Windows本地管理员密码解决方案(WindowsLAPS)是一项Windows功能,可自动管理和备份管理员帐户的已加入AzureActiveDirectory或已加入WindowsServerActiveDirectory的设备密码的本地管理员密码。您还可以使用WindowsLAPS自动管理和备份WindowsServerActiveDirectory域控制器上的目录服务修复模式(DSRM)帐户密码。授权管理员可以检索DSRM密码并使用它。使用WindowsLAPS的好处使用WindowsLAPS定期轮换和管理本地管理员帐户密码并获得以下好处:防止散列传递和横向遍历攻击提高远程帮助台场景的安全性保护存储在WindowsServerActiveDirectory中的密码的细粒度安全模型(访问控制列表和可选的密码加密)支持Azure基于角色的访问控制模型,用于保护存储在AzureActiveDirectory中的密码支持的平台WindowsLAPSin支持桌面Windows、Windows服务器和Windows服务器核心。WindowsLAPS是所有支持的SKU上的原生Windows功能。安装此功能不需要额外的步骤。如前所述,WindowsLAPS目前仅在Windows11InsiderPreviewBuild25145及更高版本中可用。对WindowsLAPSAzureActiveDirectory方案的支持目前仅限于少数WindowsInsider用户。关键WindowsLAPS场景您可以将WindowsLAPS用于几个主要场景:到WindowsServerActiveDirectory)备份DSRM账号密码到WindowsServerActiveDirectory(适用于WindowsServerActiveDirectory域控)备份本地管理员账号密码到使用旧版MicrosoftLAPSActiveDirectory的WindowsServer在每种情况下,您可以应用不同的策略设置。WindowsLAPS不支持加入AzureActiveDirectory工作区的客户端。了解设备加入状态限制设备是加入AzureActiveDirectory还是WindowsServerActiveDirectory决定了您可以如何使用WindowsLAPS。仅加入AzureActiveDirectory的设备只能将密码备份到AzureActiveDirectory。仅加入WindowsServerActiveDirectory的设备只能将密码备份到WindowsServerActiveDirectory。混合加入(加入AzureActiveDirectory和WindowsServerActiveDirectory)的设备可以将其密码备份到AzureActiveDirectory或WindowsServerActiveDirectory。您不能同时将密码备份到AzureActiveDirectory和WindowsServerActiveDirectory。
