Windows LAPS 2026: Setup и миграция с Legacy

Скажу честно: управление паролями локальных администраторов — одна из тех тем, что годами портит нервы любому ИТ-отделу. Один и тот же пароль на сотнях машин — это, по сути, лотерея с крайне неприятным выигрышем в виде Pass-the-Hash или горизонтального перемещения злоумышленника по сети. Windows LAPS (Local Administrator Password Solution) решает задачу элегантно: каждое устройство получает свой уникальный, регулярно ротируемый пароль, который безопасно хранится в Active Directory или Microsoft Entra ID.

К 2026 году большинство организаций, с которыми я сталкивался, уже отказались от устаревшего Microsoft LAPS (Legacy LAPS) в пользу встроенного Windows LAPS. И правильно сделали. Если вы всё ещё держитесь за старое решение со своим клиентом и MSI-пакетом — пора мигрировать. В этом руководстве разберём настройку через GPO и Microsoft Intune, миграцию с Legacy LAPS, а заодно пройдёмся по самым частым ошибкам и тому, как их быстро устранять.

Что такое Windows LAPS и чем он отличается от Legacy LAPS

Windows LAPS — это встроенный в ОС компонент, который автоматически:

генерирует случайный пароль для указанного локального администратора;
сохраняет его в защищённый атрибут учётной записи компьютера в Active Directory или Microsoft Entra ID;
периодически ротирует пароль (по умолчанию раз в 30 дней);
может выполнять post-authentication actions — например, сбрасывать пароль или перезагружать машину после входа.

Главные отличия от Legacy-версии собрал в табличку — так нагляднее.

Возможность	Legacy Microsoft LAPS	Windows LAPS
Установка	Отдельный MSI-клиент	Встроен в Windows 10/11/Server 2019+
Хранение паролей	Только Active Directory	AD + Microsoft Entra ID
Шифрование пароля в AD	Нет	Да (требует DFL 2016)
История паролей	Нет	Да
Автоматическое создание учётной записи	Нет	Да (Windows 11 24H2+)
Управление через Intune	Через сторонние скрипты	Нативная поддержка CSP
Журнал событий	Application log	Отдельный канал LAPS/Operational

Microsoft рекомендует мигрировать всех клиентов на Windows LAPS, и это не просто формальный совет. Legacy LAPS не получает обновлений безопасности и не поддерживает шифрование паролей в AD — оставлять его в проде в 2026 году значит сознательно держать в инфраструктуре устаревший компонент.

Требования и подготовка инфраструктуры

Поддерживаемые ОС

Windows 11 (все версии);
Windows 10 22H2 с обновлением апреля 2023 г. или новее;
Windows Server 2019, 2022, 2025;
Windows Server Core (включая Azure Edition).

Active Directory

Для базовой работы достаточно функционального уровня домена 2008. Но (и это важное «но») для шифрования паролей — а именно эту конфигурацию я настоятельно рекомендую — нужен уровень домена Windows Server 2016 или выше. Текущий уровень проверяем так:

Get-ADDomain | Select-Object DomainMode
Get-ADForest | Select-Object ForestMode

Расширение схемы AD

Windows LAPS использует новые атрибуты схемы (msLAPS-Password, msLAPS-EncryptedPassword, msLAPS-PasswordExpirationTime). Расширяем схему один раз, под учёткой Schema Admin:

Import-Module LAPS
Update-LapsADSchema

Дальше — делегируем компьютерам право обновлять собственный пароль в каждой OU, где находятся машины:

Set-LapsADComputerSelfPermission -Identity "OU=Workstations,DC=corp,DC=local"

Microsoft Entra ID

Для гибридных и Entra-joined устройств функцию нужно отдельно включить в портале:

Откройте Microsoft Entra admin center → Identity → Devices → Device settings.
Установите Enable Microsoft Entra Local Administrator Password Solution (LAPS) в положение Yes.
Сохраните настройки.

На этом подготовка заканчивается. Теперь к самому интересному — политикам.

Настройка Windows LAPS через GPO

Если ваши устройства присоединены к классическому AD и управляются через Group Policy, используйте встроенный шаблон. На контроллере домена с актуальными ADMX-файлами откройте Group Policy Management Console и создайте новый GPO для нужной OU.

Путь до политики: Computer Configuration → Policies → Administrative Templates → System → LAPS.

Минимально необходимый набор параметров:

Configure password backup directory — укажите Active Directory (значение 2) или Azure Active Directory only (1) для гибридных сред.
Password Settings — длина 14–20 символов, сложность Large letters + small letters + numbers + specials.
Name of administrator account to manage — оставьте пустым для встроенной учётной записи (RID 500) или укажите имя кастомной.
Password age (days) — рекомендую 30 дней (это, кстати, разумный компромисс между безопасностью и нагрузкой на репликацию AD).
Post-authentication actions — Reset password and logoff the managed account через 8–24 часа после интерактивного входа.

Альтернатива — настройка через реестр. Полезно, когда ADMX по каким-то причинам недоступны или когда хочется быстро отладить конфиг на одной машине:

$path = "HKLM:\Software\Microsoft\Policies\LAPS"
New-Item -Path $path -Force | Out-Null
Set-ItemProperty -Path $path -Name "BackupDirectory" -Value 2 -Type DWord
Set-ItemProperty -Path $path -Name "PasswordAgeDays" -Value 30 -Type DWord
Set-ItemProperty -Path $path -Name "PasswordLength" -Value 16 -Type DWord
Set-ItemProperty -Path $path -Name "PasswordComplexity" -Value 4 -Type DWord
Set-ItemProperty -Path $path -Name "PostAuthenticationActions" -Value 3 -Type DWord
Set-ItemProperty -Path $path -Name "PostAuthenticationResetDelay" -Value 8 -Type DWord

После применения политики вручную дёргаем обработку — не ждать же следующего цикла:

Invoke-LapsPolicyProcessing

Настройка Windows LAPS через Microsoft Intune

Для Intune-управляемых устройств (Entra-joined или Hybrid Entra-joined) используется профиль Account Protection. Тут всё максимально через UI, чему я искренне рад — после нескольких лет ручных CSP-конфигов это глоток свежего воздуха.

Откройте Microsoft Intune admin center → Endpoint security → Account protection.
Нажмите Create Policy, выберите платформу Windows и шаблон Local admin password solution (Windows LAPS).
На шаге Configuration settings заполните параметры:
- Backup Directory: Backup the password to Azure AD only для cloud-only устройств или Backup the password to Active Directory only для hybrid.
- Password Age Days: 30.
- Administrator Account Name: оставьте пустым для дефолтного администратора.
- Password Complexity: Large letters + small letters + numbers + specials.
- Password Length: 16–20.
- Post Authentication Actions: Reset the password and logoff the managed account.
- Post Authentication Reset Delay: 8 часов.
Назначьте политику нужной группе устройств и сохраните.

Automatic Account Management

Начиная с Windows 11 24H2 в Intune появилась опция Automatic Account Management, и это, пожалуй, моя любимая фишка свежего LAPS. При её активации Windows LAPS сам создаёт управляемую локальную учётную запись с заданным именем — ни ручного создания, ни PowerShell-скриптов на этапе подготовки больше не нужно. Просто включите её в настройках профиля и укажите имя нового администратора (например, LAPSAdmin).

Один нюанс: если на устройстве уже существует локальный админ с таким именем (созданный вручную или старым скриптом), политика с автосозданием не применится. Придётся либо удалить старую учётку, либо дождаться переустановки/Autopilot reset. Я на этом сам спотыкался — поэтому на новых билдах всегда выбираю имя, которого точно нет ни в одном Image.

Миграция с Legacy LAPS на Windows LAPS

Стандартный сценарий миграции — четыре шага, и в идеальном мире всё проходит за один уикенд:

Создайте политику Windows LAPS, нацеленную на ту же учётную запись, что управлялась Legacy LAPS. При наличии Windows LAPS легаси-политика автоматически игнорируется.
Отключите старую GPO Legacy LAPS после того, как новая политика успешно применена.
Подтвердите ротацию через журнал событий и атрибуты компьютера в AD.
Удалите MSI-клиент Legacy LAPS через Intune-скрипт или GPO Software Installation:

$msi = Get-WmiObject Win32_Product | Where-Object { $_.Name -like "*Local Administrator Password Solution*" }
if ($msi) { $msi.Uninstall() | Out-Null }

Side-by-side coexistence

Microsoft поддерживает одновременную работу Legacy и Windows LAPS, но только если они управляют разными локальными учётными записями. На практике это означает создание второго локального админа специально для Windows LAPS и постепенный вывод первого. Никогда — буквально никогда — не нацеливайте обе системы на одну и ту же учётку. Это приведёт к непредсказуемой ротации и потере операционного контроля. Видел сам, диагностировать такое потом — то ещё удовольствие.

Legacy emulation mode

Если у вас сложная инфраструктура с большим парком серверов, есть приятная опция — legacy Microsoft LAPS emulation mode: Windows LAPS читает старые ADMX-настройки Legacy и применяет их без необходимости пересоздавать GPO. Достаточно для постепенной миграции серверов, но именно как временная мера. Не нужно делать её постоянным решением.

Получение и просмотр паролей

Из Active Directory

Get-LapsADPassword -Identity "PC-FINANCE-12" -AsPlainText

Для просмотра истории паролей:

Get-LapsADPassword -Identity "PC-FINANCE-12" -IncludeHistory -AsPlainText

Принудительная немедленная ротация (например, после увольнения сотрудника, у которого был доступ):

Reset-LapsPassword -Identity "PC-FINANCE-12"

Из Microsoft Entra ID

В Microsoft Entra admin center → Devices выберите устройство, перейдите на вкладку Local administrator password recovery и нажмите Show local administrator password. Действие требует роли Cloud Device Administrator или Intune Administrator и логируется в Azure Audit Logs — что, на мой взгляд, абсолютно правильное поведение по умолчанию.

Через Microsoft Graph PowerShell:

Connect-MgGraph -Scopes "DeviceLocalCredential.Read.All"
Get-MgDirectoryDeviceLocalCredential -DeviceId <DeviceObjectId> |
    Select-Object -ExpandProperty Credentials

Устранение неполадок Windows LAPS

Все события Windows LAPS пишутся в отдельный канал журнала: Applications and Services Logs → Microsoft → Windows → LAPS → Operational. Каждый цикл обработки политики начинается с Event ID 10003 и заканчивается 10004; 10005 сигнализирует об ошибке. Знание этих трёх ID экономит огромное количество времени при диагностике.

Ключевые Event ID

Event ID	Значение
10003	Начало цикла обработки политики
10004	Цикл успешно завершён
10005	Ошибка обработки
10013	Не найдена управляемая локальная учётная запись
10018	Пароль обновлён в каталоге
10021	Пароль успешно сохранён в AD
10023	Обнаружена политика Legacy LAPS
10024	Политика отключена
10055	Проблема репликации AD

Проблема 1: «LAPS failed to find the configured local admin account» (10013)

Windows LAPS не нашёл указанный локальный аккаунт. Причины обычно одни и те же:

учётная запись попросту не существует на устройстве;
встроенный администратор отключён, а в политике не указано альтернативное имя;
опечатка в параметре Administrator Account Name (да-да, банально, но регулярно).

Решение: сначала проверяем, что вообще есть на клиенте:

Get-LocalUser | Where-Object { $_.Enabled -eq $true }

Создайте управляемую учётку вручную или включите Automatic Account Management (Windows 11 24H2+).

Проблема 2: «LAPS failed to update Active Directory» (0x80070032)

Клиенту не хватает прав на запись атрибутов LAPS в собственный объект компьютера. Восстанавливаем делегирование на нужной OU:

Set-LapsADComputerSelfPermission -Identity "OU=Workstations,DC=corp,DC=local"

Если ошибка не уходит, откройте свойства объекта компьютера в ADUC → Security → Advanced и нажмите Restore defaults. Иногда наследование прав ломается из-за ручных правок ACL — и это самый быстрый способ всё починить.

Проблема 3: Event ID 10024 — «LAPS policy is configured as disabled»

Политика применена, но BackupDirectory установлен в 0 (Disabled). Откройте GPO или CSP и убедитесь, что параметр Configure password backup directory равен 1 (Entra) или 2 (AD).

Проблема 4: Низкий функциональный уровень домена

Шифрование паролей требует DFL 2016. При несоответствии в журнале появится ошибка, и пароль не будет обновляться. Поднимаем уровень:

Set-ADDomainMode -Identity corp.local -DomainMode Windows2016Domain

Проблема 5: Пароль не появляется в Microsoft Entra ID

Сначала проверяем состояние регистрации устройства:

dsregcmd /status

Убедитесь, что:

AzureAdJoined = YES;
устройство не удалено и не отключено в Entra ID;
в Device settings арендатора включён переключатель Windows LAPS;
пользователь, просматривающий пароль, имеет роль Cloud Device Administrator.

Проблема 6: Ошибки репликации (Event ID 10055)

Атрибут пароля изменился, но не реплицировался между DC. Проверяем репликацию:

repadmin /showrepl
repadmin /replsummary

Устраните ошибки репликации и форсируйте синхронизацию: repadmin /syncall /AdeP.

Универсальный диагностический сбор

Команда Get-LapsDiagnostics собирает полный пакет логов, конфигурации и состояния клиента в архив. Это первое, что я прошу прислать, когда коллеги жалуются на «не работает LAPS»:

Get-LapsDiagnostics -OutputFolder C:\Temp\LAPS-Diag

Полученный архив либо прикладывайте к запросам в поддержку, либо разбирайте локально — в нём обычно сразу виден корень проблемы.

Лучшие практики безопасности

Включите шифрование паролей в AD (DFL 2016+) и определите группы дешифрования через параметр Password Encryption Principal.
Используйте post-authentication actions: автоматический сброс пароля после интерактивного входа резко сокращает окно компрометации.
Длина пароля от 16 символов и максимальная сложность — это минимум для современных атак, не предмет для торга.
Включите аудит чтения паролей через GPO Audit Directory Service Access и SACL на атрибут msLAPS-Password.
Ограничьте делегирование чтения: только helpdesk-группы и привилегированные роли должны видеть пароли.
Тестируйте политику на пилотной OU из 5–10 устройств не менее недели перед массовым развёртыванием. Серьёзно — не пропускайте этот шаг.
Резервно копируйте схему AD до её расширения.
Отключите кеширование пароля в Credential Manager через post-authentication action Reset the password, logoff the managed account, and reboot.

Часто задаваемые вопросы

Можно ли использовать Windows LAPS без Active Directory?

Да. Для устройств, присоединённых только к Microsoft Entra ID (Entra-joined), Windows LAPS сохраняет пароли непосредственно в облачный каталог. AD не требуется. Управление осуществляется через Microsoft Intune.

Что произойдёт, если устройство офлайн дольше срока ротации?

Ничего критичного. При следующем подключении к домену или Entra ID клиент инициирует немедленную ротацию пароля и обновит атрибут в каталоге. До этого момента действует последний сохранённый пароль.

Как откатиться с Windows LAPS обратно на Legacy LAPS?

Технически можно, но я бы очень не советовал. Microsoft не выпускает обновлений Legacy LAPS. Если откат всё-таки нужен, отключите политику Windows LAPS, очистите атрибуты msLAPS-* у компьютеров и поставьте старый MSI-клиент. Только учтите: новые атрибуты схемы AD удалить нельзя — расширение схемы необратимо.

Поддерживает ли Windows LAPS управление несколькими локальными учётками одновременно?

Нет. Одна политика управляет ровно одной учётной записью на устройстве. Если нужно ротировать пароли двух разных локальных админов, придётся одного из них перевести на сторонние решения вроде CyberArk, Delinea или других PAM-продуктов.

Безопасно ли хранить пароль в атрибуте AD?

Да — при правильной настройке. Включите шифрование паролей (требует DFL 2016), корректно настройте делегирование доступа на чтение, ограничьте круг учётных записей с правами Read all properties на объекты компьютеров и включите аудит. Без этих мер атрибут msLAPS-Password может быть прочитан любым аутентифицированным пользователем — поведение по умолчанию, увы, такое.

Заключение

Windows LAPS в 2026 году — это де-факто стандарт управления локальными администраторами в Windows-инфраструктуре. Встроенный клиент, нативная интеграция с Intune и Entra ID, шифрование паролей и автоматическое создание учётных записей делают его на голову выше Legacy LAPS. Главное — не откладывать миграцию: Legacy LAPS не получает обновлений безопасности и постепенно превращается в точку риска.

Начните с пилотной группы устройств, проверьте журнал LAPS/Operational, убедитесь в успешной ротации и постепенно расширяйте охват на всю инфраструктуру. И помните: правильная настройка делегирования и аудита так же важна, как и сам факт развёртывания LAPS. Без них вы просто переложили пароли в новое хранилище — но не добавили реальной безопасности.