設定 Windows LAPS 的原則設定
Windows 區域系統管理員密碼解決方案 (Windows LAPS) 支援各種可使用原則加以控制的設定。 了解設定及其管理方式。
支援的原則根目錄
您可以使用多個原則管理機制來管理裝置,但不建議這麼做。 為了以可理解且可預測的方式支援此案例,每個 Windows LAPS 原則機制都會獲派不同的登錄根目錄機碼:
| 原則名稱 | 原則登錄機碼根目錄 |
|---|---|
| LAPS CSP | HKLM\Software\Microsoft\Policies\LAPS |
| LAPS 群組原則 | HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\LAPS |
| LAPS 本機組態 | HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\Config |
| 舊版 Microsoft LAPS | HKLM\Software\Policies\Microsoft Services\AdmPwd |
Windows LAPS 會從頂端開始往下查詢所有已知的登錄機碼原則根目錄。 如果在根目錄下找不到任何設定,便會略過該根目錄,並從下一個根目錄繼續查詢。 若找到有至少一個明確定義設定的根目錄,便會使用該根目錄作為使用中原則。 如果所選的根目錄遺漏任何設定,則會為這些設定指派其預設值。
原則設定絕不會跨原則機碼根目錄來共用或繼承。
提示
為求完整,上表中會包含 LAPS 本機組態機碼。 如有必要,您可以使用此機碼,但機碼的主要用途是測試和開發。 沒有任何管理工具或原則機制會以此機碼作為目標。
BackupDirectory 支援的原則設定
Windows LAPS 支援多個原則設定,您可以透過各種原則管理解決方案,甚至是直接透過登錄加以管理。 其中有些設定只會在將密碼備份到 Active Directory 時套用,而且某些設定在 AD 和 Microsoft Entra 案例中都通用。
下表會指定哪些設定適用於具有指定 BackupDirectory 設定的裝置:
| 設定名稱 | BackupDirectory=Microsoft Entra ID 時適用? | 在 BackupDirectory=AD 時適用? |
|---|---|---|
| AdministratorAccountName | Yes | Yes |
| PasswordAgeDays | Yes | Yes |
| PasswordLength | Yes | Yes |
| PassphraseLength | Yes | Yes |
| PasswordComplexity | Yes | Yes |
| PostAuthenticationResetDelay | Yes | Yes |
| PostAuthenticationActions | Yes | Yes |
| ADPasswordEncryptionEnabled | No | Yes |
| ADPasswordEncryptionPrincipal | No | Yes |
| ADEncryptedPasswordHistorySize | No | Yes |
| ADBackupDSRMPassword | No | Yes |
| PasswordExpirationProtectionEnabled | No | Yes |
| AutomaticAccountManagementEnabled | Yes | Yes |
| AutomaticAccountManagementTarget | Yes | Yes |
| AutomaticAccountManagementNameOrPrefix | Yes | Yes |
| AutomaticAccountManagementEnableAccount | Yes | Yes |
| AutomaticAccountManagementRandomizeName | Yes | Yes |
如果 BackupDirectory 設定為 Disabled,則所有其他設定都會遭到忽略。
您可以使用任何原則管理機制來管理幾乎所有設定。 針對此規則,Windows LAPS 組態服務提供者 (CSP) 有兩個例外。 Windows LAPS CSP 支援兩個不在上表中的設定:ResetPassword 和 ResetPasswordStatus。 此外,Windows LAPS CSP 不支援 ADBackupDSRMPassword 設定 (永遠不會透過 CSP 管理網域控制站)。 如需詳細資訊,請參閱 LAPS CSP 文件。
Windows LAPS 群組原則
Windows LAPS 包含新的群組原則物件,可供您在已加入 Active Directory 網域的裝置上管理原則設定。 若要存取 Windows LAPS 群組原則,請在群組原則管理編輯器中,移至 [電腦組態]>[系統管理範本]>[系統]>[LAPS]。 下圖顯示範例:
這個新群組原則物件的範本會在 %windir%\PolicyDefinitions\LAPS.admx 安裝為 Windows 的一部分。
群組原則物件中央存放區
重要
在 Windows Update 修補作業中,Windows LAPS GPO 範本檔案「不會」自動複製到 GPO 中央存放區 (假設您已選擇實作該方法的話)。 相反地,您必須手動將 LAPS.admx 複製到 GPO 中央存放區位置。 請參閱建立和管理中央存放區。
Windows LAPS CSP
Windows LAPS 包括特定的 CSP,可用於管理已加入 Microsoft Entra 的裝置上的原則設定。 請使用 Microsoft Intune 管理 Windows LAPS CSP。
套用原則設定
下列各節說明如何使用和套用 Windows LAPS 的各種原則設定。
BackupDirectory
使用此設定可控制要將受控帳戶的密碼備份到哪個目錄。
| 值 | 設定的描述 |
|---|---|
| 0 | 停用 (不會備份密碼) |
| 1 | 將密碼備份至僅限 Microsoft Entra |
| 2 | 僅將密碼備份至 Windows Server Active Directory |
如果未指定,此設定預設為 0 (停用)。
AdministratorAccountName
使用此設定可設定受控區域系統管理員帳戶的名稱。
如果未指定,此設定會預設為管理內建的區域系統管理員帳戶。
重要
除非您想要管理內建區域系統管理員帳戶以外的帳戶,否則請勿指定此設定。 系統會依已知的相對識別碼 (RID) 自動識別區域系統管理員帳戶。
重要
您可將指定的帳戶 (內建或自訂) 設定為啟用或停用。 Windows LAPS 會以任一狀態管理帳戶的密碼。 不過,如果保持停用狀態,則必須先啟用帳戶,才能真正使用。
重要
如果您設定 Windows LAPS 來管理自訂的本機 Administrator 帳戶,則必須確定已建立該帳戶。 Windows LAPS 不會建立該帳戶。
重要
啟用 AutomaticAccountManagementEnabled 時,會忽略此設定。
PasswordAgeDays
此設定可控制受控區域系統管理員帳戶的密碼使用期限最大值。 支援的值為:
- 最小值:1 天(當備份目錄設定為 Microsoft Entra ID 時,最小值為 7 天。
- 最大值:365 天
如果未指定,此設定會預設為 30 天。
重要
變更 PasswordAgeDays 原則設定不會影響目前密碼的到期時間。 同樣地,變更 PasswordAgeDays 原則設定也不會造成受控裝置起始密碼輪替。
PasswordLength
使用此設定可設定受控區域系統管理員帳戶的密碼長度。 支援的值為:
- 最小值:8 個字元
- 最大值:64 個字元
如果未指定,此設定會預設為 14 個字元。
重要
請勿將 PasswordLength 設定為與受控裝置的本機密碼原則不相容的值。 這會導致 Windows LAPS 無法建立新的相容密碼 (在 Windows LAPS 事件記錄中尋找 10027 事件)。
除非將 PasswordComplexity 設定為其中一個密碼選項,否則會忽略 PasswordLength 設定。
PassphraseLength
使用此設定即可配置受管本機管理員帳戶複雜密碼中的字數。 支援的值為:
- 最小值:3 個字
- 最大值:10 個字
如果未指定,此設定預設為 6 個字。
除非將 PasswordComplexity 設定為其中一個複雜密碼選項,否則會忽略 PasswordLength 設定。
PasswordComplexity
使用此設定即可配置受管本機管理員帳戶所需的密碼複雜性,或指定建立複雜密碼。
| 值 | 設定的描述 |
|---|---|
| 1 | 大寫字母 |
| 2 | 大寫字母 + 小寫字母 |
| 3 | 大寫字母 + 小寫字母 + 數字 |
| 4 | 大寫字母 + 小寫字母 + 數字 + 特殊字元 |
| 5 | 大寫字母 + 小寫字母 + 數字 + 特殊字元 (提高可讀性) |
| 6 | 複雜密碼 (長字) |
| 7 | 複雜密碼 (短字) |
| 8 | 複雜密碼 (具有唯一首碼的短字) |
如果未指定,此設定會預設為 4。
重要
Windows 只有在為了與舊版 Microsoft LAPS 達成回溯相容性時,才支援較低的密碼複雜度設定 (1、2 和 3)。 建議您一律將此設定設為 4。
重要
請勿將 PasswordComplexity 設定為與受控裝置的本機密碼原則不相容的設定。 這會導致 Windows LAPS 無法建立新的相容密碼 (在 Windows LAPS 事件記錄中尋找 10027 事件)。
PasswordExpirationProtectionEnabled
使用此設定可設定是否要強制執行受控區域系統管理員帳戶的密碼使用期限最大值。
支援的值為 1 (True) 或 0 (False)。
如果未指定,此設定會預設為 1 (True)。
提示
在舊版 Microsoft LAPS 模式中,此設定會預設為 False 以達成回溯相容性。
ADPasswordEncryptionEnabled
使用此設定可在 Active Directory 中啟用密碼加密。
支援的值為 1 (True) 或 0 (False)。
重要
啟用此設定需要 Active Directory 網域在網域功能等級 2016 或更高版本執行。
ADPasswordEncryptionPrincipal
使用此設定,以配置可解密儲存在 Active Directory 中的密碼的使用者或群組的名稱或安全識別碼 (SID)。
如果密碼目前儲存在 Azure 中,則此設定會遭到忽略。
如果未指定,則只有裝置網域中的 Domain Admins 群組成員能將密碼解密。
若已指定,所指定的使用者或群組可以解密儲存在 Active Directory 中的密碼。
重要
儲存在此設定中的字串可以是字串形式的 SID,也可以是使用者或群組的完整名稱。 有效的範例包括:
S-1-5-21-2127521184-1604012920-1887927527-35197contoso\LAPSAdminslapsadmins@contoso.com
識別出的的主體 (依照 SID 或使用者或群組名稱) 必須存在,並且可由裝置解析。
注意:此設定中指定的資料會依現狀輸入;例如,請勿新增括住引號或括弧。
除非 ADPasswordEncryptionEnabled 設定為 True,且符合所有其他必要條件,否則此設定會遭到忽略。
若是在網域控制站上備份目錄服務修復模式 (DSRM) 帳戶密碼,則此設定會遭到忽略。 在該案例中,此設定一律會預設為網域控制站網域的 Domain Admins 群組。
ADEncryptedPasswordHistorySize
使用此設定可設定要在 Active Directory 中記住多少個以前的加密密碼。 支援的值為:
- 最小值:0 個密碼
- 最大值:12 個密碼
如果未指定,此設定會預設為 0 個密碼 (停用)。
重要
除非 ADPasswordEncryptionEnabled 設定為 True,且符合所有其他必要條件,否則此設定會遭到忽略。
此設定也會對備份其 DSRM 密碼的網域控制站生效。
ADBackupDSRMPassword
使用此設定可在 Windows Server Active Directory 網域控制站上啟用 DSRM 帳戶密碼的備份。
支援的值為 1 (True) 或 0 (False)。
此設定會預設為 0 (False)。
重要
除非 ADPasswordEncryptionEnabled 設定為 True,且符合所有其他必要條件,否則此設定會遭到忽略。
PostAuthenticationResetDelay
使用此設定可指定在驗證後要等待多久 (以小時為單位) 再執行指定的驗證後動作 (請參閱 PostAuthenticationActions)。 支援的值為:
- 最小值:0 小時 (將此值設定為 0 會停用所有驗證後動作)
- 最大值:24 小時
如果未指定,此設定會預設為 24 小時。
PostAuthenticationActions
使用此設定可指定要在所設定的寬限期到期時採取的動作 (請參閱 PostAuthenticationResetDelay)。
此設定可以有下列其中一個值:
| 值 | 名稱 | 寬限期到期時所採取的動作 | 註解 |
|---|---|---|---|
| 1 | 重設密碼 | 受控帳戶密碼會重設。 | |
| 3 | 重設密碼並登出 | 受管帳戶密碼會重設、不再使用受管帳戶的互動式登入工作階段,並且會刪除使用管理帳戶的 SMB 工作階段。 | 互動式登入工作階段會收到為時兩分鐘 (您無法設定此時間) 的警告,以儲存其工作並登出。 |
| 5 | 重設密碼並重新開機 | 受控帳戶密碼會重設,而且受控裝置會重新啟動。 | 受控裝置會在為時一分鐘 (您無法設定此時間) 的延遲之後重新啟動。 |
| 11 | 重設密碼並登出 | 受管帳戶密碼會重設、不再使用受管帳戶的互動式登入工作階段、會刪除使用管理帳戶的 SMB 工作階段,並且會終止在受管帳戶身分下執行的任何剩餘處理程序。 | 互動式登入工作階段會收到為時兩分鐘 (您無法設定此時間) 的警告,以儲存其工作並登出。 |
如果未指定,此設定會預設為 3。
重要
允許的驗證後動作旨在協助限制 Windows LAPS 密碼可以使用多久再重設。 登出受控帳戶或重新啟動裝置是有助於確保時間會受到限制的選項。 突然終止已登入的工作階段或重新啟動裝置可能會導致資料遺失。
從安全性觀點來看,使用有效的 Windows LAPS 密碼在裝置上取得系統管理權限的惡意使用者,最終的確能夠防止或規避這些機制。
重要
Windows Server 2025 和更新版本支援 PostAuthenticationActions 值 11。
AutomaticAccountManagementEnabled
使用此設定來啟用自動帳戶管理。
支援的值為 1 (True) 或 0 (False)。
此設定會預設為 0 (False)。
AutomaticAccountManagementTarget
使用此設定可指定是否自動管理內建管理員帳戶,或新的自訂帳戶。
| 值 | 設定的描述 |
|---|---|
| 0 | 自動管理內建管理員帳戶 |
| 1 | 自動管理新的自訂帳戶 |
這個設定預設為 1。
除非啟用 AutomaticAccountManagementEnabled,否則忽略此設定。
AutomaticAccountManagementNameOrPrefix
使用此設定來指定自動受帳戶的名稱或名稱前置詞。
此設定預設為 "WLapsAdmin"。
除非啟用 AutomaticAccountManagementEnabled,否則忽略此設定。
AutomaticAccountManagementEnableAccount
使用此設定來啟用或停用自動受管帳戶。
| 值 | 設定的描述 |
|---|---|
| 0 | 停用自動受管帳戶 |
| 1 | 啟用自動受管帳戶 |
這個設定預設為 0。
除非啟用 AutomaticAccountManagementEnabled,否則忽略此設定。
AutomaticAccountManagementRandomizeName
使用此設定來啟用自動受控帳戶名稱的隨機化。
啟用此設定時,受管帳戶的名稱 (由 AutomaticAccountManagementNameOrPrefix 設定決定) 會在每次輪替密碼時,在結尾加上隨機六位數尾碼。
Windows 本機帳戶名稱的長度上限為 20 個字元,這表示名稱元件長度必須為最多 14 個字元,才會有足夠空間容納隨機尾碼。 AutomaticAccountManagementNameOrPrefix 所指定的帳戶名稱長度若超過 14 個字元,就會被截斷。
| 值 | 設定的描述 |
|---|---|
| 0 | 不要將自動受管帳戶名稱隨機化 |
| 1 | 將自動受管帳戶名稱隨機化 |
這個設定預設為 0。
除非啟用 AutomaticAccountManagementEnabled,否則忽略此設定。