LAPS CSP

Поставщик службы конфигурации (CSP) решения для локального администратора (LAPS) используется предприятием для управления резервными копиями паролей учетных записей локального администратора. Windows поддерживает объект LAPS групповая политика, который полностью отделен от поставщика CSP LAPS. Многие из различных параметров являются общими для объекта групповой политики LAPS и CSP (объект групповой политики не поддерживает никакие параметры, связанные с действиями). До тех пор, пока с помощью CSP настроен хотя бы один параметр LAPS, все параметры, настроенные для объекта групповой политики, будут игнорироваться. Также см . раздел Настройка параметров политики для Windows LAPS.

Примечание.

Дополнительные сведения о конкретных обновлениях ОС, необходимых для использования CSP Windows LAPS и связанных функций, а также о текущем состоянии сценария Microsoft Entra LAPS см. в статье Доступность Windows LAPS и состояние общедоступной предварительной версии Microsoft Entra LAPS.

Совет

В этой статье рассматриваются конкретные технические сведения о поставщике служб CSP LAPS. Дополнительные сведения о сценариях, в которых будет использоваться поставщик служб CSP LAPS, см. в разделе Решение для паролей локального администратора Windows.

В следующем списке показаны узлы поставщика службы конфигурации LAPS:

Действия

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ [10.0.20348.1663] и более поздних версий
✅ [10.0.25145] и более поздних версий
✅Windows 10, версия 1809 [10.0.17763.4244] и более поздних версий
✅Windows 10 версии 2004 [10.0.19041.2784] и более поздних версий
✅Windows 11 версии 21H2 [10.0.22000.1754] и более поздних
✅Windows 11, версия 22H2 [10.0.22621.1480] и более поздние
./Device/Vendor/MSFT/LAPS/Actions

Определяет родительский внутренний узел для всех параметров, связанных с действиями, в поставщике CSP LAPS.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат node
Тип доступа Получите

Actions/ResetPassword

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ [10.0.20348.1663] и более поздних версий
✅ [10.0.25145] и более поздних версий
✅Windows 10, версия 1809 [10.0.17763.4244] и более поздних версий
✅Windows 10 версии 2004 [10.0.19041.2784] и более поздних версий
✅Windows 11 версии 21H2 [10.0.22000.1754] и более поздних
✅Windows 11, версия 22H2 [10.0.22621.1480] и более поздние
./Device/Vendor/MSFT/LAPS/Actions/ResetPassword

Используйте этот параметр, чтобы сообщить поставщику служб CSP немедленно создать и сохранить новый пароль для учетной записи управляемого локального администратора.

Это действие вызывает немедленный сброс пароля учетной записи локального администратора, игнорируя обычные ограничения, такие как PasswordLengthDays и т. д.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат null
Тип доступа Exec

Actions/ResetPasswordStatus

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ [10.0.20348.1663] и более поздних версий
✅ [10.0.25145] и более поздних версий
✅Windows 10, версия 1809 [10.0.17763.4244] и более поздних версий
✅Windows 10 версии 2004 [10.0.19041.2784] и более поздних версий
✅Windows 11 версии 21H2 [10.0.22000.1754] и более поздних
✅Windows 11, версия 22H2 [10.0.22621.1480] и более поздние
./Device/Vendor/MSFT/LAPS/Actions/ResetPasswordStatus

Используйте этот параметр для запроса состояния последнего отправленного действия выполнения ResetPassword.

Возвращаемое значение представляет собой код HRESULT:

  • S_OK (0x0): последнее отправленное действие ResetPassword успешно выполнено.
  • E_PENDING (0x8000000): последнее отправленное действие ResetPassword по-прежнему выполняется.
  • Другое. Последнее отправленное действие ResetPassword обнаружило возвращенную ошибку.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Получите
Значение по умолчанию 0

Политики

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ [10.0.20348.1663] и более поздних версий
✅ [10.0.25145] и более поздних версий
✅Windows 10, версия 1809 [10.0.17763.4244] и более поздних версий
✅Windows 10 версии 2004 [10.0.19041.2784] и более поздних версий
✅Windows 11 версии 21H2 [10.0.22000.1754] и более поздних
✅Windows 11, версия 22H2 [10.0.22621.1480] и более поздние
./Device/Vendor/MSFT/LAPS/Policies

Корневой узел для политик LAPS.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат node
Тип доступа Получите
Атомарный обязательный True

Policies/ADEncryptedPasswordHistorySize

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ [10.0.20348.1663] и более поздних версий
✅ [10.0.25145] и более поздних версий
✅Windows 10, версия 1809 [10.0.17763.4244] и более поздних версий
✅Windows 10 версии 2004 [10.0.19041.2784] и более поздних версий
✅Windows 11 версии 21H2 [10.0.22000.1754] и более поздних
✅Windows 11, версия 22H2 [10.0.22621.1480] и более поздние
./Device/Vendor/MSFT/LAPS/Policies/ADEncryptedPasswordHistorySize

Используйте этот параметр, чтобы настроить, сколько предыдущих зашифрованных паролей будет запоминаться в Active Directory.

Если этот параметр не указан, по умолчанию будет задано значение 0 паролей (отключено).

Минимально допустимое значение этого параметра — 0 паролей.

Максимально допустимое значение этого параметра — 12 паролей.

Важно.

Этот параметр игнорируется, если только для ADPasswordEncryptionEnabled не задано значение True и не выполнены все остальные предварительные требования.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Диапазон: [0-12]
Значение по умолчанию 0
Зависимость [BackupDirectory] Тип зависимости: DependsOn
URI зависимостей: Vendor/MSFT/LAPS/Policies/BackupDirectory
Допустимое значение зависимостей: 2
Тип допустимого значения зависимостей: ENUM

Policies/AdministratorAccountName

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ [10.0.20348.1663] и более поздних версий
✅ [10.0.25145] и более поздних версий
✅Windows 10, версия 1809 [10.0.17763.4244] и более поздних версий
✅Windows 10 версии 2004 [10.0.19041.2784] и более поздних версий
✅Windows 11 версии 21H2 [10.0.22000.1754] и более поздних
✅Windows 11, версия 22H2 [10.0.22621.1480] и более поздние
./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName

Используйте этот параметр для настройки имени учетной записи управляемого локального администратора.

Если этот параметр не указан, встроенная учетная запись локального администратора по умолчанию будет располагаться по хорошо известному идентификатору безопасности (даже если она переименована).

Если этот параметр указан, будет управляться паролем указанной учетной записи.

Обратите внимание, что если в этом параметре указано пользовательское имя учетной записи управляемого локального администратора, эта учетная запись должна быть создана другими способами. Указание имени в этом параметре не приведет к созданию учетной записи.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Policies/ADPasswordEncryptionEnabled

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ [10.0.20348.1663] и более поздних версий
✅ [10.0.25145] и более поздних версий
✅Windows 10, версия 1809 [10.0.17763.4244] и более поздних версий
✅Windows 10 версии 2004 [10.0.19041.2784] и более поздних версий
✅Windows 11 версии 21H2 [10.0.22000.1754] и более поздних
✅Windows 11, версия 22H2 [10.0.22621.1480] и более поздние
./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionEnabled

Используйте этот параметр, чтобы настроить, шифруется ли пароль перед сохранением в Active Directory.

Этот параметр игнорируется, если пароль в настоящее время хранится в Microsoft Entra ID.

Этот параметр учитывается только в том случае, если домен Active Directory находится на Windows Server 2016 уровне работы домена или выше.

  • Если этот параметр включен и домен Active Directory соответствует требованиям DFL, пароль будет зашифрован перед сохранением в Active Directory.

  • Если этот параметр отключен или домен Active Directory не соответствует требованиям DFL, пароль будет храниться в Active Directory как чистый текст.

Если этот параметр не указан, по умолчанию используется значение True.

Важно.

Этот параметр игнорируется, если backupDirectory не настроен для резервного копирования пароля в Active Directory, а домен Active Directory находится на Windows Server 2016 уровне работы домена или выше.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат bool
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию True
Зависимость [BackupDirectory] Тип зависимости: DependsOn
URI зависимостей: Vendor/MSFT/LAPS/Policies/BackupDirectory
Допустимое значение зависимостей: 2
Тип допустимого значения зависимостей: ENUM

Допустимые значения:

Значение Описание
false Сохраните пароль в виде ясного текста в Active Directory.
true (по умолчанию) Храните пароль в зашифрованном виде в Active Directory.

Policies/ADPasswordEncryptionPrincipal

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ [10.0.20348.1663] и более поздних версий
✅ [10.0.25145] и более поздних версий
✅Windows 10, версия 1809 [10.0.17763.4244] и более поздних версий
✅Windows 10 версии 2004 [10.0.19041.2784] и более поздних версий
✅Windows 11 версии 21H2 [10.0.22000.1754] и более поздних
✅Windows 11, версия 22H2 [10.0.22621.1480] и более поздние
./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionPrincipal

Используйте этот параметр, чтобы настроить имя или идентификатор безопасности пользователя или группы, которые могут расшифровать пароль, хранящийся в Active Directory.

Этот параметр игнорируется, если пароль в настоящее время хранится в Microsoft Entra ID.

Если пароль не указан, пароль будет расшифрован группой администраторов домена в домене устройства.

Если этот параметр указан, указанный пользователь или группа смогут расшифровать пароль, хранящийся в Active Directory.

Если указанная учетная запись пользователя или группы недопустима, устройство будет использовать группу "Администраторы домена" в домене устройства.

Важно.

Этот параметр игнорируется, если только для ADPasswordEncryptionEnabled не задано значение True и не выполнены все остальные предварительные требования. Строка, хранящейся в этом параметре, должна быть либо идентификатором безопасности в строковой форме, либо полным именем пользователя или группы. Допустимые примеры:

  • S-1-5-21-2127521184-1604012920-1887927527-35197
  • contoso\LAPSAdmins
  • lapsadmins@contoso.com

Субъект, определенный (по идентификатору безопасности или имени пользователя или группы), должен существовать и разрешаться устройством.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Зависимость [BackupDirectory] Тип зависимости: DependsOn
URI зависимостей: Vendor/MSFT/LAPS/Policies/BackupDirectory
Допустимое значение зависимостей: 2
Тип допустимого значения зависимостей: ENUM

Policies/AutomaticAccountManagementEnableAccount

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 11, версия 24H2 [10.0.26100] и более поздние
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnableAccount

Используйте этот параметр, чтобы настроить, включена или отключена автоматически управляемая учетная запись.

  • Если этот параметр включен, будет включена целевая учетная запись.

  • Если этот параметр отключен, целевая учетная запись будет отключена.

Если этот параметр не указан, по умолчанию используется значение False.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат bool
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию False
Зависимость [AutomaticAccountManagementEnabled] Тип зависимости: DependsOn
URI зависимостей: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled
Допустимое значение зависимостей: true
Тип допустимого значения зависимостей: ENUM

Допустимые значения:

Значение Описание
False (по умолчанию) Целевая учетная запись будет отключена.
True Целевая учетная запись будет включена.

Policies/AutomaticAccountManagementEnabled

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 11, версия 24H2 [10.0.26100] и более поздние
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled

Используйте этот параметр, чтобы указать, включено ли автоматическое управление учетными записями.

  • Если этот параметр включен, целевая учетная запись будет управляться автоматически.

  • Если этот параметр отключен, целевая учетная запись не будет управляться автоматически.

Если этот параметр не указан, по умолчанию используется значение False.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат bool
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию False

Допустимые значения:

Значение Описание
false (по умолчанию) Целевая учетная запись не будет управляться автоматически.
true Целевая учетная запись будет управляться автоматически.

Policies/AutomaticAccountManagementNameOrPrefix

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 11, версия 24H2 [10.0.26100] и более поздние
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementNameOrPrefix

Используйте этот параметр для настройки имени или префикса учетной записи управляемого локального администратора.

Если это указано, значение будет использоваться в качестве имени или префикса имени управляемой учетной записи.

Если этот параметр не указан, по умолчанию будет задано значение "WLapsAdmin".

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Зависимость [AutomaticAccountManagementEnabled] Тип зависимости: DependsOn
URI зависимостей: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled
Допустимое значение зависимостей: true
Тип допустимого значения зависимостей: ENUM

Policies/AutomaticAccountManagementRandomizeName

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 11, версия 24H2 [10.0.26100] и более поздние
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementRandomizeName

Используйте этот параметр, чтобы настроить, будет ли имя автоматически управляемой учетной записи использовать случайный числовой суффикс при каждом смене пароля.

Если этот параметр включен, имя целевой учетной записи будет использовать случайный числовой суффикс.

Если этот параметр не учитывается, имя целевой учетной записи не будет использовать случайный числовой суффикс.

Если этот параметр не указан, по умолчанию используется значение False.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат bool
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию False
Зависимость [AutomaticAccountManagementEnabled] Тип зависимости: DependsOn
URI зависимостей: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled
Допустимое значение зависимостей: true
Тип допустимого значения зависимостей: ENUM

Допустимые значения:

Значение Описание
False (по умолчанию) Имя целевой учетной записи не будет использовать случайный числовой суффикс.
True Имя целевой учетной записи будет использовать случайный числовой суффикс.

Policies/AutomaticAccountManagementTarget

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 11, версия 24H2 [10.0.26100] и более поздние
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementTarget

Используйте этот параметр, чтобы настроить учетную запись, которая будет автоматически управляться.

Допустимые параметры:

0=Встроенная учетная запись администратора будет управляться.

1=Новая учетная запись, созданная Windows LAPS, будет управляться.

Если этот параметр не указан, по умолчанию будет задано значение 1.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 1
Зависимость [AutomaticAccountManagementEnabled] Тип зависимости: DependsOn
URI зависимостей: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled
Допустимое значение зависимостей: true
Тип допустимого значения зависимостей: ENUM

Допустимые значения:

Значение Описание
0 Управление встроенной учетной записью администратора.
1 (по умолчанию) Управление новой пользовательской учетной записью администратора.

Политики/BackupDirectory

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ [10.0.20348.1663] и более поздних версий
✅ [10.0.25145] и более поздних версий
✅Windows 10, версия 1809 [10.0.17763.4244] и более поздних версий
✅Windows 10 версии 2004 [10.0.19041.2784] и более поздних версий
✅Windows 11 версии 21H2 [10.0.22000.1754] и более поздних
✅Windows 11, версия 22H2 [10.0.22621.1480] и более поздние
./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory

Используйте этот параметр, чтобы настроить каталог, в котором создается резервная копия пароля учетной записи локального администратора.

Допустимые параметры:

0=Отключено (резервная копия пароля не будет создана) 1=Резервное копирование пароля в Microsoft Entra ID только 2=Резервное копирование пароля только в Active Directory.

Если этот параметр не указан, по умолчанию будет задано значение 0.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Отключено (резервная копия пароля не будет создана).
1 Создайте резервную копию пароля только для Microsoft Entra ID.
2 Создайте резервную копию пароля только в Active Directory.

Policies/PassphraseLength

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 11, версия 24H2 [10.0.26100] и более поздние
./Device/Vendor/MSFT/LAPS/Policies/PassphraseLength

Используйте этот параметр для настройки количества слов парольной фразы.

Если этот параметр не указан, по умолчанию будет задано 6 слов.

Этот параметр имеет минимально допустимое значение в 3 слова.

Максимально допустимое значение этого параметра — 10 слов.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Диапазон: [3-10]
Значение по умолчанию 6
Зависимость [PasswordComplexity] Тип зависимости: DependsOn
URI зависимостей: Vendor/MSFT/LAPS/Policies/PasswordComplexity
Допустимое значение зависимостей: [6-8]
Тип допустимого значения зависимостей: Range

Политики/PasswordAgeDays

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ [10.0.20348.1663] и более поздних версий
✅ [10.0.25145] и более поздних версий
✅Windows 10, версия 1809 [10.0.17763.4244] и более поздних версий
✅Windows 10 версии 2004 [10.0.19041.2784] и более поздних версий
✅Windows 11 версии 21H2 [10.0.22000.1754] и более поздних
✅Windows 11, версия 22H2 [10.0.22621.1480] и более поздние
./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays

Используйте эту политику, чтобы настроить максимальный срок действия пароля для учетной записи управляемого локального администратора.

Если этот параметр не указан, этот параметр будет по умолчанию 30 дней.

Этот параметр имеет минимально допустимое значение 1 день при резервном копировании пароля для локальная служба Active Directory и 7 дней при резервном копировании пароля для Microsoft Entra ID.

Максимально допустимое значение этого параметра — 365 дней.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Диапазон: [1-365]
Значение по умолчанию 30
Зависимость [BackupDirectoryAADMode BackupDirectoryADMode] Тип зависимости: DependsOn DependsOn
URI зависимостей: Vendor/MSFT/LAPS/Policies/BackupDirectory Vendor/MSFT/LAPS/Policies/BackupDirectory
Допустимое значение зависимостей:
Тип допустимого значения зависимостей: ENUM ENUM

Policies/PasswordComplexity

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ [10.0.20348.1663] и более поздних версий
✅ [10.0.25145] и более поздних версий
✅Windows 10, версия 1809 [10.0.17763.4244] и более поздних версий
✅Windows 10 версии 2004 [10.0.19041.2784] и более поздних версий
✅Windows 11 версии 21H2 [10.0.22000.1754] и более поздних
✅Windows 11, версия 22H2 [10.0.22621.1480] и более поздние
./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity

Используйте этот параметр, чтобы настроить сложность пароля для управляемой учетной записи локального администратора.

Допустимые параметры:

1=Крупные буквы 2=Крупные буквы + маленькие буквы 3=Большие буквы + цифры 4=Большие буквы + цифры + специальные символы 5=Большие буквы + цифры + специальные символы (улучшенная удобочитаемость) 6=Парольная фраза (длинные слова) 7=Парольная фраза (короткие слова) 8=Парольная фраза (короткие слова с уникальными префиксами)

Если этот параметр не указан, по умолчанию будет задано значение 4.

Список парольных фраз, взятый из раздела "Deep Dive: New Wordlists for Random Passphrases" (Новые списки слов EFF для случайных парольных фраз) компанией Electronic Frontier Foundation и используется в соответствии с лицензией на атрибуцию CC-BY-3.0. Дополнительные сведения см. в статье https://go.microsoft.com/fwlink/?linkid=2255471.

Важно.

Windows поддерживает более низкие параметры сложности пароля (1, 2 и 3) только для обратной совместимости с более старыми версиями LAPS. Корпорация Майкрософт рекомендует всегда настраивать для этого параметра значение 4.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 4

Допустимые значения:

Значение Описание
1 Большие буквы.
2 Большие буквы + маленькие буквы.
3 Большие буквы + маленькие буквы + цифры.
4 (по умолчанию) Большие буквы + маленькие буквы + цифры + специальные символы.
5 Большие буквы + мелкие буквы + цифры + специальные символы (улучшенная удобочитаемость).
6 Парольная фраза (длинные слова).
7 Парольная фраза (короткие слова).
8 Парольная фраза (короткие слова с уникальными префиксами).

Policies/PasswordExpirationProtectionEnabled

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ [10.0.20348.1663] и более поздних версий
✅ [10.0.25145] и более поздних версий
✅Windows 10, версия 1809 [10.0.17763.4244] и более поздних версий
✅Windows 10 версии 2004 [10.0.19041.2784] и более поздних версий
✅Windows 11 версии 21H2 [10.0.22000.1754] и более поздних
✅Windows 11, версия 22H2 [10.0.22621.1480] и более поздние
./Device/Vendor/MSFT/LAPS/Policies/PasswordExpirationProtectionEnabled

Используйте этот параметр, чтобы настроить дополнительное применение максимального срока действия пароля для учетной записи управляемого локального администратора.

Если этот параметр включен, запланированное истечение срока действия пароля, в результате чего срок действия пароля превышает срок действия пароля, заданный политикой PasswordAgeDays, не допускается. При обнаружении такого срока действия пароль немедленно изменяется, а новая дата окончания срока действия пароля устанавливается в соответствии с политикой.

Если этот параметр не указан, по умолчанию используется значение True.

Важно.

Этот параметр игнорируется, если backupDirectory не настроен для резервного копирования пароля в Active Directory.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат bool
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию True
Зависимость [BackupDirectory] Тип зависимости: DependsOn
URI зависимостей: Vendor/MSFT/LAPS/Policies/BackupDirectory
Допустимое значение зависимостей: 2
Тип допустимого значения зависимостей: ENUM

Допустимые значения:

Значение Описание
false Разрешите настройке отметки времени истечения срока действия пароля, чтобы превысить максимальный срок действия пароля.
true (по умолчанию) Не разрешайте настройке отметки времени истечения срока действия пароля превышать максимальный срок действия пароля.

Policies/PasswordLength

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ [10.0.20348.1663] и более поздних версий
✅ [10.0.25145] и более поздних версий
✅Windows 10, версия 1809 [10.0.17763.4244] и более поздних версий
✅Windows 10 версии 2004 [10.0.19041.2784] и более поздних версий
✅Windows 11 версии 21H2 [10.0.22000.1754] и более поздних
✅Windows 11, версия 22H2 [10.0.22621.1480] и более поздние
./Device/Vendor/MSFT/LAPS/Policies/PasswordLength

Используйте этот параметр, чтобы настроить длину пароля учетной записи управляемого локального администратора.

Если этот параметр не указан, значение по умолчанию будет 14 символов.

Минимально допустимое значение этого параметра — 8 символов.

Максимально допустимое значение этого параметра — 64 символа.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Диапазон: [8-64]
Значение по умолчанию 14
Зависимость [PasswordComplexity] Тип зависимости: DependsOn
URI зависимостей: Vendor/MSFT/LAPS/Policies/PasswordComplexity
Допустимое значение зависимостей: [1-5]
Тип допустимого значения зависимостей: Range

Policies/PostAuthenticationActions

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ [10.0.20348.1663] и более поздних версий
✅ [10.0.25145] и более поздних версий
✅Windows 10, версия 1809 [10.0.17763.4244] и более поздних версий
✅Windows 10 версии 2004 [10.0.19041.2784] и более поздних версий
✅Windows 11 версии 21H2 [10.0.22000.1754] и более поздних
✅Windows 11, версия 22H2 [10.0.22621.1480] и более поздние
./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions

Используйте этот параметр, чтобы указать действия, которые необходимо выполнить по истечении настроенного льготного периода.

Если этот параметр не указан, по умолчанию будет задано значение 3 (сброс пароля и выход из управляемой учетной записи).

Важно.

Разрешенные действия после проверки подлинности предназначены для ограничения времени, в течение которого пароль LAPS можно использовать перед сбросом. Выход из управляемой учетной записи или перезагрузка устройства — это варианты, которые помогут убедиться в этом. Внезапное завершение сеансов входа или перезагрузка устройства может привести к потере данных.

Важно.

С точки зрения безопасности злоумышленник, получающий права администратора на устройстве с использованием допустимого пароля LAPS, имеет максимальную возможность предотвратить или обойти эти механизмы.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 3

Допустимые значения:

Значение Описание
1 Сброс пароля: по истечении льготного периода пароль управляемой учетной записи будет сброшен.
3 (по умолчанию) Сброс пароля и выход управляемой учетной записи: по истечении льготного периода пароль управляемой учетной записи будет сброшен, а все интерактивные сеансы входа с использованием управляемой учетной записи будут завершены.
5 Сброс пароля и перезагрузка. По истечении льготного периода пароль управляемой учетной записи будет сброшен, а управляемое устройство будет немедленно перезагружено.
11 Сбросьте пароль, выйдите из управляемой учетной записи и завершите все остальные процессы: по истечении льготного периода пароль управляемой учетной записи сбрасывается, все интерактивные сеансы входа с помощью управляемой учетной записи выключаются, а все остальные процессы завершаются.

Policies/PostAuthenticationResetDelay

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ [10.0.20348.1663] и более поздних версий
✅ [10.0.25145] и более поздних версий
✅Windows 10, версия 1809 [10.0.17763.4244] и более поздних версий
✅Windows 10 версии 2004 [10.0.19041.2784] и более поздних версий
✅Windows 11 версии 21H2 [10.0.22000.1754] и более поздних
✅Windows 11, версия 22H2 [10.0.22621.1480] и более поздние
./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay

Используйте этот параметр, чтобы указать время ожидания (в часах) после проверки подлинности перед выполнением указанных действий после проверки подлинности.

Если этот параметр не указан, по умолчанию этот параметр будет 24 часа.

Этот параметр имеет минимально допустимое значение 0 часов (это отключает все действия после проверки подлинности).

Максимально допустимое значение этого параметра составляет 24 часа.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Диапазон: [0-24]
Значение по умолчанию 24

Применимость параметров

Поставщик служб CSP LAPS можно использовать для управления устройствами, присоединенными к Microsoft Entra ID или присоединенным как к Microsoft Entra ID, так и к Active Directory (гибридное присоединение). Поставщик служб CSP LAPS управляет сочетанием параметров только для Microsoft Entra и только для AD. Параметры только AD применимы только к устройствам с гибридным присоединением, а затем только в том случае, если параметр BackupDirectory имеет значение 2.

Имя параметра Присоединение к Azure Гибридное присоединение
BackupDirectory Да Да
PasswordAgeDays Да Да
PasswordLength Да Да
PasswordComplexity Да Да
PasswordExpirationProtectionEnabled Нет Да
AdministratorAccountName Да Да
ADPasswordEncryptionEnabled Нет Да
ADPasswordEncryptionPrincipal Нет Да
ADEncryptedPasswordHistorySize Нет Да
PostAuthenticationResetDelay Да Да
PostAuthenticationActions Да Да
ResetPassword Да Да
ResetPasswordStatus Да Да

Примеры SyncML

Ниже приведены примеры, показывающие правильный формат, и их не следует рассматривать как рекомендацию.

Пароль резервного копирования устройств, присоединенных к Azure, до Microsoft Entra ID

В этом примере показано, как настроить устройство, присоединенное к Azure, для резервного копирования пароля для Microsoft Entra ID:

<SyncMl xmlns="SYNCML:SYNCML1.2">
  <SyncBody>
    <Add>
      <CmdId>1</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>1</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>2</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>7</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>3</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>4</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>4</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordLength</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>32</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>5</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">chr</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>ContosoLocalLapsAdmin</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>6</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>8</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>7</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>3</Data>
      </Item>
    </Add>&lt;Final/&gt;</SyncBody>
</SyncMl>

Пароль резервного копирования устройств с гибридным присоединением в Active Directory

В этом примере показано, как настроить гибридное устройство для резервного копирования пароля в Active Directory с включенным шифрованием паролей:

<SyncMl xmlns="SYNCML:SYNCML1.2">
  <SyncBody>
    <Add>
      <CmdId>1</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>2</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>2</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>20</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>3</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>3</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>4</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordLength</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>14</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>5</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">chr</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>ContosoLocalLapsAdmin</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>6</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordExpirationProtectionEnabled</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">bool</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>True</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>7</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionEnabled</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">bool</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>True</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>8</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionPrincipal</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">chr</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>LAPSAdmins@contoso.com</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>9</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADEncryptedPasswordHistorySize</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>6</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>10</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>4</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>11</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>5</Data>
      </Item>
    </Add>&lt;Final/&gt;</SyncBody>
</SyncMl>

Справочник по поставщикам служб конфигурации