Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Lär dig mer om de olika kontohanteringslägen som stöds av Windows Local Administrator Password Solution (Windows LAPS).
Important
Funktionen för automatisk kontohantering i Windows LAPS stöds endast i Windows 11 24H2, Windows Server 2025 och senare versioner.
Overview
Det primära syftet med Windows LAPS är att regelbundet rotera lösenordet för ett lokalt Windows-konto. Det här kontot kan antingen vara det inbyggda administratörskontot eller ett anpassat nytt konto. IT-administratören har två olika lägen att välja mellan för att konfigurera och hantera målkontot: manuellt och automatiskt. Båda lägena har sina för- och nackdelar.
Det finns två olika lägen tillgängliga för att hantera målkontot.
Manuellt kontohanteringsläge är standardläget. I manuellt läge ansvarar IT-administratören för konfigurationen av alla aspekter av det hanterade kontot förutom lösenordet, som Windows LAPS hanterar och kontrollerar.
Läget för automatisk kontohantering är ett valfritt läge. I automatiskt läge ansvarar Windows LAPS för konfiguration av alla aspekter av det hanterade kontot, inklusive grundläggande kontoskapande och borttagning efter behov, plus kontots lösenord.
Läge för manuell kontohantering
Manuellt läge är standardläget. IT-administratören kan välja om du vill rikta in dig på det inbyggda administratörskontot eller ett anpassat nytt konto. Det här valet konfigureras via principinställningen AdministratorAccountName. Om inställningen AdministratorAccountName är tom hanteras det inbyggda administratörskontot, annars anger AdministratorAccountName namnet på ett anpassat lokalt konto.
När ett anpassat lokalt konto anges ansvarar IT-administratören för att skapa det kontot innan du aktiverar Windows LAPS – Windows LAPS skapar inte kontot i det här läget. Det finns många sätt att skapa ett lokalt konto:
- Konfigurera CSP:n för konton
- Distribuera anpassade principdrivna hanteringsskript
- Lägga till målkontot i en grundläggande OS-avbildning.
Dessa mekanismer lägger till extra komplexitet som kan undvikas genom att använda automatiskt kontohanteringsläge.
I det här läget skyddas målkontots lösenord mot oavsiktlig eller vårdslös manipulering. Alla andra ändringar av kontokonfigurationen är tillåtna.
Läge för automatisk kontohantering
Automatiskt läge är ett avstängt läge som standard. När det är aktiverat kan IT-administratören välja bland följande konfigurationsinformation:
- Om du vill rikta in dig på det inbyggda administratörskontot eller ett anpassat nytt konto
- Namnet på kontot
- Om kontot ska aktiveras eller inaktiveras
- Om namnet på kontot ska randomiseras
Information om automatisk kontokonfiguration
När automatiskt läge är aktiverat konfigureras det hanterade kontot på följande sätt:
- Kontot blir medlem i den lokala gruppen Administratörer
- Inställningen för lösenord som inte krävs är inaktiverad
- Flaggan password-never-expires är inaktiverad
- Kontobeskrivningen ändras för att indikera att Windows LAPS kontrollerar kontot
Säkerhetsförbättringar och överväganden för automatisk kontohantering
Precis som alla användarkonton representerar lokala Windows-konton en potentiell sårbarhetsvektor för angripare. Detta hot finns även för Windows LAPS-hanterade konton, även om det i stor utsträckning mildras av de mycket komplexa lösenord som genereras (och regelbundet roteras) av Windows LAPS. Automatisk kontohantering erbjuder två förbättringar som ytterligare kan minska hoten när mer säkerhet önskas för miljöer med hög hot.
För det första eliminerar underhållet av det hanterade kontot i ett inaktiverat tillstånd helt risken för att kontot kan vara mål för en lösenordsattack eller liknande attack. Att hålla det hanterade kontot i ett inaktiverat tillstånd medför dock friktion: det hanterade kontot måste aktiveras (via GPO eller MDM-principmanipulering) innan kontot kan användas.
För det andra blir det svårare för en angripare att upprätthålla ett unikt hanterat kontonamn per enhet (via slumpmässig kontonamnsgenerering). Istället för att veta i förväg vilket konto som ska attackeras på alla enheter måste angriparen på något sätt ta reda på namnet på kontot på en viss målenhet. Det finns mer friktion här också eftersom IT-personal måste utbildas för att inte förlita sig på att känna till ett gemensamt, organisationsomfattande hanterat kontonamn.
IT-administratörer som distribuerar Windows LAPS i en säkerhetskritisk miljö bör överväga dessa funktioner. Huruvida friktionen som introduceras genom att anta dessa funktioner är acceptabel beror på hur ofta de Windows LAPS-hanterade kontona behöver användas, plus säkerhetskraven för en given IT-miljö.
Integrering med lokala kontohanteringspolicyer
Windows har stöd för flera principer för att hantera medlemskap i lokala Windows-grupper:
- CSP för RestrictedGroups-princip
- CSP för LocalUsersAndGroups-princip
- Lokala användare och grupper (grupprincip)
- Begränsade grupper (grupprincip)
Var och en av ovanstående principer stöder ett konfigurationsläge som kan användas för att tvinga bort alla medlemmar i en angiven lokal grupp. Ovanstående principer ignorerar nu alla försök att ta bort det automatiskt hanterade Windows LAPS-kontot från den lokala administratörsgruppen.
Skydd mot kontomanipulering
Skyddet mot kontomanipulering utökas i automatiskt läge. Windows LAPS styr alla konfigurationsaspekter för ett automatiskt hanterat konto. Externa försök att ändra det hanterade kontot blockeras. IT-administratörer bör inte skapa principer eller skript som försöker ändra det hanterade kontot.
Windows LAPS avvisar oväntade försök att ändra kontot med ett STATUS_POLICY_CONTROLLED_ACCOUNT (0xC000A08B) eller ERROR_POLICY_CONTROLLED_ACCOUNT (0x21CE\8654) fel. Varje avvisande har en associerad händelse i Windows LAPS-händelseloggkanalen. Händelserna 10101-10104 loggas, vilket motsvarar vilken typ av ändring som begärdes (grundläggande ändring, ändring av säkerhetsbeskrivning, borttagning eller borttagning från den lokala administratörsgruppen).
Välja ett läge
Manuellt läge är det bästa valet för situationer som kräver unik och/eller detaljerad konfiguration av målkontot.
Automatiskt läge är det bästa valet för situationer med mindre detaljerade krav, till exempel om du bara behöver det hanterade kontot för att vara tillgängligt och redo att användas i en grundläggande konfiguration med administratörsbehörighet. Automatiskt läge har också stöd för att skapa ett anpassat nytt konto.
| Feature | Manuellt läge | Automatiskt läge |
|---|---|---|
| Lösenord som styrs av Windows LAPS | Yes | Yes |
| IT-administratören kan anpassa kontot | Yes | No |
| Stöder automatisk kontoskapande | No | Yes |
| Stöder automatisk kontonamngivning | No | Yes |
| Stöder automatisk kontoaktivering\inaktivering | No | Yes |
| Stöder automatisk randomisering av kontonamn | No | Yes |
| Stöder integrering med lokala kontopolicyer | No | Yes |
Important
Microsoft rekommenderar att kunderna föredrar automatiskt kontohanteringsläge hela tiden, förutom de (sällsynta) situationer som kräver unik konfiguration av målhanteringskontot. Vi rekommenderar vidare att det automatiska kontohanteringsläget konfigureras för att skapa/rikta in dig på ett anpassat konto och att det inbyggda administratörskontot lämnas oanvänt och underhålls i ett inaktiverat tillstånd.
Kontohantering i reparationsläge för katalogtjänster
Windows LAPS stöder hantering av lösenordet för DSRM (Directory Services Repair Mode) på domänkontrollanter. De manuella och automatiska kontohanteringslägena som beskrivs i den här artikeln gäller inte för DSRM-kontot.
Se även
Nästa steg
Nu när du förstår de olika kontohanteringslägena, ta en titt på dessa andra avsnitt.