Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Windows-Lösung für lokale Administratorkennwörter (Windows LAPS) ermöglicht es Ihnen, Richtlinieneinstellungen so zu konfigurieren, dass lokale Administratorkennwörter sicher und automatisch verwaltet werden. In diesem Artikel werden die einzelnen Richtlinieneinstellungen und deren Verwaltung für verbesserte Sicherheit und Compliance erläutert.
Unterstützte Stammschlüssel von Richtlinien
Wenngleich nicht empfohlen, können Sie ein Gerät mithilfe mehrerer Richtlinienverwaltungsmechanismen verwalten. Um dieses Szenario verständlich und vorhersehbar zu unterstützen, wird jedem Windows LAPS-Richtlinienmechanismus ein eindeutiger Registrierungsstammschlüssel zugewiesen:
| Richtlinienname | Stammregistrierungsschlüssel für die Richtlinie |
|---|---|
| LAPS CSP | HKLM\Software\Microsoft\Policies\LAPS |
| LAPS-Gruppenrichtlinie | HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\LAPS |
| Lokale LAPS-Konfiguration | HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\Config |
| Legacy Microsoft LAPS | HKLM\Software\Policies\Microsoft Services\AdmPwd |
Windows LAPS fragt alle bekannten Registrierungsschlüsselrichtlinienwurzeln ab, beginnend von oben nach unten. Wenn keine Einstellungen unter einem Stammschlüssel gefunden werden, wird dieser Stammschlüssel übersprungen und die Abfrage mit dem nächsten Stammschlüssel fortgesetzt. Wenn ein Stammschlüssel mit mindestens einer explizit definierten Einstellung gefunden wird, wird dieser Stammschlüssel als aktive Richtlinie verwendet. Wenn für den ausgewählten Stammschlüssel keine Einstellungen vorhanden sind, werden den Einstellungen ihre Standardwerte zugewiesen.
Richtlinieneinstellungen werden nie freigegeben oder über Stammschlüssel hinweg vererbt.
Tip
Der Schlüssel „Lokale LAPS-Konfiguration“ ist aus Gründen der Vollständigkeit in der vorherigen Tabelle enthalten. Sie können diesen Schlüssel bei Bedarf verwenden, aber der Schlüssel ist in erster Linie für Tests und Entwicklung gedacht. Auf diesen Schlüssel zielen keine Verwaltungstools oder Richtlinienmechanismen ab.
Von BackupDirectory unterstützte Richtlinieneinstellungen
Windows LAPS unterstützt mehrere Richtlinieneinstellungen, die Sie über verschiedene Richtlinienverwaltungslösungen oder sogar direkt über die Registrierung verwalten können. Einige dieser Einstellungen gelten nur, wenn Kennwörter auf Active Directory gesichert werden, und einige Einstellungen gelten sowohl für die szenarien Active Directory als auch für Microsoft Entra.
In der folgenden Tabelle wird angegeben, welche Einstellungen für Geräte gelten, die die angegebene BackupDirectory-Einstellung aufweisen:
| Einstellungsname | Anwendbar, wenn BackupDirectory=Microsoft Entra ID? | Gilt bei BackupDirectory=AD? |
|---|---|---|
| AdministratorAccountName | Yes | Yes |
| PasswordAgeDays | Yes | Yes |
| PasswordLength | Yes | Yes |
| PassphraseLength | Yes | Yes |
| PasswordComplexity | Yes | Yes |
| PostAuthenticationResetDelay | Yes | Yes |
| PostAuthenticationActions | Yes | Yes |
| ADPasswordEncryptionEnabled | No | Yes |
| ADPasswordEncryptionPrincipal | No | Yes |
| ADEncryptedPasswordHistorySize | No | Yes |
| ADBackupDSRMPassword | No | Yes |
| PasswordExpirationProtectionEnabled | No | Yes |
| AutomaticAccountManagementEnabled | Yes | Yes |
| AutomaticAccountManagementTarget | Yes | Yes |
| AutomaticAccountManagementNameOrPrefix | Yes | Yes |
| AutomaticAccountManagementEnableAccount | Yes | Yes |
| AutomaticAccountManagementRandomizeName | Yes | Yes |
Wenn BackupDirectory auf „Deaktiviert“ festgelegt ist, werden alle anderen Einstellungen ignoriert.
Sie können nahezu alle Einstellungen mithilfe eines beliebigen Richtlinienverwaltungsmechanismus verwalten. Der Windows LAPS-Konfigurationsdienstanbieter (CSP) hat zwei Ausnahmen von dieser Regel. Der Windows LAPS CSP unterstützt zwei Einstellungen, die sich nicht in der vorherigen Tabelle befinden: ResetPassword und ResetPasswordStatus. Darüber hinaus unterstützt Windows LAPS CSP die Einstellung ADBackupDSRMPassword nicht (Domänencontroller werden nie über CSP verwaltet). Weitere Informationen finden Sie in der Dokumentation zum LAPS CSP.
Windows LAPS-Gruppenrichtlinie
Windows LAPS enthält ein neues Gruppenrichtlinienobjekt, mit dem Sie Richtlinieneinstellungen auf Active Directory in die Domäne eingebundenen Geräten verwalten können. So greifen Sie auf die Windows LAPS-Gruppenrichtlinie im Gruppenrichtlinienverwaltungs-Editor zu, wechseln Sie zu Computerkonfiguration>Richtlinien>Administrative Vorlagen>System>LAPS. Die folgende Abbildung zeigt ein Beispiel:
Die Vorlage für dieses neue Gruppenrichtlinienobjekt wird als Teil Windows unter %windir%\PolicyDefinitions\LAPS.admx installiert.
Zentraler Speicher für Gruppenrichtlinienobjekte
Important
Die Windows LAPS-GPO-Vorlagendateien werden im Rahmen eines Windows Update Patchingvorgangs nicht automatisch in den zentralen GPO-Speicher kopiert, vorausgesetzt, Sie haben diesen Ansatz implementiert. Stattdessen müssen Sie die LAPS.admx manuell an den zentralen Speicherort des Gruppenrichtlinienobjekts kopieren. Siehe "Erstellen und Verwalten des zentralen Speichers".
Windows LAPS CSP
Windows LAPS enthält einen bestimmten CSP, mit dem Sie Richtlinieneinstellungen auf Microsoft Entra verbundenen Geräten verwalten können. Verwalten Sie den Windows LAPS CSP mithilfe von Microsoft Intune.
Anwenden von Richtlinieneinstellungen
In den folgenden Abschnitten wird beschrieben, wie Sie verschiedene Richtlinieneinstellungen für Windows LAPS verwenden und anwenden.
BackupDirectory
Mit dieser Einstellung legen Sie fest, in welchem Verzeichnis das Kennwort für das verwaltete Konto gesichert werden soll.
| Value | Beschreibung der Einstellung |
|---|---|
| 0 | Deaktiviert (Das Kennwort wird nicht gesichert.) |
| 1 | Sichern des Kennworts nur für Microsoft Entra |
| 2 | Sichern des Kennworts nur für Windows Server Active Directory |
Wenn nicht angegeben, wird diese Einstellung standardmäßig auf 0 (deaktiviert) festgelegt.
AdministratorAccountName
Mit dieser Einstellung können Sie den Namen des verwalteten lokalen Administratorkontos konfigurieren.
Falls nicht angegeben, wird standardmäßig das integrierte lokale Administratorkonto verwaltet.
Important
Geben Sie diese Einstellung nur an, wenn Sie ein anderes Konto als das integrierte lokale Administratorkonto verwalten möchten. Das lokale Administratorkonto wird automatisch anhand seines bekannten relativen Bezeichners (RID) identifiziert.
Important
Sie können das angegebene Konto (integriert oder benutzerdefiniert) als aktiviert oder deaktiviert konfigurieren. Windows LAPS verwaltet das Kennwort dieses Kontos in beiden Status. Wenn das Konto jedoch in einem deaktivierten Zustand verbleibt, muss das Konto zuerst aktiviert werden, um verwendet werden zu können.
Important
Wenn Sie Windows LAPS konfigurieren, um ein benutzerdefiniertes lokales Administratorkonto zu verwalten, müssen Sie sicherstellen, dass das Konto erstellt wird. Windows LAPS erstellt das Konto nicht.
Important
Diese Einstellung wird ignoriert, wenn AutomaticAccountManagementEnabled aktiviert ist.
PasswordAgeDays
Diese Einstellung steuert das maximale Kennwortalter des verwalteten lokalen Administratorkontos. Diese Werte werden unterstützt:
- Minimum: Ein Tag (Wenn das Sicherungsverzeichnis so konfiguriert ist, dass es Microsoft Entra ID ist, beträgt das Minimum sieben Tage.)
- Maximal: 365 Tage
Falls nicht angegeben, ist diese Einstellung standardmäßig auf 30 Tage festgelegt.
Important
Änderungen an der PasswordAgeDays-Richtlinieneinstellung haben keine Auswirkungen auf die Ablaufzeit des aktuellen Kennworts. Ebenso führen Änderungen an der PasswordAgeDays Richtlinieneinstellung nicht dazu, dass das verwaltete Gerät eine Kennwortrotation initiiert.
PasswordLength
Mit dieser Einstellung können Sie die Länge des Kennworts für das verwaltete lokale Administratorkonto konfigurieren. Diese Werte werden unterstützt:
- Minimum: 8 Zeichen
- Maximum: 64 Zeichen
Falls nicht angegeben, ist diese Einstellung standardmäßig auf 14 Zeichen festgelegt.
Important
Konfigurieren Sie PasswordLength nicht so, dass es nicht mit der Kennwortrichtlinie des verwalteten Geräts vor Ort kompatibel ist. Dies führt dazu, dass Windows LAPS kein neues kompatibles Kennwort erstellt. (Suchen Sie im Windows LAP-Ereignisprotokoll nach einem 10027-Ereignis.)
Die Einstellung PasswordLength wird ignoriert, es sei denn, PasswordComplexity ist für eine der Kennwortoptionen konfiguriert.
PassphraseLength
Mit dieser Einstellung können Sie die Länge des Kennworts für das verwaltete lokale Administratorkonto konfigurieren. Diese Werte werden unterstützt:
- Minimum: 3 Wörter
- Maximum: 10 Wörter
Falls nicht angegeben, ist diese Einstellung standardmäßig auf 6 festgelegt.
Die Einstellung PassphraseLength wird ignoriert, es sei denn, PasswordComplexity ist für eine der Passphrase-Optionen konfiguriert.
Important
PassphraseLength wird nur in Windows 11 24H2, Windows Server 2025 und höheren Versionen unterstützt.
PasswordComplexity
Mit dieser Einstellung können Sie die erforderliche Kennwortkomplexität für das verwaltete lokale Administratorkonto konfigurieren oder festlegen, dass eine Passphrase erstellt wird.
| Value | Beschreibung der Einstellung |
|---|---|
| 1 | Große Buchstaben |
| 2 | Groß- und Kleinbuchstaben |
| 3 | Groß- und Kleinbuchstaben und Zahlen |
| 4 | Groß- und Kleinbuchstaben und Zahlen und Sonderzeichen |
| 5 | Groß- und Kleinbuchstaben und Zahlen und Sonderzeichen (verbesserte Lesbarkeit) |
| 6 | Passphrase (lange Wörter) |
| 7 | Passphrase (kurze Wörter) |
| 8 | Passphrase (kurze Wörter mit eindeutigen Präfixen) |
Wenn nicht angegeben, wird diese Einstellung standardmäßig auf 4 festgelegt.
Important
Windows unterstützt nur die niedrigeren Kennwortkomplexitätseinstellungen (1, 2 und 3) nur für die Abwärtskompatibilität mit legacy Microsoft LAPS. Wir empfehlen Ihnen, diese Einstellung immer auf 4 (oder einen höheren Wert, falls unterstützt) festzulegen.
Important
Konfigurieren Sie PasswordComplexity nicht auf eine Einstellung, die mit der lokalen Kennwortrichtlinie des verwalteten Geräts nicht kompatibel ist. Dies führt dazu, dass Windows LAPS kein neues kompatibles Kennwort erstellt. (Suchen Sie im Windows LAPS-Ereignisprotokoll nach einem 10027-Ereignis.)
Important
PasswordComplexity Werte 5 bis 8 werden nur in Windows 11 24H2, Windows Server 2025 und höheren Versionen unterstützt.
PasswordExpirationProtectionEnabled
Mit dieser Einstellung können Sie die Erzwingung des maximalen Kennwortalters für das verwaltete lokale Administratorkonto konfigurieren.
Unterstützte Werte sind entweder 1 (True) oder 0 (False).
Wenn nicht angegeben, wird diese Einstellung standardmäßig auf 1 (True) festgelegt.
Tip
Im älteren Microsoft LAPS-Modus wird diese Einstellung standardmäßig auf False aus Gründen der Abwärtskompatibilität festgelegt.
ADPasswordEncryptionEnabled
Verwenden Sie diese Einstellung, um die Verschlüsselung von Kennwörtern in Active Directory zu aktivieren.
Unterstützte Werte sind entweder 1 (True) oder 0 (False).
Important
Zum Aktivieren dieser Einstellung muss Ihre Active Directory Domäne auf Domänenfunktionsebene 2016 oder höher ausgeführt werden.
ADPasswordEncryptionPrincipal
Verwenden Sie diese Einstellung, um den Namen oder die Sicherheits-ID (SID) eines Benutzers oder einer Gruppe zu konfigurieren, der das in Active Directory gespeicherte Kennwort entschlüsseln kann.
Diese Einstellung wird ignoriert, wenn das Kennwort derzeit in Azure gespeichert ist.
Wenn diese Einstellung nicht angegeben ist, können nur Mitglieder der Gruppe "Domänenadministratoren" in der Domäne des Geräts das Kennwort entschlüsseln.
Wenn diese Einstellung angegeben ist, kann der angegebene Benutzer oder die angegebene Gruppe das in Active Directory gespeicherte Kennwort entschlüsseln.
Important
Die in dieser Einstellung gespeicherte Zeichenfolge ist entweder eine SID in Zeichenfolgenform oder der vollqualifizierte Name eines Benutzers oder einer Gruppe. Es folgen gültige Beispiele:
S-1-5-21-2127521184-1604012920-1887927527-35197contoso\LAPSAdminslapsadmins@contoso.com
Der identifizierte Prinzipal (entweder nach SID oder nach Benutzer- oder Gruppenname) muss existieren und vom Gerät aufgelöst werden können.
Die in dieser Einstellung angegebenen Daten werden as-iseingegeben; Fügen Sie z. B. keine Anführungszeichen oder Klammern hinzu.
Wenn ADPasswordEncryptionEnabled auf "True" konfiguriert ist und alle anderen Voraussetzungen erfüllt sind, wird diese Einstellung nicht ignoriert.
Diese Einstellung wird ignoriert, wenn Kennwörter von DSRM-Konten (Directory Services Repair Mode, Reparaturmodus für Verzeichnisdienste) auf einem Domänencontroller gesichert werden. In diesem Szenario ist diese Einstellung standardmäßig stets auf die Gruppe „Domänenadministratoren“ der Domäne des Domänencontrollers festgelegt.
ADEncryptedPasswordHistorySize
Verwenden Sie diese Einstellung, um zu konfigurieren, wie viele frühere verschlüsselte Kennwörter in Active Directory gespeichert werden. Diese Werte werden unterstützt:
- Minimum : 0 Kennwörter
- Maximal: 12 Kennwörter
Falls nicht angegeben, ist diese Einstellung standardmäßig auf 0 Kennwörter (deaktiviert) festgelegt.
Important
Diese Einstellung wird ignoriert, sofern ADPasswordEncryptionEnabled nicht mit True konfiguriert ist und alle anderen Voraussetzungen erfüllt sind.
Diese Einstellung wird auch auf Domänencontrollern wirksam, die ihre DSRM-Kennwörter sichern.
ADBackupDSRMPassword
Verwenden Sie diese Einstellung, um die Sicherung des Kennworts für das DSRM-Konto auf Windows Server Active Directory Domänencontrollern zu aktivieren.
Unterstützte Werte sind entweder 1 (True) oder 0 (False).
Diese Einstellung ist standardmäßig auf 0 (False) festgelegt.
Important
Diese Einstellung wird ignoriert, sofern ADPasswordEncryptionEnabled nicht mit True konfiguriert ist und alle anderen Voraussetzungen erfüllt sind.
PostAuthenticationResetDelay
Verwenden Sie diese Einstellung, um die Zeitspanne (in Stunden) anzugeben, die nach einer Authentifizierung gewartet werden soll, bevor die angegebenen Aktionen nach der Authentifizierung ausgeführt werden (siehe PostAuthenticationActions). Diese Werte werden unterstützt:
- Mindestens : 0 Stunden (durch Festlegen dieses Werts auf 0 werden alle Aktionen nach der Authentifizierung deaktiviert)
- Maximal: 24 Stunden
Falls nicht angegeben, ist diese Einstellung standardmäßig auf 24 Stunden festgelegt.
PostAuthenticationActions
Mit dieser Einstellung legen Sie fest, welche Aktionen nach Ablauf der konfigurierten Toleranzperiode (siehe PostAuthenticationResetDelay) erfolgen sollen.
Diese Einstellung kann einen der folgenden Werte aufweisen:
| Value | Name | Aktionen, die nach Ablauf der Toleranzperiode erfolgen | Comments |
|---|---|---|---|
| 1 | Kennwort zurücksetzen | Das Kennwort des verwalteten Kontos wird zurückgesetzt. | |
| 3 | Kennwort zurücksetzen und abmelden | Das Kennwort für das verwaltete Konto wird zurückgesetzt, interaktive Anmeldesitzungen, die das verwaltete Konto verwenden, werden beendet, und SMB-Sitzungen, die das verwaltete Konto verwenden, werden gelöscht. | Bei interaktiven Anmeldesitzungen wird eine Warnung mit dem Hinweis angezeigt, dass Benutzer*innen zwei Minuten Zeit haben, ihre Arbeit zu speichern und sich abzumelden. (Die Zeit kann nicht konfiguriert werden.) |
| 5 | Kennwort zurücksetzen und neu starten | Das Kennwort des verwalteten Kontos wird zurückgesetzt, und das verwaltete Gerät wird neu gestartet. | Das verwaltete Gerät wird nach einer nicht konfigurierbaren Verzögerung von einer Minute neu gestartet. |
| 11 | Kennwort zurücksetzen und abmelden | Das Kennwort für das verwaltete Konto wird zurückgesetzt, interaktive Anmeldesitzungen, die das verwaltete Konto verwenden, werden beendet, und SMB-Sitzungen, die das verwaltete Konto verwenden, werden gelöscht. Alle weiteren Vorgänge, die unter dem verwalteten Konto ausgeführt werden, werden beendet. | Bei interaktiven Anmeldesitzungen wird eine Warnung mit dem Hinweis angezeigt, dass Benutzer*innen zwei Minuten Zeit haben, ihre Arbeit zu speichern und sich abzumelden. (Die Zeit kann nicht konfiguriert werden.) |
Wenn nicht angegeben, wird diese Einstellung standardmäßig auf 3 festgelegt.
Important
Die zulässigen Aktionen nach der Authentifizierung sollen dazu beitragen, die Zeitspanne zu begrenzen, die ein Windows LAPS-Kennwort verwendet werden kann, bevor es zurückgesetzt wird. Das Abmelden vom verwalteten Konto oder Neustarten des Geräts sind Optionen, die sicherstellen, dass die Zeitspanne begrenzt ist. Das abrupte Beenden von Anmeldesitzungen oder Neustarten des Geräts kann zu Datenverlust führen.
Aus Sicherheitsgründen hat ein böswilliger Benutzer, der mithilfe eines gültigen Windows LAPS-Kennworts Administratorrechte auf einem Gerät erlangt, die ultimative Fähigkeit, diese Mechanismen zu umgehen oder zu vermeiden.
Important
PostAuthenticationActions Wert 11 wird nur in Windows 11 24H2, Windows Server 2025 und höheren Versionen unterstützt.
AutomaticAccountManagementEnabled
Verwenden Sie diese Einstellung, um die automatische Kontoverwaltung zu aktivieren.
Unterstützte Werte sind entweder 1 (True) oder 0 (False).
Diese Einstellung ist standardmäßig auf 0 (False) festgelegt.
Important
AutomaticAccountManagementEnabled wird nur in Windows 11 24H2, Windows Server 2025 und höheren Versionen unterstützt.
AutomaticAccountManagementTarget
Verwenden Sie diese Einstellung, um anzugeben, ob das integrierte Administratorkonto oder ein neues benutzerdefiniertes Konto automatisch verwaltet wird.
| Value | Beschreibung der Einstellung |
|---|---|
| 0 | Automatisches Verwalten des integrierten Administratorkontos |
| 1 | Automatisches Verwalten eines neuen benutzerdefinierten Kontos |
Diese Einstellung ist standardmäßig auf 1 festgelegt.
Diese Einstellung wird ignoriert, sofern AutomaticAccountManagementEnabled nicht aktiviert ist.
Important
AutomaticAccountManagementTarget wird nur in Windows 11 24H2, Windows Server 2025 und höheren Versionen unterstützt.
AutomaticAccountManagementNameOrPrefix
Verwenden Sie diese Einstellung, um den Namen oder das Namenspräfix des automatisch verwalteten Kontos anzugeben.
Diese Einstellung ist standardmäßig auf WLapsAdmin festgelegt.
Diese Einstellung wird als Name behandelt, wenn AutomaticAccountManagementRandomizeName0 (False) ist.
Diese Einstellung wird als Namenspräfix behandelt, wenn AutomaticAccountManagementRandomizeName1 (True) ist.
Diese Einstellung wird ignoriert, sofern AutomaticAccountManagementEnabled nicht aktiviert ist.
Important
AutomaticAccountManagementNameOrPrefix wird nur in Windows 11 24H2, Windows Server 2025 und höheren Versionen unterstützt.
AutomaticAccountManagementEnableAccount
Verwenden Sie diese Einstellung, um das automatisch verwaltete Konto zu aktivieren oder zu deaktivieren.
| Value | Beschreibung der Einstellung |
|---|---|
| 0 | Deaktivieren des automatisch verwalteten Kontos |
| 1 | Aktivieren des automatisch verwalteten Kontos |
Diese Einstellung ist standardmäßig auf 0 festgelegt.
Diese Einstellung wird ignoriert, sofern AutomaticAccountManagementEnabled nicht aktiviert ist.
Important
AutomaticAccountManagementEnableAccount wird nur in Windows 11 24H2, Windows Server 2025 und höheren Versionen unterstützt.
AutomaticAccountManagementRandomizeName
Verwenden Sie diese Einstellung, um die Randomisierung des Namens des automatisch verwalteten Kontos zu aktivieren.
Wenn diese Einstellung aktiviert ist, wird der Name des verwalteten Kontos (bestimmt durch die Einstellung AutomaticAccountManagementNameOrPrefix) jedes Mal mit einem zufälligen sechsstelligen Suffix versehen, wenn das Kennwort gedreht wird.
Windows lokalen Kontonamen eine maximale Länge von 20 Zeichen aufweisen, was bedeutet, dass die Namenskomponente höchstens 14 Zeichen lang sein muss, um ausreichend Platz für das zufällige Suffix zu haben. Kontonamen, die von AutomaticAccountManagementNameOrPrefix angegeben werden, die länger als 14 Zeichen sind, werden abgeschnitten.
| Value | Beschreibung der Einstellung |
|---|---|
| 0 | Den Namen des automatisch verwalteten Kontos nicht zufällig festlegen |
| 1 | Name des automatisch verwalteten Kontos randomisieren |
Diese Einstellung ist standardmäßig auf 0 festgelegt.
Diese Einstellung wird ignoriert, sofern AutomaticAccountManagementEnabled nicht aktiviert ist.
Important
AutomaticAccountManagementRandomizeName wird nur in Windows 11 24H2, Windows Server 2025 und höheren Versionen unterstützt.
Windows LAPS-Standardrichtlinienwerte
Alle Windows LAPS-Richtlinieneinstellungen weisen einen Standardwert auf. Der Standardwert wird angewendet, wenn ein Administrator keine bestimmte Einstellung konfiguriert. Der Standardwert wird auch dann angewendet, wenn ein Administrator eine bestimmte Einstellung mit einem nicht unterstützten Wert konfiguriert.
| Einstellungsname | Standardwert |
|---|---|
| BackupDirectory | Disabled |
| AdministratorAccountName | Null\empty |
| PasswordAgeDays | 30 |
| PasswordLength | 14 |
| PassphraseLength | 6 |
| PasswordComplexity | 4 |
| PostAuthenticationResetDelay | 24 |
| PostAuthenticationActions | 3 (Kennwort zurücksetzen und abmelden) |
| ADPasswordEncryptionEnabled | True |
| ADPasswordEncryptionPrincipal | Domänenadministratoren |
| ADEncryptedPasswordHistorySize | 0 |
| ADBackupDSRMPassword | False |
| PasswordExpirationProtectionEnabled | True |
| AutomaticAccountManagementEnabled | False |
| AutomaticAccountManagementTarget | Yes |
| AutomaticAccountManagementNameOrPrefix | Yes |
| AutomaticAccountManagementEnableAccount | False |
| AutomaticAccountManagementRandomizeName | False |
Important
ADPasswordEncryptionPrincipal ist eine Ausnahme von der falsch konfigurierten Einstellungsregel. Diese Einstellung ist nur standardmäßig auf „Domain-Admins“ gesetzt, wenn die Einstellung nicht konfiguriert ist. Wenn ein ungültiger Benutzer- oder Gruppenname angegeben wird, tritt ein Richtlinienverarbeitungsfehler auf, und das Kennwort des verwalteten Kontos wird nicht gesichert.
Beachten Sie diese Standardwerte beim Konfigurieren neuer Windows LAPS-Features, z. B. Passphrasenunterstützung. Wenn Sie eine Richtlinie mit einem PasswordComplexity-Wert von 6 (lange Wortpassphrasen) konfigurieren und diese Richtlinie dann auf ein älteres Betriebssystem anwenden, das diesen Wert nicht unterstützt, verwendet das Zielbetriebssystem den Standardwert 4. Um dieses Ergebnis zu vermeiden, erstellen Sie zwei unterschiedliche Richtlinien: eine für das ältere Betriebssystem und eine für das neuere Betriebssystem.