几天前,微软宣布通过本月的周二补丁提供Windows LAPS(本地管理员密码解决方案)。该功能在Windows 10、Windows 11以及服务器上都可用。
不过自其发布以来,微软已经确认了与传统LAPS的互操作性问题。当传统的LAPS(MSI包)在安装了最新的周二补丁更新的机器上时,传统的以及新的Windows LAPs都会中断。通常情况下,会产生一个事件日志ID为10031或10032的信息:"LAPS阻止了一个试图修改当前管理账户密码的外部请求。"
微软还发布了一个解决该错误的方法:
我们已经验证了上述2023年4月11日更新中报告的一个遗留LAPS互操作错误。如果你在一台打了2023年4月11日安全更新的机器上安装传统LAPS GPO CSE,并应用了传统LAPS策略,那么Windows LAPS和传统LAPS都会出现故障。症状包括Windows LAPS事件日志ID为10031和10032,以及遗留LAPS事件ID为6。微软正在对这个问题进行修复。你可以通过以下方式解决这个问题:a)卸载传统LAPS,或者b)删除HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\State注册表键下的所有注册表值。
在其LAPS概述页面上,微软还对被记录的两个问题进行了更详细的描述:
问题 #1:如果在使用 2023 年 4 月 11 日安全更新修补的设备上安装了旧版 LAPS CSE 并且应用了旧版 LAPS 策略,则 Windows LAPS 和旧版 LAPS 都将进入中断状态,这两项功能都不会更新托管帐户的密码。 症状包括 Windows LAPS 事件日志 ID 10031 和 10033,以及旧版 LAPS 事件 ID 6。 Microsoft 正在修复此问题。
上述问题有两种主要解决方法:
a. 卸载旧版 LAPS CSE(结果:Windows LAPS 将接管托管帐户的管理)
b. 禁用旧版 LAPS 仿真模式(结果:旧版 LAPS 将接管托管帐户的管理)
问题 #2:如果将旧版 LAPS 策略应用于使用 2023 年 4 月 11 日更新修补的设备,Windows LAPS 将立即强制执行\遵循旧版 LAPS 策略,这可能会造成中断(例如,如果在 OS 部署工作流期间完成此操作)。 禁用旧版 LAPS 仿真模式也可用于防止这些问题。
你可以在微软的网站上找到关于LAPS和问题的更多细节:
另外,微软的一位高级执行官宣布,这个问题将在每个受影响的操作系统的下一个版本中得到纠正。
来源:微软