Implementación de la solución de contraseña de administrador local (LAPS) en Active Directory – informaticamadridmayor

Solución de contraseña de administrador local (LAPS) es una herramienta gratuita de Microsoft que le permite administrar contraseñas de administradores locales en equipos unidos a un dominio. El agente LAPS se instala en las computadoras del dominio y automáticamente (según un cronograma específico) cambia la contraseña del administrador local a una generada aleatoriamente. Las contraseñas de equipo se almacenan en atributos protegidos de objetos de equipo en Active Directory.

En este artículo, mostraremos cómo instalar y configurar LAPS en un dominio de Active Directory que se ejecuta en un nivel funcional de Windows Server 2016.

Instalación de componentes de administración de LAPS

Primero, debe instalar los componentes de LAPS en la computadora del administrador de Active Directory. Descargar Versión LAPS para tu Windows versión. En nuestro ejemplo, instalaremos LAPS.x64.msi.

Ejecute el archivo LAPS.x64.msi. El instalador de MSI le pedirá que instale los siguientes componentes:

• Extensión de GPO AdmPwd — este es un agente LAPS que debe instalarse en todas las computadoras;
• Interfaz de usuario de cliente pesado — Herramienta GUI para ver la contraseña del administrador local;
• Módulo PowerShell — le permite administrar LAPS usando PowerShell;
• Plantillas del editor de GPO — Plantillas de GPO admx/adml para configurar LAPS.

Ampliación del esquema de Active Directory para LAPS

LAPS utiliza dos nuevos atributos de AD para almacenar sus datos. los ms-Mcs-AdmPwd atributo almacena la contraseña, y el ms-Mcs-AdmPwdExpirationTime El atributo contiene el tiempo de caducidad de la contraseña. Para que estos atributos aparezcan en los equipos de Active Directory, se debe actualizar el esquema.

Abra una consola de PowerShell en la cuenta de administrador, que es miembro del grupo Administrador de esquema. Importe el módulo LAPS de PowerShell:

Import-module AdmPwd.PS

Amplíe su esquema de Active Directory:

Update-AdmPwdADSchema

En este ejemplo, aplicaremos políticas LAPS a una unidad organizativa única con computadoras en AD. Compruebe qué grupos de AD pueden acceder a los atributos LAPS:

Find-AdmPwdExtendedrights -identity

“OU=Computers,OU=Rome,OU=IT,DC=theitbros,DC=loc” | Format-Table

Este comando devolverá una lista de cuentas y grupos que pueden ver las contraseñas de las computadoras en AD.

En nuestro ejemplo, sólo AUTORIDADSISTEMA NT y THEITBROSAdministradores de dominio tener acceso a ExtendedRightHolders.

Si necesita delegar los permisos para ver las contraseñas de las computadoras a otros usuarios, use el comando:

Set-AdmPwdReadPasswordPermission -OrgUnit “OU=Computers,OU=Rome,OU=IT,DC=theitbros,DC=loc” -AllowedPrincipals it_adm_viewer

Luego, debe permitir que las computadoras cambien los valores de sus propios atributos en AD:

Set-AdmPwdComputerSelfPermission -OrgUnit “OU=Computers,OU=Rome,OU=IT,DC= theitbros,DC=loc”

Instalación del agente LAPS en equipos de dominio con GPO

Debe instalar la extensión LAPS en las computadoras del dominio. La forma más sencilla de instalar este paquete es a través de un GPO.

1. Abra el complemento gpmc.msc;
2. Cree un nuevo GPO y asígnelo a la unidad organizativa con computadoras;
3. Copie el archivo de instalación LAPS.x64.msi en el directorio NETLOGON en la computadora del dominio;
4. Vaya a la siguiente sección de GPO Configuracion de Computadora > Políticas > Configuración de programas > Instalación de software;
5. Cree una regla de instalación de paquetes y especifique la ruta al archivo MSI en el recurso compartido NETLOGON;
   
6. Después de reiniciar, la extensión LAPS se instalará en todas las computadoras en esta unidad organizativa.

Puede verificar que LAPS esté instalado en el dispositivo con Windows 10 a través de Agregar o quitar programas.

Configuración de directiva de grupo para LAPS

Puede configurar los ajustes de LAPS en la misma política. Sus parámetros se encuentran en una sección separada del GPO: Configuración del equipo > Políticas > Plantillas administrativas > LAPS. Configure las políticas de la siguiente manera:

• Habilitar la gestión de contraseñas de administrador local: Activado;
• No permita que el tiempo de caducidad de la contraseña sea superior al requerido por la política: Activado;
• Nombre de la cuenta de administrador a administrar: use esta política si usa una cuenta de administrador que no sea el administrador integrado;
• Configuración de contraseña: Habilitado, configure aquí la complejidad, duración y frecuencia del cambio de contraseña.

En la próxima actualización de GPO, LAPS generará una nueva contraseña para el administrador local, la aplicará en la computadora y la guardará en los atributos de AD.

Para ver la contraseña del administrador local en una computadora, use la herramienta de interfaz de usuario de LAPS. Simplemente proporcione un nombre de computadora y haga clic en Búsqueda. La herramienta se conectará a AD y obtendrá la contraseña actual de la computadora.