Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit der Lokalen Administratorkennwortlösung (Windows LAPS) können Sie Richtlinieneinstellungen konfigurieren, um lokale Administratorkennwörter sicher und automatisch zu verwalten. In diesem Artikel werden die einzelnen Richtlinieneinstellungen und deren Verwaltung für verbesserte Sicherheit und Compliance erläutert.
Unterstützte Stammschlüssel von Richtlinien
Wenngleich nicht empfohlen, können Sie ein Gerät mithilfe mehrerer Richtlinienverwaltungsmechanismen verwalten. Um dieses Szenario auf verständliche und vorhersagbare Weise zu unterstützen, wird jedem Windows LAPS-Richtlinienmechanismus ein eigener Stammregistrierungsschlüssel zugewiesen:
| Richtlinienname | Stammregistrierungsschlüssel für die Richtlinie |
|---|---|
| LAPS CSP | HKLM\Software\Microsoft\Policies\LAPS |
| LAPS-Gruppenrichtlinie | HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\LAPS |
| Lokale LAPS-Konfiguration | HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\Config |
| Legacy-Microsoft LAPS | HKLM\Software\Policies\Microsoft Services\AdmPwd |
Windows LAPS fragt alle bekannten Stammregistrierungsschlüssel für die Richtlinie von oben nach unten ab. Wenn keine Einstellungen unter einem Stammschlüssel gefunden werden, wird dieser Stammschlüssel übersprungen und die Abfrage mit dem nächsten Stammschlüssel fortgesetzt. Wenn ein Stammschlüssel mit mindestens einer explizit definierten Einstellung gefunden wird, wird dieser Stammschlüssel als aktive Richtlinie verwendet. Wenn für den ausgewählten Stammschlüssel keine Einstellungen vorhanden sind, werden den Einstellungen ihre Standardwerte zugewiesen.
Richtlinieneinstellungen werden nie freigegeben oder über Stammschlüssel hinweg vererbt.
Tip
Der Schlüssel „Lokale LAPS-Konfiguration“ ist aus Gründen der Vollständigkeit in der vorherigen Tabelle enthalten. Sie können diesen Schlüssel bei Bedarf verwenden, aber der Schlüssel ist in erster Linie für Tests und Entwicklung gedacht. Auf diesen Schlüssel zielen keine Verwaltungstools oder Richtlinienmechanismen ab.
Von BackupDirectory unterstützte Richtlinieneinstellungen
Windows LAPS unterstützt mehrere Richtlinieneinstellungen, die Sie über verschiedene Richtlinienverwaltungslösungen oder sogar direkt über die Registrierung verwalten können. Einige dieser Einstellungen gelten nur bei der Sicherung von Kennwörtern in Active Directory, und einige Einstellungen gelten sowohl für active Directory- als auch für Microsoft Entra-Szenarien.
In der folgenden Tabelle wird angegeben, welche Einstellungen für Geräte gelten, die die angegebene BackupDirectory-Einstellung aufweisen:
| Einstellungsname | Anwendbar, wenn BackupDirectory=Microsoft Entra ID? | Gilt bei BackupDirectory=AD? |
|---|---|---|
| AdministratorAccountName | Yes | Yes |
| PasswordAgeDays | Yes | Yes |
| PasswordLength | Yes | Yes |
| PassphraseLength | Yes | Yes |
| PasswordComplexity | Yes | Yes |
| PostAuthenticationResetDelay | Yes | Yes |
| PostAuthenticationActions | Yes | Yes |
| ADPasswordEncryptionEnabled | No | Yes |
| ADPasswordEncryptionPrincipal | No | Yes |
| ADEncryptedPasswordHistorySize | No | Yes |
| ADBackupDSRMPassword | No | Yes |
| PasswordExpirationProtectionEnabled | No | Yes |
| AutomaticAccountManagementEnabled | Yes | Yes |
| AutomaticAccountManagementTarget | Yes | Yes |
| AutomaticAccountManagementNameOrPrefix | Yes | Yes |
| AutomaticAccountManagementEnableAccount | Yes | Yes |
| AutomaticAccountManagementRandomizeName | Yes | Yes |
Wenn BackupDirectory auf „Deaktiviert“ festgelegt ist, werden alle anderen Einstellungen ignoriert.
Sie können nahezu alle Einstellungen mithilfe eines beliebigen Richtlinienverwaltungsmechanismus verwalten. Der Windows LAPS-Konfigurationsdienstanbieter (CSP) weist zwei Ausnahmen von dieser Regel auf. Der Windows LAPS CSP unterstützt zwei Einstellungen, die nicht in der vorherigen Tabelle enthalten sind: ResetPassword und ResetPasswordStatus. Außerdem unterstützt der Windows die ADBackupDSRMPassword-Einstellung nicht (Domänencontroller werden nie über einen CSP verwaltet). Weitere Informationen finden Sie in der Dokumentation zum LAPS CSP.
Windows LAPS-Gruppenrichtlinie
Windows LAPS enthält ein neues Gruppenrichtlinienobjekt, mit dem Sie Richtlinieneinstellungen für in eine Active Directory-Domäne eingebundene Geräte verwalten können. Um auf die Windows LAPS-Gruppenrichtlinie zuzugreifen, wechseln Sie im Gruppenrichtlinienverwaltungs-Editor zuComputerkonfigurationsverwaltungssystem>>>LAPS. Die folgende Abbildung zeigt ein Beispiel:
Die Vorlage für dieses neue Gruppenrichtlinienobjekt wird als Teil von Windows unter %windir%\PolicyDefinitions\LAPS.admx installiert.
Zentraler Speicher für Gruppenrichtlinienobjekte
Important
Die Windows LAPS-GPO-Vorlagendateien werden im Rahmen eines Windows Update-Patchingvorgangs nicht automatisch in den zentralen GPO-Speicher kopiert, vorausgesetzt, Sie haben diesen Ansatz implementiert. Stattdessen müssen Sie die LAPS.admx manuell an den zentralen Speicherort des Gruppenrichtlinienobjekts kopieren. Siehe "Erstellen und Verwalten des zentralen Speichers".
Windows LAPS CSP
Windows LAPS enthält einen bestimmten CSP, mit dem Sie Richtlinieneinstellungen auf in Microsoft Entra eingebundenen Geräten verwalten können. Sie verwalten den Windows LAPS CSP mithilfe von Microsoft Intune.
Anwenden von Richtlinieneinstellungen
In den folgenden Abschnitten wird beschrieben, wie Sie verschiedene Richtlinieneinstellungen für Windows LAPS verwenden und anwenden.
BackupDirectory
Mit dieser Einstellung legen Sie fest, in welchem Verzeichnis das Kennwort für das verwaltete Konto gesichert werden soll.
| Value | Beschreibung der Einstellung |
|---|---|
| 0 | Deaktiviert (Das Kennwort wird nicht gesichert.) |
| 1 | Sichern des Kennworts nur bei Microsoft Entra |
| 2 | Das Kennwort wird nur in Windows Server Active Directory gesichert |
Wenn nicht angegeben, wird diese Einstellung standardmäßig auf 0 (deaktiviert) festgelegt.
AdministratorAccountName
Mit dieser Einstellung können Sie den Namen des verwalteten lokalen Administratorkontos konfigurieren.
Falls nicht angegeben, wird standardmäßig das integrierte lokale Administratorkonto verwaltet.
Important
Geben Sie diese Einstellung nur an, wenn Sie ein anderes Konto als das integrierte lokale Administratorkonto verwalten möchten. Das lokale Administratorkonto wird automatisch anhand seines bekannten relativen Bezeichners (RID) identifiziert.
Important
Sie können das angegebene Konto (integriert oder benutzerdefiniert) als aktiviert oder deaktiviert konfigurieren. Windows LAPS verwaltet das Kennwort dieses Kontos in beiden Status. Wenn das Konto jedoch in einem deaktivierten Zustand verbleibt, muss das Konto zuerst aktiviert werden, um verwendet werden zu können.
Important
Wenn Sie Windows LAPS zum Verwalten eines benutzerdefinierten lokalen Administratorkontos konfigurieren, müssen Sie sicherstellen, dass das Konto erstellt wird. Windows LAPS erstellt das Konto nicht.
Important
Diese Einstellung wird ignoriert, wenn AutomaticAccountManagementEnabled aktiviert ist.
PasswordAgeDays
Diese Einstellung steuert das maximale Kennwortalter des verwalteten lokalen Administratorkontos. Diese Werte werden unterstützt:
- Minimum: Ein Tag (Wenn das Sicherungsverzeichnis als Microsoft Entra-ID konfiguriert ist, beträgt das Minimum sieben Tage.)
- Maximal: 365 Tage
Falls nicht angegeben, ist diese Einstellung standardmäßig auf 30 Tage festgelegt.
Important
Änderungen an der PasswordAgeDays-Richtlinieneinstellung haben keine Auswirkungen auf die Ablaufzeit des aktuellen Kennworts. Ebenso führen Änderungen an der PasswordAgeDays Richtlinieneinstellung nicht dazu, dass das verwaltete Gerät eine Kennwortrotation initiiert.
PasswordLength
Mit dieser Einstellung können Sie die Länge des Kennworts für das verwaltete lokale Administratorkonto konfigurieren. Diese Werte werden unterstützt:
- Minimum: 8 Zeichen
- Maximum: 64 Zeichen
Falls nicht angegeben, ist diese Einstellung standardmäßig auf 14 Zeichen festgelegt.
Important
Konfigurieren PasswordLength Sie keinen Wert, der nicht mit der lokalen Kennwortrichtlinie des verwalteten Geräts kompatibel ist. Dies führt dazu, dass Windows LAPS kein neues kompatibles Kennwort erstellt. (Suchen Sie im Windows LAP-Ereignisprotokoll nach einem 10027-Ereignis.)
Die Einstellung PasswordLength wird ignoriert, es sei denn, PasswordComplexity ist für eine der Kennwortoptionen konfiguriert.
PassphraseLength
Mit dieser Einstellung können Sie die Länge des Kennworts für das verwaltete lokale Administratorkonto konfigurieren. Diese Werte werden unterstützt:
- Minimum: 3 Wörter
- Maximum: 10 Wörter
Falls nicht angegeben, ist diese Einstellung standardmäßig auf 6 festgelegt.
Die Einstellung PassphraseLength wird ignoriert, es sei denn, PasswordComplexity ist für eine der Passphrase-Optionen konfiguriert.
Important
PassphraseLength wird nur in Windows 11 24H2, Windows Server 2025 und höheren Versionen unterstützt.
PasswordComplexity
Mit dieser Einstellung können Sie die erforderliche Kennwortkomplexität für das verwaltete lokale Administratorkonto konfigurieren oder festlegen, dass eine Passphrase erstellt wird.
| Value | Beschreibung der Einstellung |
|---|---|
| 1 | Große Buchstaben |
| 2 | Groß- und Kleinbuchstaben |
| 3 | Groß- und Kleinbuchstaben und Zahlen |
| 4 | Groß- und Kleinbuchstaben und Zahlen und Sonderzeichen |
| 5 | Groß- und Kleinbuchstaben und Zahlen und Sonderzeichen (verbesserte Lesbarkeit) |
| 6 | Passphrase (lange Wörter) |
| 7 | Passphrase (kurze Wörter) |
| 8 | Passphrase (kurze Wörter mit eindeutigen Präfixen) |
Wenn nicht angegeben, wird diese Einstellung standardmäßig auf 4 festgelegt.
Important
Windows unterstützt die Einstellungen für geringere Kennwortkomplexität (1, 2 und 3) nur aus Gründen der Abwärtskompatibilität mit der Legacy-Microsoft LAPS. Wir empfehlen Ihnen, diese Einstellung immer auf 4 (oder einen höheren Wert, falls unterstützt) festzulegen.
Important
Konfigurieren PasswordComplexity Sie keine Einstellung, die nicht mit der lokalen Kennwortrichtlinie des verwalteten Geräts kompatibel ist. Dies führt dazu, dass Windows LAPS kein neues kompatibles Kennwort erstellt. (Suchen Sie im Windows LAPS-Ereignisprotokoll nach einem 10027-Ereignis.)
Important
Die PasswordComplexity-Werte 5 bis 8 werden nur in Windows 11 24H2, Windows Server 2025 und späteren Versionen unterstützt.
PasswordExpirationProtectionEnabled
Mit dieser Einstellung können Sie die Erzwingung des maximalen Kennwortalters für das verwaltete lokale Administratorkonto konfigurieren.
Unterstützte Werte sind entweder 1 (True) oder 0 (False).
Wenn nicht angegeben, wird diese Einstellung standardmäßig auf 1 (True) festgelegt.
Tip
Im älteren Microsoft LAPS-Modus wird diese Einstellung aus Gründen der Abwärtskompatibilität standardmäßig auf "False" festgelegt.
ADPasswordEncryptionEnabled
Über diese Einstellung können Sie die Verschlüsselung von Kennwörtern in Active Directory aktivieren.
Unterstützte Werte sind entweder 1 (True) oder 0 (False).
Important
Zum Aktivieren dieser Einstellung muss Ihre Active Directory-Domäne auf mindestens der Domänenfunktionsebene 2016 oder später ausgeführt werden.
ADPasswordEncryptionPrincipal
Mit dieser Einstellung können Sie den Namen oder Sicherheitsbezeichner (SID) eines Benutzers oder einer Gruppe konfigurieren, der/die das in Active Directory gespeicherte Kennwort entschlüsseln kann.
Diese Einstellung wird ignoriert, wenn das Kennwort derzeit in Azure gespeichert ist.
Wenn diese Einstellung nicht angegeben ist, können nur Mitglieder der Gruppe "Domänenadministratoren" in der Domäne des Geräts das Kennwort entschlüsseln.
Wenn diese Einstellung angegeben ist, kann der angegebene Benutzer oder die angegebene Gruppe das in Active Directory gespeicherte Kennwort entschlüsseln.
Important
Die in dieser Einstellung gespeicherte Zeichenfolge ist entweder eine SID in Zeichenfolgenform oder der vollqualifizierte Name eines Benutzers oder einer Gruppe. Es folgen gültige Beispiele:
S-1-5-21-2127521184-1604012920-1887927527-35197contoso\LAPSAdminslapsadmins@contoso.com
Der vom Gerät identifizierte Prinzipal (entweder nach SID oder nach Benutzer- oder Gruppenname) muss vorhanden sein und vom Gerät aufgelöst werden können.
Die in dieser Einstellung angegebenen Daten werden as-iseingegeben; Fügen Sie z. B. keine Anführungszeichen oder Klammern hinzu.
Diese Einstellung wird ignoriert, es sei denn ADPasswordEncryptionEnabled , sie ist auf "True" konfiguriert, und alle anderen Voraussetzungen sind erfüllt.
Diese Einstellung wird ignoriert, wenn Kennwörter von DSRM-Konten (Directory Services Repair Mode, Reparaturmodus für Verzeichnisdienste) auf einem Domänencontroller gesichert werden. In diesem Szenario ist diese Einstellung standardmäßig stets auf die Gruppe „Domänenadministratoren“ der Domäne des Domänencontrollers festgelegt.
ADEncryptedPasswordHistorySize
Mit dieser Einstellung legen Sie fest, wie viele vorherige verschlüsselte Kennwörter in Active Directory gespeichert werden. Diese Werte werden unterstützt:
- Minimum : 0 Kennwörter
- Maximal: 12 Kennwörter
Falls nicht angegeben, ist diese Einstellung standardmäßig auf 0 Kennwörter (deaktiviert) festgelegt.
Important
Diese Einstellung wird ignoriert, sofern ADPasswordEncryptionEnabled nicht mit True konfiguriert ist und alle anderen Voraussetzungen erfüllt sind.
Diese Einstellung wird auch auf Domänencontrollern wirksam, die ihre DSRM-Kennwörter sichern.
ADBackupDSRMPassword
Mit dieser Einstellung können Sie die Sicherung des Kennworts des DSRM-Kontos auf Windows Server Active Directory-Domänencontrollern aktivieren.
Unterstützte Werte sind entweder 1 (True) oder 0 (False).
Diese Einstellung ist standardmäßig auf 0 (False) festgelegt.
Important
Diese Einstellung wird ignoriert, sofern ADPasswordEncryptionEnabled nicht mit True konfiguriert ist und alle anderen Voraussetzungen erfüllt sind.
PostAuthenticationResetDelay
Verwenden Sie diese Einstellung, um die Zeitspanne (in Stunden) anzugeben, die nach einer Authentifizierung gewartet werden soll, bevor die angegebenen Aktionen nach der Authentifizierung ausgeführt werden (siehe PostAuthenticationActions). Diese Werte werden unterstützt:
- Mindestens : 0 Stunden (durch Festlegen dieses Werts auf 0 werden alle Aktionen nach der Authentifizierung deaktiviert)
- Maximal: 24 Stunden
Falls nicht angegeben, ist diese Einstellung standardmäßig auf 24 Stunden festgelegt.
PostAuthenticationActions
Mit dieser Einstellung legen Sie fest, welche Aktionen nach Ablauf der konfigurierten Toleranzperiode (siehe PostAuthenticationResetDelay) erfolgen sollen.
Diese Einstellung kann einen der folgenden Werte aufweisen:
| Value | Name | Aktionen, die nach Ablauf der Toleranzperiode erfolgen | Comments |
|---|---|---|---|
| 1 | Kennwort zurücksetzen | Das Kennwort des verwalteten Kontos wird zurückgesetzt. | |
| 3 | Kennwort zurücksetzen und abmelden | Das Kennwort für das verwaltete Konto wird zurückgesetzt, interaktive Anmeldesitzungen, die das verwaltete Konto verwenden, werden beendet, und SMB-Sitzungen, die das verwaltete Konto verwenden, werden gelöscht. | Bei interaktiven Anmeldesitzungen wird eine Warnung mit dem Hinweis angezeigt, dass Benutzer*innen zwei Minuten Zeit haben, ihre Arbeit zu speichern und sich abzumelden. (Die Zeit kann nicht konfiguriert werden.) |
| 5 | Kennwort zurücksetzen und neu starten | Das Kennwort des verwalteten Kontos wird zurückgesetzt, und das verwaltete Gerät wird neu gestartet. | Das verwaltete Gerät wird nach einer nicht konfigurierbaren Verzögerung von einer Minute neu gestartet. |
| 11 | Kennwort zurücksetzen und abmelden | Das Kennwort für das verwaltete Konto wird zurückgesetzt, interaktive Anmeldesitzungen, die das verwaltete Konto verwenden, werden beendet, und SMB-Sitzungen, die das verwaltete Konto verwenden, werden gelöscht. Alle weiteren Vorgänge, die unter dem verwalteten Konto ausgeführt werden, werden beendet. | Bei interaktiven Anmeldesitzungen wird eine Warnung mit dem Hinweis angezeigt, dass Benutzer*innen zwei Minuten Zeit haben, ihre Arbeit zu speichern und sich abzumelden. (Die Zeit kann nicht konfiguriert werden.) |
Wenn nicht angegeben, wird diese Einstellung standardmäßig auf 3 festgelegt.
Important
Die zulässigen Aktionen nach Authentifizierung sollen dazu beitragen, die Zeitspanne zu begrenzen, die ein Windows LAPS-Kennwort vor dem Zurücksetzen genutzt werden kann. Das Abmelden vom verwalteten Konto oder Neustarten des Geräts sind Optionen, die sicherstellen, dass die Zeitspanne begrenzt ist. Das abrupte Beenden von Anmeldesitzungen oder Neustarten des Geräts kann zu Datenverlust führen.
Aus Sicherheitsperspektive hat ein böswilliger Benutzer, der sich mit einem gültigen Windows LAPS-Kennwort administrative Berechtigungen auf einem Gerät verschafft, letztlich die Möglichkeit, diese Mechanismen zu vermeiden oder zu umgehen.
Important
PostAuthenticationActions Wert 11 wird nur in Windows 11 24H2, Windows Server 2025 und höheren Versionen unterstützt.
AutomaticAccountManagementEnabled
Verwenden Sie diese Einstellung, um die automatische Kontoverwaltung zu aktivieren.
Unterstützte Werte sind entweder 1 (True) oder 0 (False).
Diese Einstellung ist standardmäßig auf 0 (False) festgelegt.
Important
AutomaticAccountManagementEnabled wird nur in Windows 11 24H2, Windows Server 2025 und höheren Versionen unterstützt.
AutomaticAccountManagementTarget
Verwenden Sie diese Einstellung, um anzugeben, ob das integrierte Administratorkonto oder ein neues benutzerdefiniertes Konto automatisch verwaltet wird.
| Value | Beschreibung der Einstellung |
|---|---|
| 0 | Automatisches Verwalten des integrierten Administratorkontos |
| 1 | Automatisches Verwalten eines neuen benutzerdefinierten Kontos |
Diese Einstellung ist standardmäßig auf 1 festgelegt.
Diese Einstellung wird ignoriert, sofern AutomaticAccountManagementEnabled nicht aktiviert ist.
Important
AutomaticAccountManagementTarget wird nur in Windows 11 24H2, Windows Server 2025 und höheren Versionen unterstützt.
AutomaticAccountManagementNameOrPrefix
Verwenden Sie diese Einstellung, um den Namen oder das Namenspräfix des automatisch verwalteten Kontos anzugeben.
Diese Einstellung ist standardmäßig auf WLapsAdmin festgelegt.
Diese Einstellung wird als Name behandelt, wenn AutomaticAccountManagementRandomizeName0 (False) ist.
Diese Einstellung wird als Namenspräfix behandelt, wenn AutomaticAccountManagementRandomizeName1 (True) ist.
Diese Einstellung wird ignoriert, sofern AutomaticAccountManagementEnabled nicht aktiviert ist.
Important
AutomaticAccountManagementNameOrPrefix wird nur in Windows 11 24H2, Windows Server 2025 und höheren Versionen unterstützt.
AutomaticAccountManagementEnableAccount
Verwenden Sie diese Einstellung, um das automatisch verwaltete Konto zu aktivieren oder zu deaktivieren.
| Value | Beschreibung der Einstellung |
|---|---|
| 0 | Deaktivieren des automatisch verwalteten Kontos |
| 1 | Aktivieren des automatisch verwalteten Kontos |
Diese Einstellung ist standardmäßig auf 0 festgelegt.
Diese Einstellung wird ignoriert, sofern AutomaticAccountManagementEnabled nicht aktiviert ist.
Important
AutomaticAccountManagementEnableAccount wird nur in Windows 11 24H2, Windows Server 2025 und höheren Versionen unterstützt.
AutomaticAccountManagementRandomizeName
Verwenden Sie diese Einstellung, um die Randomisierung des Namens des automatisch verwalteten Kontos zu aktivieren.
Wenn diese Einstellung aktiviert ist, wird der Name des verwalteten Kontos (bestimmt durch die Einstellung AutomaticAccountManagementNameOrPrefix) jedes Mal mit einem zufälligen sechsstelligen Suffix versehen, wenn das Kennwort gedreht wird.
Die Namen lokaler Windows-Konten sind maximal 20 Zeichen lang, darf die Namenskomponente maximal 14 Zeichen lang sein, um Raum für das zufällige Suffix zu lassen. Kontonamen, die von AutomaticAccountManagementNameOrPrefix angegeben werden, die länger als 14 Zeichen sind, werden abgeschnitten.
| Value | Beschreibung der Einstellung |
|---|---|
| 0 | Den Namen des automatisch verwalteten Kontos nicht zufällig festlegen |
| 1 | Name des automatisch verwalteten Kontos randomisieren |
Diese Einstellung ist standardmäßig auf 0 festgelegt.
Diese Einstellung wird ignoriert, sofern AutomaticAccountManagementEnabled nicht aktiviert ist.
Important
AutomaticAccountManagementRandomizeName wird nur in Windows 11 24H2, Windows Server 2025 und höheren Versionen unterstützt.
Windows LAPS-Standardrichtlinienwerte
Alle Windows LAPS-Richtlinieneinstellungen weisen einen Standardwert auf. Der Standardwert wird angewendet, wenn ein Administrator keine bestimmte Einstellung konfiguriert. Der Standardwert wird auch dann angewendet, wenn ein Administrator eine bestimmte Einstellung mit einem nicht unterstützten Wert konfiguriert.
| Einstellungsname | Standardwert |
|---|---|
| BackupDirectory | Disabled |
| AdministratorAccountName | Null\empty |
| PasswordAgeDays | 30 |
| PasswordLength | 14 |
| PassphraseLength | 6 |
| PasswordComplexity | 4 |
| PostAuthenticationResetDelay | 24 |
| PostAuthenticationActions | 3 (Kennwort zurücksetzen und abmelden) |
| ADPasswordEncryptionEnabled | True |
| ADPasswordEncryptionPrincipal | Domänenadministratoren |
| ADEncryptedPasswordHistorySize | 0 |
| ADBackupDSRMPassword | False |
| PasswordExpirationProtectionEnabled | True |
| AutomaticAccountManagementEnabled | False |
| AutomaticAccountManagementTarget | Yes |
| AutomaticAccountManagementNameOrPrefix | Yes |
| AutomaticAccountManagementEnableAccount | False |
| AutomaticAccountManagementRandomizeName | False |
Important
ADPasswordEncryptionPrincipal ist eine Ausnahme von der falsch konfigurierten Einstellungsregel. Diese Einstellung ist standardmäßig nur dann "Domänenadministratoren", wenn die Einstellung nicht konfiguriert ist. Wenn ein ungültiger Benutzer- oder Gruppenname angegeben wird, tritt ein Richtlinienverarbeitungsfehler auf, und das Kennwort des verwalteten Kontos wird nicht gesichert.
Beachten Sie diese Standardwerte beim Konfigurieren neuer Windows LAPS-Features, z. B. passphrasenunterstützung. Wenn Sie eine Richtlinie mit einem PasswordComplexity-Wert von 6 (lange Wortpassphrasen) konfigurieren und diese Richtlinie dann auf ein älteres Betriebssystem anwenden, das diesen Wert nicht unterstützt, verwendet das Zielbetriebssystem den Standardwert 4. Um dieses Ergebnis zu vermeiden, erstellen Sie zwei unterschiedliche Richtlinien: eine für das ältere Betriebssystem und eine für das neuere Betriebssystem.