O Windows LAPS evoluiu bastante nas versões mais recentes do Windows, e um dos pontos que mais merecem atenção é o modo de gerenciamento automático de conta. Em vez de apenas girar a senha de uma conta já existente, esse modo permite que o próprio Windows LAPS assuma a configuração da conta local administrada, inclusive criação, nome, estado da conta e outras definições operacionais. Para ambientes que buscam reduzir scripts paralelos e padronizar a conta administrativa local, esse recurso se tornou especialmente interessante no Windows Server 2025 e no Windows 11 24H2.
O primeiro ponto importante é entender a diferença entre os dois modelos. No modo manual, o time de TI define quase tudo sobre a conta-alvo e o Windows LAPS fica responsável basicamente pela senha. Já no modo automático, o próprio recurso passa a controlar não só a senha, mas também aspectos da conta, como conta interna ou personalizada, nome ou prefixo, habilitar ou desabilitar a conta e aleatorização do nome. Essa capacidade existe apenas no Windows 11 24H2, Windows Server 2025 e versões posteriores.
A Figura 1 ilustra a configuração da política do Windows LAPS no Intune.
Nesse ponto, a definição do Backup Directory ajuda a estabelecer para onde a senha será enviada, mas o mais importante, do ponto de vista de arquitetura, é decidir qual será o plano de gerenciamento principal do dispositivo.
Nesse ponto, a definição do Backup Directory ajuda a estabelecer para onde a senha será enviada, mas o mais importante, do ponto de vista de arquitetura, é decidir qual será o plano de gerenciamento principal do dispositivo.
Figura 1 — Exemplo de política do Windows LAPS no Intune.
Na prática, o gerenciamento automático de conta faz mais sentido quando a organização quer diminuir dependência de tarefas paralelas para manter a conta local administrativa em conformidade. Nesse modo, o Windows LAPS pode administrar uma nova conta personalizada ou a conta Administrador interna, definir se ela ficará habilitada, randomizar nome e aplicar proteções adicionais contra alterações indevidas. Em ambientes mais sensíveis, manter a conta desabilitada até o momento de uso pode reduzir a superfície para password spray e outras tentativas de abuso.
Outro ponto importante é evitar mistura de mecanismos de política sem necessidade. Quando existe pelo menos uma configuração do Windows LAPS aplicada via CSP/Intune, as configurações aplicadas por GPO deixam de ser a política ativa naquele dispositivo. Isso não impede coexistência no ambiente, mas exige clareza sobre qual plano está governando cada grupo de máquinas.
A Figura 2 mostra o caminho das configurações do Windows LAPS no Group Policy Management Editor. Em ambientes ingressados no Active Directory, esse ponto continua sendo útil, principalmente quando a estratégia de administração do servidor ainda depende de GPO como plano principal.
Figura 2 — Configurações do Windows LAPS no Group Policy Management Editor.
Ao desenhar essa implantação, alguns cuidados ajudam bastante a evitar retrabalho:
• Escolher um único plano de política por cenário: Se o servidor ou endpoint será gerenciado por Intune/CSP, o ideal é manter esse caminho como fonte principal. Se o ambiente for orientado a Active Directory clássico, a GPO continua sendo uma abordagem válida.
• Separar modo manual de modo automático: No modo manual, a conta personalizada precisa existir antes da aplicação da política. No modo automático, o Windows LAPS assume a configuração da conta administrada.
• Definir o estado operacional da conta: Em ambientes mais restritivos, vale avaliar conta desabilitada por padrão e habilitação apenas quando houver necessidade operacional controlada.
• Padronizar nome, prefixo e convenção: Se houver uso de conta personalizada, padronizar nomenclatura ajuda auditoria, troubleshooting e leitura operacional do ambiente.
Conclusão
O gerenciamento automático de conta do Windows LAPS representa uma evolução importante porque tira da equipe uma parte da complexidade de manter a conta administrativa local bem controlada. No Windows Server 2025 e no Windows 11 24H2, esse recurso passa a fazer muito mais sentido em cenários que querem simplificar a operação, reduzir dependência de scripts e manter um padrão mais consistente entre servidores e estações. Quando a escolha entre Intune e GPO fica clara desde o início, a implantação tende a ser mais previsível e muito mais limpa operacionalmente.