conta DSRM local (se habilitada) e nunca contém eventos relacionados a comportamentos de cliente ingressados no domínio.

Próximas etapas