从传统 LAPS 迁移到 Windows LAPS

2025-05-20
适用于: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows 11, ✅ Windows 10

Windows 本地管理员密码解决方案（Windows LAPS）可帮助你使用 Microsoft Entra ID 或 Active Directory 安全地管理 Windows 设备上的本地管理员密码。本文介绍如何从旧版 Microsoft LAPS 迁移到 Windows LAPS，以提高安全性和管理。

可以在并行方案中同时使用 Windows LAPS 和旧版 LAPS。若要使并行方案成功，这两个策略必须面向不同的本地帐户。但是，长期目标应该是从旧版 LAPS 迁移到 Windows LAPS。

先决条件

在开始迁移过程之前，请确保已配置 Windows LAPS。有关详细信息，请参阅 Windows LAPS 和 Microsoft Entra ID 入门或 Windows LAPS 和 Windows Server Active Directory 入门。

在现有设备上从旧版 LAPS 迁移到 Windows LAPS 的方案

Microsoft 建议从旧版 LAPS 迁移到 Windows LAPS。本部分介绍在现有设备上完成该迁移的过程。

可以使用两种基本方法。第一种方法是即时转换，而第二种方法使用一段时间的并行共存，然后是最终转换。

即时转换方法

可以使用以下过程从旧 LAPS 迁移到现有设备上的 Windows LAPS：

禁用或删除旧版 LAPS 策略。
创建并应用 Windows LAPS 策略。
监视托管设备以确认成功转换。
删除旧版 LAPS 软件。

前两个步骤应同时（或尽可能接近同时）执行。

配置 Windows LAPS 策略时，最简单的方法是面向以前在旧版 LAPS 策略中面向的同一帐户。如果选择以其他帐户为目标，则需要在应用 Windows LAPS 策略之前创建新帐户。如果不再需要第一个帐户，应将其删除。

Windows LAPS 策略还可以配置其他功能，例如将其备份到 Microsoft Entra ID，或者启用对 Active Directory 密码的加密，这些是旧版 LAPS 所不具备的。

首次应用 Windows LAPS 策略时，受管理设备会立即轮换本地帐户密码。有关详细信息，请参阅如何将 Windows LAPS 策略应用于新的客户端设备。应监视托管设备，以确保转换成功。

转换完成后，最后一步应该是从托管设备中删除旧 LAPS 软件。

暂时性并行共存方法

你可能想要实现从旧 LAPS 到 Windows LAPS 的更渐进的迁移过程。在现有设备上执行此转换的高级步骤如下所示：

使用第二个本地帐户配置托管设备。
创建并应用 Windows LAPS 策略。
监视托管设备，确认 Windows LAPS 策略的成功应用。
禁用或删除旧版 LAPS 策略。
删除旧版 LAPS 软件。
删除额外的帐户。

使用此方法，需要创建第二个本地帐户，因为不支持 Windows LAPS 策略和面向同一帐户的旧 LAPS 策略。

确认 Windows LAPS 正常工作后，可以根据需要将托管设备保留为此状态，然后再执行其余迁移步骤。

监控成功的过渡

将托管设备转换为 Windows LAPS 策略后，可以通过多种方法来监视成功结果：

可以监视托管设备的 Windows LAPS 事件日志通道，以获取成功的密码更新事件（对于 Microsoft Entra ID 或 AD）。集中式事件日志收集解决方案可在此处提供帮助。
在 Active Directory 中存储密码时，可以在受管理设备的 AD 计算机对象上查找新添加或更新的 msLAPS-PasswordExpirationTime 属性。 Get-LapsADPassword PowerShell cmdlet 可用于自动执行此分析。
将密码存储在 Microsoft Entra ID 中时，可以检查 Microsoft Entra ID 或 Intune 管理门户，以验证设备密码是否已更新。 Get-LapsAADPassword PowerShell cmdlet 可用于自动执行此分析。

从托管设备中删除旧 LAPS 软件

从受管理设备中删除旧版 LAPS 软件所需的特定步骤取决于该软件的初始安装方式。

如果使用 MSI 安装程序包安装了旧 LAPS，则可以从添加/删除程序中手动卸载旧 LAPS 软件，或者从设备上以管理员身份运行的命令行运行以下命令：
```
msiexec.exe /q /uninstall {97E2CA7B-B657-4FF7-A6DB-30ECC73E1E28}
```
如果通过手动复制和注册旧 LAPS CSE AdmPwd.dll 文件来安装旧 LAPS，则需要手动注销，然后删除 AdmPwd.dll。在设备上以管理员身份运行的命令行运行以下命令。如果复制到 AdmPwd.dll 其他位置，则需要相应地调整路径。您可以通过检查注册表项HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}中的DllName值来查找文件的位置。
```
regsvr32.exe /s /u AdmPwd.dll
delete C:\windows\system32\AdmPwd.dll
```

后续步骤

配置 Windows LAPS 策略设置

通过