Modalità di gestione degli account Windows LAPS
Informazioni sulle diverse modalità di gestione degli account supportate dalla Soluzione password amministratore locale Windows (Windows LAPS).
Importante
La funzionalità gestione account automatica Windows LAPS è supportata in Windows Server 2025 e versioni successive.
Panoramica
Lo scopo principale di Windows LAPS è ruotare regolarmente la password di un account di Windows locale. Questo account può essere l'account Amministratore predefinito o un nuovo account personalizzato. L'amministratore IT ha due modalità diverse tra cui scegliere per la configurazione e la gestione dell'account di destinazione: manuale e automatico. Entrambe le modalità presentano vantaggi e svantaggi.
Sono disponibili due modalità diverse di gestione dell'account di destinazione.
La modalità manuale di gestione dell'account è la modalità predefinita. In modalità manuale, l'amministratore IT è responsabile della configurazione di tutti gli aspetti dell'account gestito, ad eccezione della password, che Windows LAPS gestisce e controlla.
La modalità di gestione automatica degli account è una modalità facoltativa. In modalità automatica, Windows LAPS è responsabile della configurazione di tutti gli aspetti dell'account gestito, inclusa la creazione e l'eliminazione di account di base in base alle esigenze, oltre alla password dell'account.
Modalità manuale di gestione degli account
La modalità manuale è la modalità predefinita. L'amministratore IT ha la possibilità di scegliere se impostare come destinazione l'account Amministratore predefinito o un nuovo account personalizzato. Questa scelta viene configurata tramite l'impostazione dei criteri AdministratorAccountName. Se l'impostazione AdministratorAccountName è vuota, l'account Amministratore predefinito viene gestito; in caso contrario, AdministratorAccountName specifica il nome di un account locale personalizzato.
Quando si specifica un account locale personalizzato, l'Amministratore IT è responsabile della creazione di tale account prima di abilitare Windows LAPS - Windows LAPS non crea l'account in questa modalità.
In questa modalità, la password dell'account di destinazione è protetta da manomissioni accidentali. Sono consentite tutte le altre modifiche alla configurazione dell'account.
Modalità automatica di gestione degli account
La modalità automatica è una modalità disattivata per impostazione predefinita. Dopo aver abilitato l'Amministratore IT, è possibile scegliere tra i dettagli di configurazione seguenti:
- Indica se impostare come destinazione l'account Amministratore predefinito o un nuovo account personalizzato
- Nome dell'account
- Parametro che indica se abilitare o disabilitare l'account
- Indica se eseguire in modo casuale il nome dell'account
Dettagli della configurazione automatica dell'account
Quando la modalità automatica è abilitata, l'account gestito viene configurato come segue:
- L'account viene reso membro del gruppo locale Amministratori
- L'impostazione password-not-required viene disabilitata
- Il flag password-never-expires viene disabilitato
- La descrizione dell'account viene modificata per indicare che Windows LAPS controlla l'account
Integrazione con i criteri di gestione degli account locali
Windows supporta più criteri per la gestione dell'appartenenza ai gruppi locali di Windows:
- CSP criteri RestrictedGroups
- CSP criteri LocalUsersAndGroups
- Utenti e gruppi locali (Criteri di gruppo)
- Gruppi con restrizioni (Criteri di gruppo)
Ciascuno dei criteri precedenti supporta una modalità di configurazione che può essere usata per forzare la rimozione di tutti i membri di un gruppo locale specificato. I criteri precedenti ignorano ora qualsiasi tentativo di rimuovere Windows LAPS gestito automaticamente dal gruppo locale Amministratori.
Protezione antimanomissione dell'account
La protezione antimanomissione dell'account viene espansa in modalità automatica. Windows LAPS controlla tutti gli aspetti di configurazione di un account gestito automaticamente. I tentativi esterni di modificare l'account gestito vengono bloccati. Gli amministratori IT non devono creare criteri o script che tentano di modificare l'account gestito.
Windows LAPS rifiuta i tentativi imprevisti di modificare l'account con un errore STATUS_POLICY_CONTROLLED_ACCOUNT (0xC000A08B) o ERROR_POLICY_CONTROLLED_ACCOUNT (0x21CE\8654). Ogni rifiuto ha un evento associato nel canale del registro eventi di Windows LAPS. Gli eventi 10101-10104 vengono registrati in base al tipo di richiesta di modifica (modifica di base, modifica del descrittore di sicurezza, eliminazione o rimozione dal gruppo locale Amministratori).
Scelta della modalità
La modalità manuale è la scelta migliore per le situazioni che richiedono una configurazione univoca e/o dettagliata dell'account di destinazione.
La modalità automatica è la scelta migliore per le situazioni con requisiti meno dettagliati, ad esempio, è necessario che l'account gestito sia disponibile e pronto per l'uso in una configurazione di base con privilegi Amministratore. La modalità automatica supporta anche la creazione di un nuovo account personalizzato.
| Funzionalità | Modalità manuale | Modalità automatica |
|---|---|---|
| Password controllata da Windows LAPS | Sì | Sì |
| L'amministratore IT può personalizzare l'account | Sì | No |
| Supporta la creazione automatica dell'account | No | Sì |
| Supporta la denominazione automatica degli account | No | Sì |
| Supporta l'abilitazione automatica dell'account/disabilitazione | No | Sì |
| Supporta la randomizzazione automatica del nome dell'account | No | Sì |
| Supporta l'integrazione con i criteri dell'account locale | No | Sì |
Gestione degli account in modalità ripristino servizi directory
Windows LAPS supporta la gestione della password dell'account DSRM (Directory Services Repair Mode) nei controller di dominio. Le modalità manuale e automatica di gestione degli account descritte in questo articolo non si applicano all'account DSRM.
Vedi anche
- Concetti chiave nella Soluzione password dell'amministratore locale di Windows
- Password e passphrase Windows LAPS
Passaggi successivi
Ora che si conoscono le diverse modalità di gestione degli account, consultare le sezioni che seguono.