Windows 本地管理員密碼解決方案 (Windows Local Administrator Password Solution 簡(jiǎn)稱(chēng)：Windows LAPS) 是一項(xiàng) Windows 功能，可自動(dòng)管理和備份已加入 Azure Active Directory 或已加入 Windows Server Active Directory 的設(shè)備上的本地管理員賬戶(hù)的密碼。還可以使用 Windows LAPS 自動(dòng)管理和備份 Windows Server Active Directory 域控制器上的目錄服務(wù)修復(fù)模式 (DSRM) 賬戶(hù)密碼。授權(quán)管理員可以檢索 DSRM 密碼并使用它。

使用 Windows LAPS 的好處

使用 Windows LAPS 定期輪換和管理本地管理員賬戶(hù)密碼并獲得以下好處：

• 防止傳遞哈希和橫向遍歷攻擊
• 提高遠(yuǎn)程幫助臺(tái)場(chǎng)景的安全性
• 能夠登錄和恢復(fù)原本無(wú)法訪(fǎng)問(wèn)的設(shè)備
• 用于保護(hù)存儲(chǔ)在 Windows Server Active Directory 中的密碼的細(xì)粒度安全模型（訪(fǎng)問(wèn)控制列表和可選密碼加密）
• 支持 Azure 基于角色的訪(fǎng)問(wèn)控制模型，用于保護(hù)存儲(chǔ)在 Azure Active Directory 中的密碼

支持的平臺(tái)

Windows LAPS 在桌面 Windows、Windows Server 和 Windows Server Core 上受支持。Windows LAPS 是所有受支持 SKU 上的原生 Windows 功能。安裝該功能不需要額外的步驟。

如前所述，Windows LAPS 目前僅在 Windows 11 Insider Preview Build 25145 及更高版本中可用。目前對(duì) Windows LAPS Azure Active Directory 方案的支持僅限于少數(shù) Windows Insider 用戶(hù)。

關(guān)鍵的 Windows LAPS 場(chǎng)景

您可以將 Windows LAPS 用于幾個(gè)主要方案：

• 將本地管理員賬戶(hù)密碼備份到Azure Active Directory（適用于加入 Azure Active Directory 的設(shè)備）
• 將本地管理員賬戶(hù)密碼備份到 Windows Server Active Directory（適用于已加入 Windows Server Active Directory 的客戶(hù)端和服務(wù)器）
• 將 DSRM賬戶(hù)密碼備份到 Windows Server Active Directory（適用于 Windows Server Active Directory 域控制器）
• 使用舊版 Microsoft LAPS 將本地管理員賬戶(hù)密碼備份到 Windows Server Active Directory

在每種情況下，您都可以應(yīng)用不同的策略設(shè)置。

Windows LAPS 不支持加入 Azure Active Directory 工作區(qū)的客戶(hù)端。

了解設(shè)備加入狀態(tài)限制

設(shè)備是加入 Azure Active Directory 還是 Windows Server Active Directory 決定了您可以如何使用 Windows LAPS。

僅加入Azure Active Directory的設(shè)備只能將密碼備份到 Azure Active Directory。

僅加入 Windows Server Active Directory 的設(shè)備只能將密碼備份到 Windows Server Active Directory。

混合加入（加入 Azure Active Directory 和 Windows Server Active Directory）的設(shè)備可以將其密碼備份到 Azure Active Directory 或 Windows Server Active Directory。您不能同時(shí)將密碼備份到 Azure Active Directory 和 Windows Server Active Directory。