Em projetos com Windows Server 2025 e Windows 11 24H2, um dos erros mais comuns no Windows LAPS não está na rotação da senha em si, mas na definição do Backup Directory. Quando esse ponto é configurado sem critério, a política até parece correta, mas o resultado prático costuma ser confusão entre Intune, GPO e local de armazenamento da senha.
O Backup Directory é a configuração que define para onde a senha da conta administradora local será enviada. Na prática, a decisão costuma ficar entre Microsoft Entra ID e Windows Server Active Directory. Esse detalhe parece simples, mas ele influencia diretamente a política aplicável, o local de consulta da senha, o modelo de administração e até a forma como a equipe valida se o LAPS realmente entrou em produção.
Quando o gerenciamento é feito pelo Intune, a configuração aparece no perfil do Windows LAPS dentro da política de proteção de conta. É nesse ponto que a definição precisa ser objetiva: o dispositivo vai enviar a senha para o Entra ID ou para o Active Directory? Misturar a expectativa operacional nesse momento costuma gerar troubleshooting desnecessário depois.
Figura 1 — Definição do Backup Directory em uma política do Windows LAPS no Intune.
O ponto mais importante aqui é manter coerência entre origem da política e destino do backup. Se o dispositivo será administrado por Intune, a política baseada em CSP passa a ter precedência sobre outras fontes de configuração do Windows LAPS. Em outras palavras, quando existe configuração ativa via CSP, a expectativa deve ser validar o comportamento a partir desse modelo e não tentar combinar o mesmo dispositivo com uma lógica paralela de GPO para o mesmo conjunto de definições.
Onde a GPO ainda faz sentido
Em ambientes tradicionais ou híbridos com forte dependência de Active Directory, a GPO continua sendo uma opção válida para o Windows LAPS. O caminho administrativo permanece direto e bem conhecido pelas equipes de infraestrutura, especialmente quando o objetivo é manter a senha da conta local protegida e armazenada no diretório local da organização.
A Figura 2 mostra a área de configurações do Windows LAPS na GPO. Esse modelo continua útil quando a autoridade principal da política está no Active Directory. O problema começa quando o mesmo dispositivo recebe configurações concorrentes vindas de CSP e GPO. Nessa situação, o time pode perder tempo investigando uma política que aparentemente está configurada, mas que na prática foi ignorada.
Figura 2 — Configurações do Windows LAPS via Group Policy no Active Directory.
Como evitar conflito e política sem efeito
- Escolher uma autoridade principal por dispositivo. Se o equipamento será gerenciado por Intune, a política de LAPS deve ser pensada nesse contexto. Se o cenário for AD tradicional, a GPO precisa ser tratada como fonte principal.
- Definir o Backup Directory de acordo com o diretório real de destino. Não adianta esperar consulta no Entra ID se a política foi desenhada para Active Directory, e vice-versa.
- Validar o local de recuperação da senha. A confirmação correta não é apenas ver a política aplicada, mas garantir onde a senha foi realmente armazenada e de onde ela será consultada pela equipe.
- Evitar sobreposição desnecessária. Quando o mesmo dispositivo recebe configurações diferentes do mesmo recurso, o ambiente fica mais difícil de operar e de auditar.
Observação importante para versões mais novas
No ciclo mais recente do Windows, o Windows LAPS ganhou recursos adicionais nas versões mais novas do sistema. O modo de gerenciamento automático de conta e o suporte ampliado a passphrases, por exemplo, estão associados ao Windows 11 24H2 e ao Windows Server 2025 em diante. Por isso, em ambientes mistos, vale sempre separar o que é política básica de rotação do que é recurso mais novo disponível apenas nas versões atuais.
Na prática, o desenho mais saudável é simples: um dispositivo, uma origem principal de política, um destino de backup bem definido e uma rotina clara de validação. Quando isso é respeitado, o Windows LAPS fica previsível, auditável e muito mais fácil de sustentar no dia a dia.