LAPS CSP
Поставщик службы конфигурации (CSP) решения для локального администратора (LAPS) используется предприятием для управления резервными копиями паролей учетных записей локального администратора. Windows поддерживает объект LAPS групповая политика, который полностью отделен от поставщика CSP LAPS. Многие из различных параметров являются общими для объекта групповой политики LAPS и CSP (объект групповой политики не поддерживает никакие параметры, связанные с действиями). До тех пор, пока с помощью CSP настроен хотя бы один параметр LAPS, все параметры, настроенные для объекта групповой политики, будут игнорироваться. Также см . раздел Настройка параметров политики для Windows LAPS.
Примечание.
Дополнительные сведения о конкретных обновлениях ОС, необходимых для использования CSP Windows LAPS и связанных функций, а также о текущем состоянии сценария Microsoft Entra LAPS см. в статье Доступность Windows LAPS и состояние общедоступной предварительной версии Microsoft Entra LAPS.
Совет
В этой статье рассматриваются конкретные технические сведения о поставщике служб CSP LAPS. Дополнительные сведения о сценариях, в которых будет использоваться поставщик служб CSP LAPS, см. в разделе Решение для паролей локального администратора Windows.
В следующем списке показаны узлы поставщика службы конфигурации LAPS:
- ./Device/Vendor/MSFT/LAPS
- Действия
-
Политики
- ADEncryptedPasswordHistorySize
- AdministratorAccountName
- ADPasswordEncryptionEnabled
- ADPasswordEncryptionPrincipal
- AutomaticAccountManagementEnableAccount
- AutomaticAccountManagementEnabled
- AutomaticAccountManagementNameOrPrefix
- AutomaticAccountManagementRandomizeName
- AutomaticAccountManagementTarget
- BackupDirectory
- Парольная фразаLength
- PasswordAgeDays
- PasswordComplexity
- PasswordExpirationProtectionEnabled
- PasswordLength
- PostAuthenticationActions
- PostAuthenticationResetDelay
Действия
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ [10.0.20348.1663] и более поздних версий ✅ [10.0.25145] и более поздних версий ✅Windows 10, версия 1809 [10.0.17763.4244] и более поздних версий ✅Windows 10 версии 2004 [10.0.19041.2784] и более поздних версий ✅Windows 11 версии 21H2 [10.0.22000.1754] и более поздних ✅Windows 11, версия 22H2 [10.0.22621.1480] и более поздние |
./Device/Vendor/MSFT/LAPS/Actions
Определяет родительский внутренний узел для всех параметров, связанных с действиями, в поставщике CSP LAPS.
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат | node |
Тип доступа | Получите |
Actions/ResetPassword
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ [10.0.20348.1663] и более поздних версий ✅ [10.0.25145] и более поздних версий ✅Windows 10, версия 1809 [10.0.17763.4244] и более поздних версий ✅Windows 10 версии 2004 [10.0.19041.2784] и более поздних версий ✅Windows 11 версии 21H2 [10.0.22000.1754] и более поздних ✅Windows 11, версия 22H2 [10.0.22621.1480] и более поздние |
./Device/Vendor/MSFT/LAPS/Actions/ResetPassword
Используйте этот параметр, чтобы сообщить поставщику служб CSP немедленно создать и сохранить новый пароль для учетной записи управляемого локального администратора.
Это действие вызывает немедленный сброс пароля учетной записи локального администратора, игнорируя обычные ограничения, такие как PasswordLengthDays и т. д.
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат | null |
Тип доступа | Exec |
Actions/ResetPasswordStatus
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ [10.0.20348.1663] и более поздних версий ✅ [10.0.25145] и более поздних версий ✅Windows 10, версия 1809 [10.0.17763.4244] и более поздних версий ✅Windows 10 версии 2004 [10.0.19041.2784] и более поздних версий ✅Windows 11 версии 21H2 [10.0.22000.1754] и более поздних ✅Windows 11, версия 22H2 [10.0.22621.1480] и более поздние |
./Device/Vendor/MSFT/LAPS/Actions/ResetPasswordStatus
Используйте этот параметр для запроса состояния последнего отправленного действия выполнения ResetPassword.
Возвращаемое значение представляет собой код HRESULT:
- S_OK (0x0): последнее отправленное действие ResetPassword успешно выполнено.
- E_PENDING (0x8000000): последнее отправленное действие ResetPassword по-прежнему выполняется.
- Другое. Последнее отправленное действие ResetPassword обнаружило возвращенную ошибку.
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат | int |
Тип доступа | Получите |
Значение по умолчанию | 0 |
Политики
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ [10.0.20348.1663] и более поздних версий ✅ [10.0.25145] и более поздних версий ✅Windows 10, версия 1809 [10.0.17763.4244] и более поздних версий ✅Windows 10 версии 2004 [10.0.19041.2784] и более поздних версий ✅Windows 11 версии 21H2 [10.0.22000.1754] и более поздних ✅Windows 11, версия 22H2 [10.0.22621.1480] и более поздние |
./Device/Vendor/MSFT/LAPS/Policies
Корневой узел для политик LAPS.
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат | node |
Тип доступа | Получите |
Атомарный обязательный | True |
Policies/ADEncryptedPasswordHistorySize
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ [10.0.20348.1663] и более поздних версий ✅ [10.0.25145] и более поздних версий ✅Windows 10, версия 1809 [10.0.17763.4244] и более поздних версий ✅Windows 10 версии 2004 [10.0.19041.2784] и более поздних версий ✅Windows 11 версии 21H2 [10.0.22000.1754] и более поздних ✅Windows 11, версия 22H2 [10.0.22621.1480] и более поздние |
./Device/Vendor/MSFT/LAPS/Policies/ADEncryptedPasswordHistorySize
Используйте этот параметр, чтобы настроить, сколько предыдущих зашифрованных паролей будет запоминаться в Active Directory.
Если этот параметр не указан, по умолчанию будет задано значение 0 паролей (отключено).
Минимально допустимое значение этого параметра — 0 паролей.
Максимально допустимое значение этого параметра — 12 паролей.
Важно.
Этот параметр игнорируется, если только для ADPasswordEncryptionEnabled не задано значение True и не выполнены все остальные предварительные требования.
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат | int |
Тип доступа | Добавить, удалить, получить, заменить |
Допустимые значения | Диапазон: [0-12] |
Значение по умолчанию | 0 |
Зависимость [BackupDirectory] | Тип зависимости: DependsOn URI зависимостей: Vendor/MSFT/LAPS/Policies/BackupDirectory Допустимое значение зависимостей: 2 Тип допустимого значения зависимостей: ENUM |
Policies/AdministratorAccountName
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ [10.0.20348.1663] и более поздних версий ✅ [10.0.25145] и более поздних версий ✅Windows 10, версия 1809 [10.0.17763.4244] и более поздних версий ✅Windows 10 версии 2004 [10.0.19041.2784] и более поздних версий ✅Windows 11 версии 21H2 [10.0.22000.1754] и более поздних ✅Windows 11, версия 22H2 [10.0.22621.1480] и более поздние |
./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName
Используйте этот параметр для настройки имени учетной записи управляемого локального администратора.
Если этот параметр не указан, встроенная учетная запись локального администратора по умолчанию будет располагаться по хорошо известному идентификатору безопасности (даже если она переименована).
Если этот параметр указан, будет управляться паролем указанной учетной записи.
Обратите внимание, что если в этом параметре указано пользовательское имя учетной записи управляемого локального администратора, эта учетная запись должна быть создана другими способами. Указание имени в этом параметре не приведет к созданию учетной записи.
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат |
chr (строка) |
Тип доступа | Добавить, удалить, получить, заменить |
Policies/ADPasswordEncryptionEnabled
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ [10.0.20348.1663] и более поздних версий ✅ [10.0.25145] и более поздних версий ✅Windows 10, версия 1809 [10.0.17763.4244] и более поздних версий ✅Windows 10 версии 2004 [10.0.19041.2784] и более поздних версий ✅Windows 11 версии 21H2 [10.0.22000.1754] и более поздних ✅Windows 11, версия 22H2 [10.0.22621.1480] и более поздние |
./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionEnabled
Используйте этот параметр, чтобы настроить, шифруется ли пароль перед сохранением в Active Directory.
Этот параметр игнорируется, если пароль в настоящее время хранится в Microsoft Entra ID.
Этот параметр учитывается только в том случае, если домен Active Directory находится на Windows Server 2016 уровне работы домена или выше.
Если этот параметр включен и домен Active Directory соответствует требованиям DFL, пароль будет зашифрован перед сохранением в Active Directory.
Если этот параметр отключен или домен Active Directory не соответствует требованиям DFL, пароль будет храниться в Active Directory как чистый текст.
Если этот параметр не указан, по умолчанию используется значение True.
Важно.
Этот параметр игнорируется, если backupDirectory не настроен для резервного копирования пароля в Active Directory, а домен Active Directory находится на Windows Server 2016 уровне работы домена или выше.
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат | bool |
Тип доступа | Добавить, удалить, получить, заменить |
Значение по умолчанию | True |
Зависимость [BackupDirectory] | Тип зависимости: DependsOn URI зависимостей: Vendor/MSFT/LAPS/Policies/BackupDirectory Допустимое значение зависимостей: 2 Тип допустимого значения зависимостей: ENUM |
Допустимые значения:
Значение | Описание |
---|---|
false | Сохраните пароль в виде ясного текста в Active Directory. |
true (по умолчанию) | Храните пароль в зашифрованном виде в Active Directory. |
Policies/ADPasswordEncryptionPrincipal
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ [10.0.20348.1663] и более поздних версий ✅ [10.0.25145] и более поздних версий ✅Windows 10, версия 1809 [10.0.17763.4244] и более поздних версий ✅Windows 10 версии 2004 [10.0.19041.2784] и более поздних версий ✅Windows 11 версии 21H2 [10.0.22000.1754] и более поздних ✅Windows 11, версия 22H2 [10.0.22621.1480] и более поздние |
./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionPrincipal
Используйте этот параметр, чтобы настроить имя или идентификатор безопасности пользователя или группы, которые могут расшифровать пароль, хранящийся в Active Directory.
Этот параметр игнорируется, если пароль в настоящее время хранится в Microsoft Entra ID.
Если пароль не указан, пароль будет расшифрован группой администраторов домена в домене устройства.
Если этот параметр указан, указанный пользователь или группа смогут расшифровать пароль, хранящийся в Active Directory.
Если указанная учетная запись пользователя или группы недопустима, устройство будет использовать группу "Администраторы домена" в домене устройства.
Важно.
Этот параметр игнорируется, если только для ADPasswordEncryptionEnabled не задано значение True и не выполнены все остальные предварительные требования. Строка, хранящейся в этом параметре, должна быть либо идентификатором безопасности в строковой форме, либо полным именем пользователя или группы. Допустимые примеры:
S-1-5-21-2127521184-1604012920-1887927527-35197
contoso\LAPSAdmins
lapsadmins@contoso.com
Субъект, определенный (по идентификатору безопасности или имени пользователя или группы), должен существовать и разрешаться устройством.
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат |
chr (строка) |
Тип доступа | Добавить, удалить, получить, заменить |
Зависимость [BackupDirectory] | Тип зависимости: DependsOn URI зависимостей: Vendor/MSFT/LAPS/Policies/BackupDirectory Допустимое значение зависимостей: 2 Тип допустимого значения зависимостей: ENUM |
Policies/AutomaticAccountManagementEnableAccount
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 11, версия 24H2 [10.0.26100] и более поздние |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnableAccount
Используйте этот параметр, чтобы настроить, включена или отключена автоматически управляемая учетная запись.
Если этот параметр включен, будет включена целевая учетная запись.
Если этот параметр отключен, целевая учетная запись будет отключена.
Если этот параметр не указан, по умолчанию используется значение False.
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат | bool |
Тип доступа | Добавить, удалить, получить, заменить |
Значение по умолчанию | False |
Зависимость [AutomaticAccountManagementEnabled] | Тип зависимости: DependsOn URI зависимостей: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled Допустимое значение зависимостей: true Тип допустимого значения зависимостей: ENUM |
Допустимые значения:
Значение | Описание |
---|---|
False (по умолчанию) | Целевая учетная запись будет отключена. |
True | Целевая учетная запись будет включена. |
Policies/AutomaticAccountManagementEnabled
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 11, версия 24H2 [10.0.26100] и более поздние |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled
Используйте этот параметр, чтобы указать, включено ли автоматическое управление учетными записями.
Если этот параметр включен, целевая учетная запись будет управляться автоматически.
Если этот параметр отключен, целевая учетная запись не будет управляться автоматически.
Если этот параметр не указан, по умолчанию используется значение False.
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат | bool |
Тип доступа | Добавить, удалить, получить, заменить |
Значение по умолчанию | False |
Допустимые значения:
Значение | Описание |
---|---|
false (по умолчанию) | Целевая учетная запись не будет управляться автоматически. |
true | Целевая учетная запись будет управляться автоматически. |
Policies/AutomaticAccountManagementNameOrPrefix
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 11, версия 24H2 [10.0.26100] и более поздние |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementNameOrPrefix
Используйте этот параметр для настройки имени или префикса учетной записи управляемого локального администратора.
Если это указано, значение будет использоваться в качестве имени или префикса имени управляемой учетной записи.
Если этот параметр не указан, по умолчанию будет задано значение "WLapsAdmin".
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат |
chr (строка) |
Тип доступа | Добавить, удалить, получить, заменить |
Зависимость [AutomaticAccountManagementEnabled] | Тип зависимости: DependsOn URI зависимостей: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled Допустимое значение зависимостей: true Тип допустимого значения зависимостей: ENUM |
Policies/AutomaticAccountManagementRandomizeName
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 11, версия 24H2 [10.0.26100] и более поздние |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementRandomizeName
Используйте этот параметр, чтобы настроить, будет ли имя автоматически управляемой учетной записи использовать случайный числовой суффикс при каждом смене пароля.
Если этот параметр включен, имя целевой учетной записи будет использовать случайный числовой суффикс.
Если этот параметр не учитывается, имя целевой учетной записи не будет использовать случайный числовой суффикс.
Если этот параметр не указан, по умолчанию используется значение False.
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат | bool |
Тип доступа | Добавить, удалить, получить, заменить |
Значение по умолчанию | False |
Зависимость [AutomaticAccountManagementEnabled] | Тип зависимости: DependsOn URI зависимостей: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled Допустимое значение зависимостей: true Тип допустимого значения зависимостей: ENUM |
Допустимые значения:
Значение | Описание |
---|---|
False (по умолчанию) | Имя целевой учетной записи не будет использовать случайный числовой суффикс. |
True | Имя целевой учетной записи будет использовать случайный числовой суффикс. |
Policies/AutomaticAccountManagementTarget
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 11, версия 24H2 [10.0.26100] и более поздние |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementTarget
Используйте этот параметр, чтобы настроить учетную запись, которая будет автоматически управляться.
Допустимые параметры:
0=Встроенная учетная запись администратора будет управляться.
1=Новая учетная запись, созданная Windows LAPS, будет управляться.
Если этот параметр не указан, по умолчанию будет задано значение 1.
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат | int |
Тип доступа | Добавить, удалить, получить, заменить |
Значение по умолчанию | 1 |
Зависимость [AutomaticAccountManagementEnabled] | Тип зависимости: DependsOn URI зависимостей: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled Допустимое значение зависимостей: true Тип допустимого значения зависимостей: ENUM |
Допустимые значения:
Значение | Описание |
---|---|
0 | Управление встроенной учетной записью администратора. |
1 (по умолчанию) | Управление новой пользовательской учетной записью администратора. |
Политики/BackupDirectory
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ [10.0.20348.1663] и более поздних версий ✅ [10.0.25145] и более поздних версий ✅Windows 10, версия 1809 [10.0.17763.4244] и более поздних версий ✅Windows 10 версии 2004 [10.0.19041.2784] и более поздних версий ✅Windows 11 версии 21H2 [10.0.22000.1754] и более поздних ✅Windows 11, версия 22H2 [10.0.22621.1480] и более поздние |
./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory
Используйте этот параметр, чтобы настроить каталог, в котором создается резервная копия пароля учетной записи локального администратора.
Допустимые параметры:
0=Отключено (резервная копия пароля не будет создана) 1=Резервное копирование пароля в Microsoft Entra ID только 2=Резервное копирование пароля только в Active Directory.
Если этот параметр не указан, по умолчанию будет задано значение 0.
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат | int |
Тип доступа | Добавить, удалить, получить, заменить |
Значение по умолчанию | 0 |
Допустимые значения:
Значение | Описание |
---|---|
0 (по умолчанию) | Отключено (резервная копия пароля не будет создана). |
1 | Создайте резервную копию пароля только для Microsoft Entra ID. |
2 | Создайте резервную копию пароля только в Active Directory. |
Policies/PassphraseLength
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 11, версия 24H2 [10.0.26100] и более поздние |
./Device/Vendor/MSFT/LAPS/Policies/PassphraseLength
Используйте этот параметр для настройки количества слов парольной фразы.
Если этот параметр не указан, по умолчанию будет задано 6 слов.
Этот параметр имеет минимально допустимое значение в 3 слова.
Максимально допустимое значение этого параметра — 10 слов.
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат | int |
Тип доступа | Добавить, удалить, получить, заменить |
Допустимые значения | Диапазон: [3-10] |
Значение по умолчанию | 6 |
Зависимость [PasswordComplexity] | Тип зависимости: DependsOn URI зависимостей: Vendor/MSFT/LAPS/Policies/PasswordComplexity Допустимое значение зависимостей: [6-8] Тип допустимого значения зависимостей: Range |
Политики/PasswordAgeDays
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ [10.0.20348.1663] и более поздних версий ✅ [10.0.25145] и более поздних версий ✅Windows 10, версия 1809 [10.0.17763.4244] и более поздних версий ✅Windows 10 версии 2004 [10.0.19041.2784] и более поздних версий ✅Windows 11 версии 21H2 [10.0.22000.1754] и более поздних ✅Windows 11, версия 22H2 [10.0.22621.1480] и более поздние |
./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays
Используйте эту политику, чтобы настроить максимальный срок действия пароля для учетной записи управляемого локального администратора.
Если этот параметр не указан, этот параметр будет по умолчанию 30 дней.
Этот параметр имеет минимально допустимое значение 1 день при резервном копировании пароля для локальная служба Active Directory и 7 дней при резервном копировании пароля для Microsoft Entra ID.
Максимально допустимое значение этого параметра — 365 дней.
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат | int |
Тип доступа | Добавить, удалить, получить, заменить |
Допустимые значения | Диапазон: [1-365] |
Значение по умолчанию | 30 |
Зависимость [BackupDirectoryAADMode BackupDirectoryADMode] | Тип зависимости: DependsOn DependsOn URI зависимостей: Vendor/MSFT/LAPS/Policies/BackupDirectory Vendor/MSFT/LAPS/Policies/BackupDirectory Допустимое значение зависимостей: Тип допустимого значения зависимостей: ENUM ENUM |
Policies/PasswordComplexity
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ [10.0.20348.1663] и более поздних версий ✅ [10.0.25145] и более поздних версий ✅Windows 10, версия 1809 [10.0.17763.4244] и более поздних версий ✅Windows 10 версии 2004 [10.0.19041.2784] и более поздних версий ✅Windows 11 версии 21H2 [10.0.22000.1754] и более поздних ✅Windows 11, версия 22H2 [10.0.22621.1480] и более поздние |
./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity
Используйте этот параметр, чтобы настроить сложность пароля для управляемой учетной записи локального администратора.
Допустимые параметры:
1=Крупные буквы 2=Крупные буквы + маленькие буквы 3=Большие буквы + цифры 4=Большие буквы + цифры + специальные символы 5=Большие буквы + цифры + специальные символы (улучшенная удобочитаемость) 6=Парольная фраза (длинные слова) 7=Парольная фраза (короткие слова) 8=Парольная фраза (короткие слова с уникальными префиксами)
Если этот параметр не указан, по умолчанию будет задано значение 4.
Список парольных фраз, взятый из раздела "Deep Dive: New Wordlists for Random Passphrases" (Новые списки слов EFF для случайных парольных фраз) компанией Electronic Frontier Foundation и используется в соответствии с лицензией на атрибуцию CC-BY-3.0. Дополнительные сведения см. в статье https://go.microsoft.com/fwlink/?linkid=2255471.
Важно.
Windows поддерживает более низкие параметры сложности пароля (1, 2 и 3) только для обратной совместимости с более старыми версиями LAPS. Корпорация Майкрософт рекомендует всегда настраивать для этого параметра значение 4.
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат | int |
Тип доступа | Добавить, удалить, получить, заменить |
Значение по умолчанию | 4 |
Допустимые значения:
Значение | Описание |
---|---|
1 | Большие буквы. |
2 | Большие буквы + маленькие буквы. |
3 | Большие буквы + маленькие буквы + цифры. |
4 (по умолчанию) | Большие буквы + маленькие буквы + цифры + специальные символы. |
5 | Большие буквы + мелкие буквы + цифры + специальные символы (улучшенная удобочитаемость). |
6 | Парольная фраза (длинные слова). |
7 | Парольная фраза (короткие слова). |
8 | Парольная фраза (короткие слова с уникальными префиксами). |
Policies/PasswordExpirationProtectionEnabled
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ [10.0.20348.1663] и более поздних версий ✅ [10.0.25145] и более поздних версий ✅Windows 10, версия 1809 [10.0.17763.4244] и более поздних версий ✅Windows 10 версии 2004 [10.0.19041.2784] и более поздних версий ✅Windows 11 версии 21H2 [10.0.22000.1754] и более поздних ✅Windows 11, версия 22H2 [10.0.22621.1480] и более поздние |
./Device/Vendor/MSFT/LAPS/Policies/PasswordExpirationProtectionEnabled
Используйте этот параметр, чтобы настроить дополнительное применение максимального срока действия пароля для учетной записи управляемого локального администратора.
Если этот параметр включен, запланированное истечение срока действия пароля, в результате чего срок действия пароля превышает срок действия пароля, заданный политикой PasswordAgeDays, не допускается. При обнаружении такого срока действия пароль немедленно изменяется, а новая дата окончания срока действия пароля устанавливается в соответствии с политикой.
Если этот параметр не указан, по умолчанию используется значение True.
Важно.
Этот параметр игнорируется, если backupDirectory не настроен для резервного копирования пароля в Active Directory.
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат | bool |
Тип доступа | Добавить, удалить, получить, заменить |
Значение по умолчанию | True |
Зависимость [BackupDirectory] | Тип зависимости: DependsOn URI зависимостей: Vendor/MSFT/LAPS/Policies/BackupDirectory Допустимое значение зависимостей: 2 Тип допустимого значения зависимостей: ENUM |
Допустимые значения:
Значение | Описание |
---|---|
false | Разрешите настройке отметки времени истечения срока действия пароля, чтобы превысить максимальный срок действия пароля. |
true (по умолчанию) | Не разрешайте настройке отметки времени истечения срока действия пароля превышать максимальный срок действия пароля. |
Policies/PasswordLength
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ [10.0.20348.1663] и более поздних версий ✅ [10.0.25145] и более поздних версий ✅Windows 10, версия 1809 [10.0.17763.4244] и более поздних версий ✅Windows 10 версии 2004 [10.0.19041.2784] и более поздних версий ✅Windows 11 версии 21H2 [10.0.22000.1754] и более поздних ✅Windows 11, версия 22H2 [10.0.22621.1480] и более поздние |
./Device/Vendor/MSFT/LAPS/Policies/PasswordLength
Используйте этот параметр, чтобы настроить длину пароля учетной записи управляемого локального администратора.
Если этот параметр не указан, значение по умолчанию будет 14 символов.
Минимально допустимое значение этого параметра — 8 символов.
Максимально допустимое значение этого параметра — 64 символа.
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат | int |
Тип доступа | Добавить, удалить, получить, заменить |
Допустимые значения | Диапазон: [8-64] |
Значение по умолчанию | 14 |
Зависимость [PasswordComplexity] | Тип зависимости: DependsOn URI зависимостей: Vendor/MSFT/LAPS/Policies/PasswordComplexity Допустимое значение зависимостей: [1-5] Тип допустимого значения зависимостей: Range |
Policies/PostAuthenticationActions
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ [10.0.20348.1663] и более поздних версий ✅ [10.0.25145] и более поздних версий ✅Windows 10, версия 1809 [10.0.17763.4244] и более поздних версий ✅Windows 10 версии 2004 [10.0.19041.2784] и более поздних версий ✅Windows 11 версии 21H2 [10.0.22000.1754] и более поздних ✅Windows 11, версия 22H2 [10.0.22621.1480] и более поздние |
./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions
Используйте этот параметр, чтобы указать действия, которые необходимо выполнить по истечении настроенного льготного периода.
Если этот параметр не указан, по умолчанию будет задано значение 3 (сброс пароля и выход из управляемой учетной записи).
Важно.
Разрешенные действия после проверки подлинности предназначены для ограничения времени, в течение которого пароль LAPS можно использовать перед сбросом. Выход из управляемой учетной записи или перезагрузка устройства — это варианты, которые помогут убедиться в этом. Внезапное завершение сеансов входа или перезагрузка устройства может привести к потере данных.
Важно.
С точки зрения безопасности злоумышленник, получающий права администратора на устройстве с использованием допустимого пароля LAPS, имеет максимальную возможность предотвратить или обойти эти механизмы.
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат | int |
Тип доступа | Добавить, удалить, получить, заменить |
Значение по умолчанию | 3 |
Допустимые значения:
Значение | Описание |
---|---|
1 | Сброс пароля: по истечении льготного периода пароль управляемой учетной записи будет сброшен. |
3 (по умолчанию) | Сброс пароля и выход управляемой учетной записи: по истечении льготного периода пароль управляемой учетной записи будет сброшен, а все интерактивные сеансы входа с использованием управляемой учетной записи будут завершены. |
5 | Сброс пароля и перезагрузка. По истечении льготного периода пароль управляемой учетной записи будет сброшен, а управляемое устройство будет немедленно перезагружено. |
11 | Сбросьте пароль, выйдите из управляемой учетной записи и завершите все остальные процессы: по истечении льготного периода пароль управляемой учетной записи сбрасывается, все интерактивные сеансы входа с помощью управляемой учетной записи выключаются, а все остальные процессы завершаются. |
Policies/PostAuthenticationResetDelay
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ [10.0.20348.1663] и более поздних версий ✅ [10.0.25145] и более поздних версий ✅Windows 10, версия 1809 [10.0.17763.4244] и более поздних версий ✅Windows 10 версии 2004 [10.0.19041.2784] и более поздних версий ✅Windows 11 версии 21H2 [10.0.22000.1754] и более поздних ✅Windows 11, версия 22H2 [10.0.22621.1480] и более поздние |
./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay
Используйте этот параметр, чтобы указать время ожидания (в часах) после проверки подлинности перед выполнением указанных действий после проверки подлинности.
Если этот параметр не указан, по умолчанию этот параметр будет 24 часа.
Этот параметр имеет минимально допустимое значение 0 часов (это отключает все действия после проверки подлинности).
Максимально допустимое значение этого параметра составляет 24 часа.
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат | int |
Тип доступа | Добавить, удалить, получить, заменить |
Допустимые значения | Диапазон: [0-24] |
Значение по умолчанию | 24 |
Применимость параметров
Поставщик служб CSP LAPS можно использовать для управления устройствами, присоединенными к Microsoft Entra ID или присоединенным как к Microsoft Entra ID, так и к Active Directory (гибридное присоединение). Поставщик служб CSP LAPS управляет сочетанием параметров только для Microsoft Entra и только для AD. Параметры только AD применимы только к устройствам с гибридным присоединением, а затем только в том случае, если параметр BackupDirectory имеет значение 2.
Имя параметра | Присоединение к Azure | Гибридное присоединение |
---|---|---|
BackupDirectory | Да | Да |
PasswordAgeDays | Да | Да |
PasswordLength | Да | Да |
PasswordComplexity | Да | Да |
PasswordExpirationProtectionEnabled | Нет | Да |
AdministratorAccountName | Да | Да |
ADPasswordEncryptionEnabled | Нет | Да |
ADPasswordEncryptionPrincipal | Нет | Да |
ADEncryptedPasswordHistorySize | Нет | Да |
PostAuthenticationResetDelay | Да | Да |
PostAuthenticationActions | Да | Да |
ResetPassword | Да | Да |
ResetPasswordStatus | Да | Да |
Примеры SyncML
Ниже приведены примеры, показывающие правильный формат, и их не следует рассматривать как рекомендацию.
Пароль резервного копирования устройств, присоединенных к Azure, до Microsoft Entra ID
В этом примере показано, как настроить устройство, присоединенное к Azure, для резервного копирования пароля для Microsoft Entra ID:
<SyncMl xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Add>
<CmdId>1</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>1</Data>
</Item>
</Add>
<Add>
<CmdId>2</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>7</Data>
</Item>
</Add>
<Add>
<CmdId>3</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>4</Data>
</Item>
</Add>
<Add>
<CmdId>4</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordLength</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>32</Data>
</Item>
</Add>
<Add>
<CmdId>5</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
<Type>text/plain</Type>
</Meta>
<Data>ContosoLocalLapsAdmin</Data>
</Item>
</Add>
<Add>
<CmdId>6</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>8</Data>
</Item>
</Add>
<Add>
<CmdId>7</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>3</Data>
</Item>
</Add><Final/></SyncBody>
</SyncMl>
Пароль резервного копирования устройств с гибридным присоединением в Active Directory
В этом примере показано, как настроить гибридное устройство для резервного копирования пароля в Active Directory с включенным шифрованием паролей:
<SyncMl xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Add>
<CmdId>1</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>2</Data>
</Item>
</Add>
<Add>
<CmdId>2</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>20</Data>
</Item>
</Add>
<Add>
<CmdId>3</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>3</Data>
</Item>
</Add>
<Add>
<CmdId>4</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordLength</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>14</Data>
</Item>
</Add>
<Add>
<CmdId>5</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
<Type>text/plain</Type>
</Meta>
<Data>ContosoLocalLapsAdmin</Data>
</Item>
</Add>
<Add>
<CmdId>6</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordExpirationProtectionEnabled</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
<Type>text/plain</Type>
</Meta>
<Data>True</Data>
</Item>
</Add>
<Add>
<CmdId>7</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionEnabled</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
<Type>text/plain</Type>
</Meta>
<Data>True</Data>
</Item>
</Add>
<Add>
<CmdId>8</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionPrincipal</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
<Type>text/plain</Type>
</Meta>
<Data>LAPSAdmins@contoso.com</Data>
</Item>
</Add>
<Add>
<CmdId>9</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADEncryptedPasswordHistorySize</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>6</Data>
</Item>
</Add>
<Add>
<CmdId>10</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>4</Data>
</Item>
</Add>
<Add>
<CmdId>11</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>5</Data>
</Item>
</Add><Final/></SyncBody>
</SyncMl>