Freigeben über


Was ist das Windows LAPS?

Windows Kennwortlösung für lokale Administratoren (Windows LAPS) ist ein Windows-Feature, das das Kennwort eines lokalen Administratorkontos auf Ihren in Microsoft Entra eingebundenen oder in Windows Server Active Directory eingebundenen Geräten automatisch verwaltet und sichert. Windows LAPS kann auch genutzt werden, um das Kennwort des DSRM-Kontos (Directory Services Restore Mode, Wiederherstellungsmodus für Verzeichnisdienste) auf Ihren Windows Server Active Directory-Domänencontrollern automatisch zu verwalten und zu sichern. Ein autorisierter Administrator kann das DSRM-Kennwort abrufen und verwenden.

Unterstützte Windows LAPS-Plattformen

Windows LAPS ist auf den folgenden Betriebssystemplattformen verfügbar:

Alle unterstützten Editionen der oben genannten Plattformen einschließlich LTSC-Editionen wurden mit Windows LAPS aktualisiert. Die Einführung des Windows LAPS-Features ändert in keiner Weise die standardmäßigen Microsoft-Produktlebenszyklusrichtlinien.

Windows LAPS und Microsoft Entra ID

Windows LAPS mit Microsoft Entra ID und Microsoft Intune-Support ist ab dem 23. Oktober 2023 jetzt in der allgemeinen Verfügbarkeit. Weitere Informationen finden Sie unter Windows Local Administrator Password Solution mit Microsoft Entra ID jetzt allgemein verfügbar!, and Windows Local Administrator Password Solution in Microsoft Entra ID.

Vorteile von Windows LAPS

Verwenden Sie Windows LAPS, um die Kennwörter lokaler Administratorkonten regelmäßig zu rotieren und zu verwalten und von den folgenden Vorteilen zu profitieren:

  • Schutz vor Pass-the-Hash- und Lateral Traversal-Angriffen
  • Mehr Sicherheit für Remote-Helpdeskszenarien
  • Möglichkeit der Anmeldung und Wiederherstellung von Geräten, auf die sonst nicht zugegriffen werden kann
  • Ein differenziertes Sicherheitsmodell (Zugriffssteuerungslisten und optionale Kennwortverschlüsselung) zum Schützen von in Windows Server Active Directory gespeicherten Kennwörtern
  • Unterstützung des Modells der rollenbasierten Zugriffssteuerung von Entra zum Schützen von in Microsoft Entra ID gespeicherten Kennwörtern

Informative Videos

Die folgenden Videos bieten eine informative Möglichkeit, mehr über die Windows LAPS-Funktion zu erfahren.

Windows Technical Takeoff Präsentation (November 2022):

Windows Tackling Tech Diskussion (August 2023):

Wichtige Windows LAPS-Szenarien

Windows LAPS eignet sich für mehrere wichtige Szenarien:

  • Sichern von Kennwörtern für lokale Administratorkonten auf Microsoft Entra ID (für in Microsoft Entra eingebundene Geräte)

  • Sichern von Kennwörtern lokaler Administratorkonten in Windows Server Active Directory (für in Windows Server Active Directory eingebundene Clients und Server)

  • Sichern von Kennwörtern von DSRM-Konten in Windows Server Active Directory (für in Windows Server Active Directory eingebundene Domänencontroller)

  • Sichern von Kennwörtern lokaler Administratorkonten in Windows Server Active Directory mithilfe von Legacy-Microsoft LAPS

In jedem Szenario können unterschiedliche Richtlinieneinstellungen gelten.

Grundlegendes zu Einschränkungen aufgrund des Einbindungszustands von Geräten

Ob ein Gerät in Microsoft Entra ID oder Windows Server Active Directory eingebunden ist, bestimmt die Nutzung von Windows LAPS.

Geräte, die nur mit Microsoft Entra ID verbunden sind, können Passwörter nur auf Microsoft Entra ID sichern.

Geräte, die ausschließlich in Windows Server Active Directory eingebunden sind, können Kennwörter ausschließlich in Windows Serve Active Directory sichern.

Geräte, die hybrid eingebunden sind (sowohl in Microsoft Entra ID als auch in Windows Server Active Directory) können ihre Kennwörter entweder in Microsoft Entra ID oder Windows Server Active Directory sichern. Sie können Kennwörter nicht in sowohl Microsoft Entra ID als auch Windows Server Active Directory sichern.

Windows LAPS unterstützt keine Microsoft Entra Clients, die mit dem Arbeitsplatz verbunden sind.

Festlegen der Windows LAPS-Richtlinie

Zum Einrichten und Verwalten der Richtlinie für Ihre Windows LAPS-Bereitstellung haben Sie mehrere Optionen:

Verwalten und Überwachen von Windows LAPS

Sie haben auch verschiedene Optionen zum Verwalten und Überwachen von Windows LAPS.

Es folgen Optionen für Windows:

  • Das Windows Server Active Directory-Dialogfeld „Benutzer und -Computer“
  • Ein dedizierter Ereignisprotokollkanal
  • Ein Windows PowerShell Modul, das für Windows LAPS spezifisch ist

Wenn Sie Kennwörter in Microsoft Entra ID sichern, sind Azure-basierte Überwachungs- und Berichterstellungslösungen verfügbar.

Eingestellte Unterstützung von veraltetem Microsoft LAPS-Produkt

Wichtig

HINWEIS: Das ältere Microsoft LAPS-Produkt ist ab Windows 11 23 H2 und höher veraltet. Die Installation des veralteten Microsoft LAPS MSI-Pakets wird in neueren Betriebssystemversionen blockiert, und Microsoft berücksichtigt keine Codeänderungen mehr für das veraltete Microsoft LAPS-Produkt.

Verwenden Sie Windows LAPS, verfügbar unter Windows Server 2019 und höher und auf unterstützten Windows 10- und Windows 11-Clients, um lokale Administratorkonto-Kennwörter zu verwalten.

Microsoft unterstützt weiterhin das veraltete Microsoft LAPS-Produkt auf älteren Versionen von Windows (vor Windows 11 23 H2), auf denen es zuvor unterstützt wurde. Diese Unterstützung endet am normalen Ende des Supports für diese Betriebssysteme.

Vergleich von Windows LAPS und Legacy-Microsoft LAPS

Windows LAPS übernimmt viele Entwurfskonzepte von Legacy-Microsoft LAPS. Wenn Sie mit der Microsoft LAPS-Legacyinstanz vertraut sind, kennen Sie bereits viele Windows LAPS-Features. Ein wichtiger Unterschied besteht darin, dass Windows LAPS eine völlig separate Implementierung ist, die nativ für Windows ist. Windows LAPS fügt auch viele Features hinzu, die in Legacy-Microsoft LAPS nicht verfügbar sind. Sie können mit Windows LAPS Kennwörter in Azure Active Directory sichern, Kennwörter in Windows Server Active Directory verschlüsseln und Ihren Kennwortverlauf speichern.

Wichtig

Windows LAPS erfordert nicht die Installation von Legacy-Microsoft LAPS. Sie können alle Windows LAPS-Features vollständig bereitstellen und nutzen, ohne Legacy-Microsoft LAPS installieren oder darauf verweisen zu müssen. Aber um die Migration einer Bereitstellung von Legacy-Microsoft LAPS zu Windows LAPS zu erleichtern, wird der Legacy-Microsoft LAPS-Emulationsmodus angeboten.

Wichtig

Die Unterstützung für das veraltete Microsoft LAPS-Produkt ist in neueren Microsoft-Betriebssystemversionen eingestellt – siehe Einstellung der Unterstützung für veraltetes Microsoft LAPS-Produkt.

Supporthinweis

Microsoft hat das Legacyprodukt Microsoft LAPS im Kalenderjahr 2016 im Microsoft Download Center veröffentlicht. Windows LAPS wird im Rahmen der Windows-Updates bereitgestellt, die am 11.April 2023 für die unter Windows LAPS und Microsoft Entra ID aufgeführten Plattformen veröffentlicht wurden.

Microsoft und seine Organisation zur Supportbereitstellung bieten unterstützten Support für Microsoft LAPS und Windows LAPS einschließlich der Interoperabilität zwischen den beiden Produkten.

Wichtig

Die Unterstützung für das veraltete Microsoft LAPS-Produkt ist in neueren Microsoft-Betriebssystemversionen eingestellt – siehe Einstellung der Unterstützung für veraltetes Microsoft LAPS-Produkt.

Microsoft empfiehlt Kund*innen dringend, jetzt zu planen, ihre Systeme mit Windows LAPS-Unterstützung von der Verwendung der Microsoft LAPS-Legacyinstanz zum neuen Windows LAPS-Feature zu migrieren. Windows LAPS bietet zahlreiche neue Sicherheitsfeatures und eine verbesserte Produktwartung

Fragen zu Einschränkungen und/oder Interoperabilitätsaspekten zwischen den Kennwortverwaltungstools für lokale Konten von Drittanbietern und Windows LAPS sollten an den Entwickler der Drittanbieteranwendung und nicht an Microsoft gerichtet werden.

Lizenzanforderungen

Das Windows LAPS-Feature selbst ist auf allen unterstützten Windows-Plattformen kostenlos verfügbar.

Sie können Kennwörter in Ihrer lokalen Active Directory-Instanz ohne weitere Lizenzierungsanforderungen sichern.

Sie können Passwörter in Microsoft Entra ID mit einer Microsoft Entra ID Free- oder höheren Lizenz sichern.

Für andere Azure- oder Intune-bezogene Features können andere Lizenzierungsanforderungen gelten.

Übermitteln von Feedback

Sie möchten uns Feedback senden? Sie können dokumentationsspezifische Fragen über die Feedbacklinks am Ende dieser Dokumentationsseiten einreichen.

Sie können Feedback und andere Anfragen auch über die Seite für Windows LAPS-Feedback der technischen Community senden.

Wenn Ihr Feedback speziell mit der LAPS-Funktionalität für Microsoft Entra ID oder Intune zusammenhängt, können Sie Feedback über das Microsoft Entra-Feedbackforum übermitteln.

Wenn Sie nicht sicher sind, wohin Sie Ihr Feedback senden sollen, übermitteln Sie es mithilfe einer der oben genannten Optionen.

Siehe auch

Nächste Schritte