В этой статье расскажем, как технология Windows LAPS помогает автоматически управлять паролями локальных администраторов на компьютерах в домене или в среде Microsoft Entra. Разберём, что такое LAPS, как её настроить через Group Policy или Intune, какие есть режимы управления, безопасность, бэкап и восстановление. Полезно для администраторов, стремящихся минимизировать риски, связанные с одинаковыми или статичными паролями.
Что такое Windows LAPS и зачем она нужна
Windows LAPS (Local Administrator Password Solution) — функция Windows, которая автоматически генерирует, управляет и защищает пароли локальной учётной записи администратора.
LAPS позволяет:
— регулярно менять пароли локального администратора на устройствах, присоединённых к Active Directory или Microsoft Entra ID;
— резервировать пароли в AD или Microsoft Entra;
— управлять требованиями к сложности пароля, длине, сроку его жизни;
— восстанавливать пароль при необходимости с правами доступа, которые можно делегировать;
Основные понятия и архитектура
Поддерживаемые среды
— Устройства, присоединённые к Windows Server Active Directory.
— Устройства Microsoft Entra или гибридные устройства, тоже поддерживаются.
— Контроллеры домена: управление паролем учётной записи режима восстановления службы каталогов (DSRM).
Режимы управления учётной записью
— Вручную (Manual mode) — администратор задаёт, какую учётную запись LAPS будет управлять. Если не указана, используется встроенная учётка «Administrator» по её RID.
— Автоматический режим — LAPS может автоматически создавать и управлять заданной учётной записью локально, давать ей имя или префикс, рандомизировать имя, если это указано.
Настройка Windows LAPS
1. Подготовка пула устройств и Active Directory
— Проверь, что схема Active Directory поддерживает атрибуты, требуемые для LAPS, если используешь AD.
— Определи, где хранятся пароли: в AD, в Microsoft Entra или гибридно.
— Определи, какая учётная запись будет управляться: встроенная или пользовательская, имя, статус (включена/отключена).
2. Настройка через групповые политики (GPO)
— Импортируй шаблон административной политики LAPS (.admx/.adml) в каталог административных шаблонов.
— В GPO: Конфигурация компьютера → Административные шаблоны → Система → LAPS → задать параметры политики: имя управляемой учётной записи, сложность пароля, длина, срок жизни, частота смены.
— Параметр, отвечающий за резервирование паролей (BackupDirectory) — настроить, чтобы пароли сохранялись в нужном каталоге AD.
3. Настройка через Intune / Microsoft Entra
— Если устройства управляются Intune, можно использовать CSP-политику Windows LAPS.
— Настройка параметров: включение LAPS, политика сложности, длина пароля, резервное копирование, права на восстановление паролей.
4. Делегирование прав и безопасность доступа
— Делегируй доступ к чтению пароля только тем администраторам или группам, которым это необходимо.
— Используй RBAC (role-based access control) в Microsoft Entra или AD.
— Логи аудита: отслеживай, кто и когда выполнял получение пароля или его сброс.
Типичные сценарии использования
— Административный доступ “break-glass” — когда нужно попасть на машину, к которой нет доступа через домен. LAPS позволяет безопасно получить пароль локального администратора.
— Среды с множеством рабочих станций, где одинаковый пароль администратора — риск утечки, взлома. LAPS устраняет этот риск, так как пароли разные и периодически меняются.
— Контроллеры домена: защита критичных учётных записей, DSRM.
Пошаговая инструкция: развёртывание LAPS в AD через GPO
1. В домене AD убедись, что контроллеры имеют нужные обновления и схема AD обновлена, если нужно.
2. Импортируй шаблоны политики LAPS (LAPS.admx и .adml) на контроллерах, редакторе групповой политики.
3. Создай новый объект GPO и привяжи его к OU(организационной единице), где находятся компьютеры, которые ты хочешь управлять.
4. В GPO в разделе Система → LAPS установить:
— имя управляемой учётной записи администратора (если не встроенная),
— длину пароля, сложность, срок жизни, частоту смены.
5. Настроить резервирование паролей: в GPO включить BackupDirectory to AD.
6. Проверить, что на клиентских компьютерах включена политика, и что они применили её (gpupdate /force).
7. Проверь, что пароль появился в AD-атрибуте компьютера, и что делегированы права чтения/сброса пароля.
Безопасность, нюансы и ограничения
— Убедись, что доступ к атрибутам пароля в AD строго ограничен. Если любой пользователь сможет читать пароль, безопасность сильно упадёт.
— Если устройство не может связаться с AD или Entra — смена пароля может не сработать.
— В версиях до Windows Server 2025 или Windows 11 до определённых обновлений функциональность может быть частично ограничена.
— При управлении учётной записью, отличной от встроенной, надо обеспечить её предварительное создание, иначе LAPS не “создаст” новую учётную запись.
— Управление учётной записью DSRM происходит отдельно и политики автоматического управления не применяются к ней.
Рекомендации
Windows LAPS — важный инструмент, помогающий повысить безопасность среды Windows за счёт автоматизации паролей локальных администраторов.
Рекомендации:
— планируй, какую учётную запись ты будешь управлять: встроенную или пользовательскую;
— задавай строгие параметры сложности и частоты смены паролей;
— обеспечь надёжное резервирование паролей и делегирование доступа к ним;
— используй Intune / Entra ID, если у тебя гибридная среда или множество удалённых устройств;
— тестируй восстановление пароля и контроль доступа перед развёртыванием в продакшн-окружении.
