Руководство по установке и настройке microsoft laps

History of the Windows Administrator Account

Your first instinct when you forget your own account password might be to look for the default Windows admin password. However, in Windows Vista and later, there actually is no accessible system-wide Administrator account by default. This is a security measure to protect your computer.

Windows XP had an additional Administrator account that sat alongside your usual accounts. The problem was that most people left the password for this account blank, meaning that anyone with access to a computer and a little know-how could log into a machine with full administrator permissions.

This was even more of an issue if you used the Administrator account all the time, as any malware had free reign to do whatever it wanted.

Modern-Day Admin Accounts

Starting in Windows Vista, Microsoft disabled the built-in Admin account by default. Instead, it featured User Account Control, a feature still around in Windows 10 today. This allows you to temporarily grant admin permissions while using any account, as long as you have an admin’s password.

Thus, there’s no Windows default administrator password you can dig up for any modern versions of Windows. While you can enable the built-in Administrator account again, we recommend that you avoid doing so. That account runs with admin permissions all the time, and never asks for confirmation for sensitive actions. This makes it a bigger security risk, where malware can more easily execute.

Windows Administrator Account: Everything You Need to Know

Starting with Windows Vista, the built-in Windows Administrator account is disabled by default. You can enable it, but do so at your own risk! We show you how.

Besides, you need admin permissions to enable the default Administrator account, meaning that it’s not a solution if you forgot your own admin password. Instead, let’s look at how to reset an admin password in Windows 10, 8, and 7.

Учетная запись администратора

Учетная запись администратора — это учетная запись по умолчанию, используемая во всех версиях Windows на каждом компьютере и устройстве. Учетная запись администратора используется системным администратором для задач, которые требуют административных учетных данных. Эта учетная запись не может быть удалена или заблокирована, но ее можно переименовать или отключить.

Учетная запись администратора предоставляет пользователю полный доступ к файлам, каталогам, службам и другим ресурсам, которые находятся на локальном сервере. Учетная запись администратора может использоваться для создания локальных пользователей и назначения прав пользователей и разрешений на управление доступом. Администратор также может использовать для управления локальными ресурсами в любое время, просто изменив права и разрешения пользователей. Несмотря на то, что файлы и каталоги могут быть временно защищены от учетной записи администратора, учетная запись администратора может в любое время контролировать эти ресурсы, изменяя разрешения на доступ.

Членство в группе учетных записей

Учетная запись Администратора имеет членство в группах безопасности по умолчанию, как описано в таблице атрибутов учетной записи администратора, позднее в этом разделе.

Группы безопасности гарантируют, что вы можете управлять правами администратора, не меняя каждую учетную запись администратора. В большинстве случаев не нужно менять основные параметры этой учетной записи. Однако может потребоваться изменить его расширенные параметры, например членство в определенных группах.

Вопросы безопасности

После установки операционной системы сервера первой задачей является безопасное настройка свойств учетной записи администратора. Это включает настройку особо длинного и прочного пароля и обеспечение безопасности параметров профилей удаленного управления и служб удаленного рабочего стола.

Учетная запись администратора также может быть отключена, если она не требуется. Переименование или отключение учетной записи администратора затрудняет попытку злоумышленников получить доступ к учетной записи. Однако даже если учетная запись администратора отключена, ее можно использовать для получения доступа к контроллеру домена с помощью безопасного режима.

На контроллере домена учетная запись администратора становится учетной записью администратора домена. Учетная запись администратора домена используется для входов в контроллер домена, и для этой учетной записи требуется надежный пароль. Учетная запись администратора домена предоставляет доступ к ресурсам домена.

Примечание. При начальной установке контроллера домена можно войти и использовать Диспетчер сервера для установки учетной записи локального администратора с правами и разрешениями, которые необходимо назначить. Например, при первой установке можно использовать учетную запись локального администратора для управления операционной системой. С помощью этого подхода можно настроить операционную систему без блокировки. Как правило, вам не нужно использовать учетную запись после установки. Создать локальные учетные записи пользователей на контроллере домена можно только до установки служб домена Active Directory, а не после этого.

При установке Active Directory на первом контроллере домена в домене создается учетная запись администратора для Active Directory. Учетная запись администратора — это самая мощная учетная запись в домене. Ему дается доступ на всем домене и административные права для администрирования компьютера и домена, и он обладает самыми обширными правами и разрешениями над доменом. Человек, устанавливавший службы домена Active Directory на компьютере, создает пароль для этой учетной записи во время установки.

Утилита Local Administrator Password Solution (LAPS)

Утилита LAPS позволяет организовать решение по централизованному контролю и управлению паролями администраторов на всех компьютерах домена с хранением информации о пароле непосредственно в объектах Active Directory типа Computer.

Функционал LAPS основан на технологии Group Policy Client Side Extension (CSE) и заключается в генерации и установки уникального пароля локального администратора (SID — 500) на каждом компьютере домена. Пароль автоматически меняется через определенный интервал времени (по-умолчанию, каждые 30 дней). Значение текущего пароля хранится в конфиденциальном атрибуте учетных записей компьютеров в Active Directory, доступ на просмотр содержимого атрибута регулируется группами безопасности AD.

Скачать саму утилиту и документацию к ней можно по адресу (на момент написания статьи): https://www.microsoft.com/en-us/download/details.aspx?id=46899

Дистрибутив LAPS доступен в виде двух версии установочных msi файдлв: для 32 (LAPS.x86.msi) и 64 (LAPS.x64.msi) битных систем.

Инструментарий управления устанавливается на машине администратора, а на серверах и ПК, на которых мы планируем управлять паролем локального администратора, устанавливается клиентская часть.

Скачиваем необходимое ПО и запускаем установку утилиты на машине администратора, отметив все компоненты для установки (требуется наличие как минимум .Net Framework 4.0). Если в процессе импорта модуля (см.ниже) возникнет ошибка, то скорее всего нужно будет обновить Power Shell до версии >= 3.0. Необходимо будет скачать и установить Windows Management Framework >= 3.0

Пакет состоит из двух подсистем:

AdmPwd GPO Extension – собственно исполняемая часть LAPS
И компоненты управления:
- Fat client UI – утилита для просмотра пароля
- PowerShell module – модуль Powershell для управления LAPS
- GPO Editor templates – административные шаблоны для редактора групповой политики

Справочники

Этот параметр политики определяет, какие пользователи могут установить параметр Доверенный для делегирования на объект пользователя или компьютера.
Делегирование учетной записи безопасности обеспечивает возможность подключения к нескольким серверам, и каждое изменение сервера сохраняет учетные данные проверки подлинности исходного клиента. Делегирование проверки подлинности — это возможность, которую используют клиентские и серверные приложения, если у них несколько уровней. Это позволяет общедоступным службам использовать учетные данные клиента для проверки подлинности приложения или службы баз данных. Чтобы эта конфигурация была возможной, клиент и сервер должны работать под учетные записи, доверенные для делегирования.

Только администраторы, которым можно доверять учетным данным компьютера и пользователей, могут настроить делегирования. Администраторы домена и Enterprise администраторы имеют эти учетные данные. Процедура, позволяющая доверять пользователю для делегирования, зависит от уровня функциональности домена.

Пользователь или машинный объект, который получает это право, должен иметь доступ к флагам управления учетной записью. Серверный процесс, работающий на устройстве (или в пользовательском контексте), которому доверяется делегирование, может получить доступ к ресурсам на другом компьютере с помощью делегирования учетных данных клиента. Однако учетная запись клиента должна иметь доступ к флагам управления учетной записью на объекте.

Константа: SeEnableDelegationPrivilege

Значения по умолчанию

В следующей таблице перечислены фактические и эффективные значения политики по умолчанию для последних поддерживаемых версий Windows. Значения по умолчанию также можно найти на странице свойств политики.

Тип сервера или объект групповой политики	Значение по умолчанию
Default Domain Policy	Не определено
Политика контроллера домена по умолчанию	Не определено
Параметры по умолчанию для автономного сервера	Не определено
Действующие параметры по умолчанию для контроллера домена	Администраторы
Действующие параметры по умолчанию для рядового сервера	Администраторы
Действующие параметры по умолчанию для клиентского компьютера	Администраторы

Option 1: Windows 7 Password Reset in Safe Mode via Administrator

When Windows 7 was installed completely, a built-in administrator was created at the same time. The Administrator account has no password unless you create one for it. So it is possible to reset Windows 7 forgotten admin password if you can access Windows 7 computer with built-in administrator in Safe Mode. Now we will try to login Windows 7 with the built-in administrator and reset forgotten administrator password.

1. Boot or reboot your Windows 7 PC or laptop.
2. Press F8 repeatedly until the Windows Advanced Options Menu screen appears.
3. Select Safe Mode in the coming screen, and then Press Enter.
4. Log in Windows 7 with Administrator account when you see login screen.
5. Click Start open the control panel users accounts, and select locked administrator to reset its password. Or run command prompt as administrator to reset Windows 7 password with net user command.

Как создать группу в Active Directory

Группа Безопасности – как видно из названия эта группа относиться к безопасности, т.е. она управляет безопасностью. Она может дать права или разрешение на доступ к объектам в AD.
Группа распространения – отличается от группы безопасности тем, что находящимся в этой группе объектам нельзя дать права, а эта группа чаще всего служит для распространения электронных писем, часто используется при установке Microsoft Exchange Server.

Теперь поговорим об области действий групп. Под областью действий понимается диапазон применения этой группы внутри домена.

Глобальная группа – она глобальна тем, что может предоставить доступ к ресурсам другого домена, т.е. ей можно дать разрешения на ресурс в другом домене. Но в нее можно добавить только те учетные записи, которые были созданы в том же домене что и сама группа. Глобальная группа может входить в другую глобальную группу и в локальную группу тоже. Ее часто называют учетной, так как в нее обычно входят учетные записи пользователей.

Локальная группа – она локальна тем, что предоставляет доступ к ресурсам только того домена, где она была создана, т.е. предоставить доступ к ресурсам другого домена она не может. Но в локальную группу могут входить пользователи другого домена. Локальная группа может входить в другую локальную группу, но не может входить в глобальную. Ее часто называют ресурсной, так как ее часто используют для предоставления доступа к ресурсам.

Универсальная группа – в нее могут входить все, и она может, предоставляет доступ всем.

Другими словами вы учетные записи пользователей добавляете в глобальные группы, а глобальные группы добавляете в локальные группы, а локальным группам предоставляете доступ к ресурсам. Организовать такую стратегию на предприятие позволит вам намного упростить управление правами и разрешениями (удобство, сокращение времени на изменение прав и разрешений). Не зря глобальные группы называют учетными, а локальные ресурсными.

Администрирование Active Directory-3 часть. Создание групп при помощи оснастки ADUC.-02

Теперь, когда вы больше стали понимать, что это такое и с чем это едят, давайте создадим с вами группу безопасности. Для этого щелкаем правым кликов в нужном контейнере тлт OU и выбираем создать > группу или сверху есть значок с человечками.

Администрирование Active Directory-3 часть. Создание групп при помощи оснастки ADUC.-03

После чего мы видим область действия и типы группы, пишем название группы, старайтесь максимально подробно и осмысленно выбирать название группы, у вас в компании должны быть разработаны стандарты именования в Active Directory.

Администрирование Active Directory-3 часть. Создание групп при помощи оснастки ADUC.-04

После того как группа создалась кликнете по ней двойным щелчком. Откроются свойства группы. Давайте пробежимся по вкладкам. Советую сразу написать Описание, может потом сильно сэкономить время.

Администрирование Active Directory-3 часть. Создание групп при помощи оснастки ADUC.-05

Вкладка Члены группы, показывает группы или пользователей которые являются членами данной группы. Как мы видим пока никого нету, давайте добавим пользователя, для этого щелкаем кнопку добавить и пишем в поисковой строке его параметры имя или

Через поиск находим нужного пользователя.

Администрирование Active Directory-3 часть. Создание групп при помощи оснастки ADUC.-07

Все Иванов Иван Иванович, теперь является членом группы.

Администрирование Active Directory-3 часть. Создание групп при помощи оснастки ADUC.-08

Вкладка Член групп, показывает в какие группы входит данная группа. Может объединяющей группе пользователей давать права для примера, у меня в организации есть программисты, и им нужен сервер VPN, для удаленного подключения, так они состоят в группе разработчики, которая уже является часть группы vpn пользователи.

Администрирование Active Directory-3 часть. Создание групп при помощи оснастки ADUC.-09

Вкладка Управляется, нужна для того чтобы делигировать например руководителю менеджеров права на добавление нужных ему людей в его группу, в российских реалиях почти не используется.

Администрирование Active Directory-3 часть. Создание групп при помощи оснастки ADUC.-10

Также еще пользователя можно добавить в группу правым кликом по нему и выбрать пункт добавить в группу, полезно при массовом действии.

Материал сайта Pyatilistnik.org

Особенности использования группы локальных администраторов в домене Active Directory

При добавлении компьютера в домен AD в группу Administrators автоматически добавляется группы Domain Admins, а группа Domain User добавляется в локальную Users.

Самый простой способ предоставить права локального администратора на определенном компьютере – добавить пользователя или группу в локальную группу безопасности Administrators через локальную оснастку “Локальные пользователи и группы” (Local users and groups — lusrmgr.msc). Однако такой способ очень неудобен, если компьютеров много и со временем в группах локальных администраторов обязательно окажутся лишние личности. Т.е. при таком способе предоставлении прав неудобно контролировать состав группы локальных администраторов.

В классических рекомендациях по безопасности Microsoft рекомендуется использовать следующие группы для разделения полномочиями администраторов в домене:

Domain Admins – администраторы домена, используются только на контроллерах домена;

Допустим, нам нужно предоставить группе сотрудников техподдержки и HelpDesk права локального админа на компьютерах в конкретном OU. Создайте в домене новую группу безопасности с помощью PowerShell и добавьте в нее учетные записи сотрудников техподдержки:

New-ADGroup «mskWKSAdmins» -path ‘OU=Groups,OU=Moscow,DC=winitpro,DC=ru’ -GroupScope Global –PassThru

Add-AdGroupMember -Identity mskWKSAdmins -Members user1, user2, user3

Откройте консоль редактирования доменных групповых политик (GPMC.msc), cоздайте новую политику AddLocaAdmins и назначьте ее на OU с компьютерами (в моем примере это ‘OU=Computers,OU=Moscow,dc=winitpro,DC=ru’).

В групповых политиках AD есть два метода управления локальными группами на компьютерах домена. Рассмотрим их по-очереди:

Ограниченные группы (Restricted Groups)
Управление локальным группами через предпочтения групповых политик (Group Policy Preferences)

Добавление пользователей в локальную группу администраторов через Group Policy Preferences

Предпочтения групповых политик (Group Policy Preferences, GPP) предоставляют наиболее гибкий и удобный способ предоставления прав локальных администраторов на компьютерах домена через GPO.

Откройте созданную ранее политику AddLocaAdmins в режиме редактирования;
Перейдите в секцию GPO: Computer Configuration –> Preferences –> Control Panel Settings –> Local Users and Groups;
Щелкните ПКМ по правому окну и добавите новое правило (New ->Local Group);
В поле Action выберите Update (это важная опция!);
В выпадающем списке Group Name выберите Administrators (Built-in). Даже если эта группа была переименована на компьютере, настройки будут применены к группе локальных администраторов по ее S >Если вы хотите удалить из текущей локальной группы на компьютере пользователей и группы, добавленных вручную, отметьте опции “Delete all member users” и “Delete all member groups”. В большинстве случае это целесообразно, т.к. вы гарантируете, что на всех компьютерах права администратора будут только у назначенной доменной группы. Теперь если на компьютере вручную добавить пользователя в группу администраторов, при следующем применении политики он будет автоматически удален.

Вы можете настроить дополнительные (гранулярные) условия нацеливания данной политики на конкретные компьютеры с помощью WMI фильтров GPO или Item-level Targeting. Во втором случае перейдите на вкладку Common и отметьте опцию Item-level targeting. Нажмите на кнопку Targeting. Здесь вы можете указать условия, когда данная политика будет применяться. Например, я хочу, чтобы политика добавления группф администраторов применялась только к компьютерам с Windows 10, чьи NetBIOS/DNS имена не содержат adm . Вы можете использовать свои условия фильтрации.

Не рекомендуется добавлять в этой политики индивидуальные аккаунты пользователей, лучше использовать доменные группы безопасности. В этом случае, чтобы предоставить права администраторов очередному сотруднику тех. поддержки, вам достаточно добавить его в доменную группу (не придется редактировать GPO),

Достаточно администрирования

Just Enough Administration (JEA) – технология предоставления доступа к командлетам PowerShell. Работает на операционных системах вплоть до Windows 7 при установке Windows Management Framework 5.1 (правда, в самых старых операционных системах поддержка ограничена). Работа производится через так называемые «виртуальные аккаунты» и специально подготовленные файлы конфигурации. Примером использования JEA является выдача ограниченных прав на управление определенными виртуальными машинами – например, для ваших разработчиков.

Подробнее про JEA можно почитать в официальной документации, поэтому разберем конкретный пример предоставления возможности перезапуска виртуальной машины.

Сначала нам нужно разрешить удаленное подключение к серверу с помощью командлета Enable-PSRemoting, а заодно убедимся, что у нас Windows Management Framework нужной версии при помощи командлета $PSVersionTable.PSVersion.

Проверка версии и разрешение удаленных подключений при помощи PS.

Создадим группу безопасности и специального пользователя:

Теперь создадим нужные для работы конфигурационные файлы и папки. Сначала общие:

А затем создадим конкретный файл конфигурации для нашего оператора виртуальной машины с именем win. Для примера разрешим запуск и остановку виртуальной машины:

Теперь необходимо подготовить файл сессии PowerShell:

Зарегистрируем файл сессии:

Теперь все готово для проверки. Попробуем подключиться к серверу с учетными данными созданного пользователя командлетом:

Проверим список доступных команд командой get-command и попробуем остановить нашу виртуальную машину win, а затем другую машину win2.

Доступ к серверу ограничен управлением одной виртуальной машиной.

Для облегчения создания файлов конфигурации сообществом была создана утилита под названием JEA Toolkit Helper, где графический интерфейс поможет создать файлы с необходимыми параметрами.

Интерфейс JEA Toolkit Helper.

При необходимости есть возможность через групповые политики включить аудит выполнения модулей по адресу Конфигурация компьютера – Административные шаблоны – Windows Powershell – Включить ведение журнала модулей. Тогда в журнале Windows будут отображаться записи о том что, где и когда.

Журнал выполнения PowerShell.

Альтернативой будет включение записи в файл. Также через групповые политики настраивается параметр «Включить транскрипции PowerShell». Путь можно задать как в самой политике (и тогда запись туда будет вестись для всех модулей), так и в файле конфигурации сессии JEA в параметре TranscriptDirectory.

Файловый журнал JEA.

С помощью делегирования, назначения прав и JEA можно добиться отказа от использования учетных записей с администраторскими правами в повседневной работе. В конце-концов, к UAC в Windows ведь тоже привыкли и не отключаем просто потому, что «заткнись, я и так знаю что мне делать со своими файлами!».

Локальный Администратор Пароль Решение

Обновление за май 2023 года:

Теперь вы можете предотвратить проблемы с ПК с помощью этого инструмента, например, защитить вас от потери файлов и вредоносных программ. Кроме того, это отличный способ оптимизировать ваш компьютер для достижения максимальной производительности. Программа с легкостью исправляет типичные ошибки, которые могут возникнуть в системах Windows — нет необходимости часами искать и устранять неполадки, если у вас под рукой есть идеальное решение:

Шаг 1: (Windows 10, 8, 7, XP, Vista — Microsoft Gold Certified).
Шаг 2: Нажмите «Начать сканирование”, Чтобы найти проблемы реестра Windows, которые могут вызывать проблемы с ПК.
Шаг 3: Нажмите «Починить все», Чтобы исправить все проблемы.

Это решение автоматически управляет паролем локального администратора на компьютерах домена, поэтому пароль:

Уникальный на любом управляемом компьютере
Случайно сгенерированный
Надежно хранится в инфраструктуре AD.

Особенности включают в себя:

Безопасность:

Защита паролем при транспортировке с помощью шифрования Kerberos
Пароль защищен в AD с помощью AD ACL
Эффективно уменьшить пассивную атаку

Управляемость:

Конфигурируемые настройки пароля: возраст, сложность, длина
Возможность принудительного сброса пароля
Интегрированная модель безопасности с AD LCD
Интерфейс конечного пользователя может быть любым инструментом управления AD,
PowerShell и Fat Client предоставляются
Защита от удаления учетных записей компьютеров
Простота внедрения и минимальное необходимое пространство

Расширяемость:

Дополнительное шифрование пароля хранится в AD
История паролей
Веб-интерфейс.

Администраторы домена, использующие это решение, могут указать, каким пользователям, например администраторам службы поддержки, разрешено читать пароли.

Связанные видео

Сообщение Просмотров: 406

Личные IT заметки

Безопасность локальных учетных записей Администратора, на компьютерах в домене, всегда очень важный вопрос. Для регулировки доступа к этой учетной записи, ранее, использовалась групповая политика, которая позволяла управлять локальными учетными записями пользователей вплоть до изменения на них паролей. Но в мае 2014 года Microsoft выпустила обновление, которое отключает функционал смены паролей. Т.к. этот функционал признан уязвимым. Сейчас существует множество вариантов «на коленке», в т.ч. с использованием IIS, скриптов и т д. Однако существует прекрасная утилита, которая позволяет раз и навсегда решить этот вопрос и управлять паролями не только централизованно, но и всевозможно ограничивать доступ к просмотру информации. Встречайте: LAPS !

Скачиваем LAPS с официального источника на этой странице: https://www.microsoft.com/en-us/download/details.aspx?id=46899 Или на странице самого продукта: https://code.msdn.microsoft.com/windowsapps/Solution-for-management-of-ae44e789 На странице можно найти различные ответы на вопросы (на англ.), а также скачать исходники и свежую версию инсталлера.

Функционал программы чрезвычайно прост и основан на технологии Group Policy Client Side Extension (CSE) и заключается в генерации и установки уникального пароля локального администратора (SID — 500) на каждом компьютере домена. Пароль меняется автоматически по заданному временному интервалу. Значение текущего пароля хранится в конфиденциальном атрибуте учетных записей компьютеров в AD, доступ на просмотр содержимого атрибута регулируется группами безопасности AD.

В скаченном дистрибутиве имеется 2 установочных файла msi для 32 и 64-битных систем.

Важно учесть, если вы сомневаетесь в своих действиях — лучше опробовать LAPS в аналогичной тестовой среде. Т.к

при исполнении командлетов производится изменение схемы работы AD, пусть и незначительные.

Важно! По воле случая, работа скриптов тестировалась на 2 системах различной битности. Windows 10; Windows 8 В данном случаем — Windows 10 — по непонятным на то причинам — отказалась работать с модулем AdmPwd.PS в PowerShell Поэтому рекомендуется устанавливать на систему Windows 8 Или Windows 7 или-же использовать серверную платформу

2008-2012-2012R2

При запуске инсталлятора доступны 5 компонентов:

Fat client UI — Утилита для просмотра пароля
PowerShell module — модуль Powershell для управления LAPS
GPO Editor templates — административные шаблоны, для редактора групповой политики

Настройка групповой политики для LAPS

Теперь необходимо добавить в эту политику возможность установки клиента LAPS на клиентские компьютеры. Используем для этого средства Установки программ через GPO. Размещаем msi клиент в общедоступной папке (например в SYSVOL) и переходим в Конфигурация компьютера -> Политики -> Конфигурация программ ->Установка программ. Создаем пакет установки и указываем путь к нашему msi.

Теперь наш пакет будет установлен при перезагрузке компьютеров, находящихся в OU=Computers и наша политика будет применена. Работу политики можно увидеть несколькими способами. На клиентской машине, в журнале событий Приложенеий — создается запись при смене папроля (Event ID: 12, Source: AdmPwd) и при сохранении пароля в атрибуте (Event ID:13, Source: AdmPwd). В атрибутах компьютера можно наблюдать пароль и штамп даты в открытом виде:

Утилита LAPS UI

Запустив данную утилиту с правами Администратора домена (только эта группа по нашим правилам имеет просматривать атрибуты с открытым паролем) — нам достаточно ввести имя компьютера и нажать Search, чтобы увидеть установленный пароль и дату его истечения.

На этом всё. С помощью этого удобного и полезного инструмента — управление локальными паролями на компьютерах в домене, становится комфортным и практичным! Успехов!

Источник

Требования

Поддерживаемые регионы Azure и дистрибутивы Windows

Эта функция сейчас доступна в следующих облаках Azure.

Azure (глобальный)
Azure для государственных организаций
Azure China 21Vianet

Обновления операционной системы

Эта функция теперь доступна на следующих платформах ОС Windows с указанным обновлением или более поздней версией:

Windows 11 22H2 — обновление от 11 апреля 2023 г.
Windows 11 21H2 — обновление от 11 апреля 2023 г.
Windows 10 20H2, 21H2 и 22H2 — обновление от 11 апреля 2023 г.
Windows Server 2022 — обновление от 11 апреля 2023 г.
Windows Server 2019 — обновление от 11 апреля 2023 г.

Типы соединений

LAPS поддерживается только на устройствах, присоединенных к Azure AD или гибридных Azure AD. Azure AD зарегистрированные устройства не поддерживаются.

Требования лицензий

LAPS доступен всем клиентам с Azure AD Free или более высокими лицензиями. Другие связанные функции, такие как административные единицы, пользовательские роли, условный доступ и Intune имеют другие требования к лицензированию.

Необходимые роли или разрешения

Помимо встроенных Azure AD ролей администратора облачных устройств, администратора Intune и глобального администратора, которым предоставлено устройство. LocalCredentials.Read.All можно использовать Azure AD пользовательских ролей или административных единиц для авторизации восстановления паролей локального администратора. Например,

Пользовательским ролям должно быть назначено разрешение microsoft.directory/deviceLocalCredentials/password/read для авторизации восстановления паролей локального администратора. В предварительной версии необходимо создать настраиваемую роль и предоставить разрешения с помощью или . После создания настраиваемой роли ее можно назначить пользователям.
Вы также можете создать Azure AD административную единицу, добавить устройства и назначить ей роль администратора облачных устройств, чтобы авторизовать восстановление паролей локального администратора.