Windows 本地管理員密碼解決方案 (Windows Local Administrator Password Solution 簡稱：Windows LAPS) 是一項 Windows 功能，可自動管理和備份已加入 Azure Active Directory 或已加入 Windows Server Active Directory 的設備上的本地管理員賬戶的密碼。還可以使用 Windows LAPS 自動管理和備份 Windows Server Active Directory 域控制器上的目錄服務修復模式 (DSRM) 賬戶密碼。授權管理員可以檢索 DSRM 密碼并使用它。

使用 Windows LAPS 的好處

使用 Windows LAPS 定期輪換和管理本地管理員賬戶密碼并獲得以下好處：

• 防止傳遞哈希和橫向遍歷攻擊
• 提高遠程幫助臺場景的安全性
• 能夠登錄和恢復原本無法訪問的設備
• 用于保護存儲在 Windows Server Active Directory 中的密碼的細粒度安全模型（訪問控制列表和可選密碼加密）
• 支持 Azure 基于角色的訪問控制模型，用于保護存儲在 Azure Active Directory 中的密碼

支持的平臺

Windows LAPS 在桌面 Windows、Windows Server 和 Windows Server Core 上受支持。Windows LAPS 是所有受支持 SKU 上的原生 Windows 功能。安裝該功能不需要額外的步驟。

如前所述，Windows LAPS 目前僅在 Windows 11 Insider Preview Build 25145 及更高版本中可用。目前對 Windows LAPS Azure Active Directory 方案的支持僅限于少數 Windows Insider 用戶。

關鍵的 Windows LAPS 場景

您可以將 Windows LAPS 用于幾個主要方案：

• 將本地管理員賬戶密碼備份到Azure Active Directory（適用于加入 Azure Active Directory 的設備）
• 將本地管理員賬戶密碼備份到 Windows Server Active Directory（適用于已加入 Windows Server Active Directory 的客戶端和服務器）
• 將 DSRM賬戶密碼備份到 Windows Server Active Directory（適用于 Windows Server Active Directory 域控制器）
• 使用舊版 Microsoft LAPS 將本地管理員賬戶密碼備份到 Windows Server Active Directory

在每種情況下，您都可以應用不同的策略設置。

Windows LAPS 不支持加入 Azure Active Directory 工作區的客戶端。

了解設備加入狀態限制

設備是加入 Azure Active Directory 還是 Windows Server Active Directory 決定了您可以如何使用 Windows LAPS。

僅加入Azure Active Directory的設備只能將密碼備份到 Azure Active Directory。

僅加入 Windows Server Active Directory 的設備只能將密碼備份到 Windows Server Active Directory。

混合加入（加入 Azure Active Directory 和 Windows Server Active Directory）的設備可以將其密碼備份到 Azure Active Directory 或 Windows Server Active Directory。您不能同時將密碼備份到 Azure Active Directory 和 Windows Server Active Directory。