Solución de contraseña de administrador local (LAPS) es una herramienta gratuita de Microsoft que le permite administrar contraseñas de administradores locales en equipos unidos a un dominio. El agente LAPS se instala en las computadoras del dominio y automáticamente (según un cronograma específico) cambia la contraseña del administrador local a una generada aleatoriamente. Las contraseñas de equipo se almacenan en atributos protegidos de objetos de equipo en Active Directory.
En este artículo, mostraremos cómo instalar y configurar LAPS en un dominio de Active Directory que se ejecuta en un nivel funcional de Windows Server 2016.
Instalación de componentes de administración de LAPS
Primero, debe instalar los componentes de LAPS en la computadora del administrador de Active Directory. Descargar Versión LAPS para tu Windows versión. En nuestro ejemplo, instalaremos LAPS.x64.msi.
Ejecute el archivo LAPS.x64.msi. El instalador de MSI le pedirá que instale los siguientes componentes:
- Extensión de GPO AdmPwd — este es un agente LAPS que debe instalarse en todas las computadoras;
- Interfaz de usuario de cliente pesado — Herramienta GUI para ver la contraseña del administrador local;
- Módulo PowerShell — le permite administrar LAPS usando PowerShell;
- Plantillas del editor de GPO — Plantillas de GPO admx/adml para configurar LAPS.
Ampliación del esquema de Active Directory para LAPS
LAPS utiliza dos nuevos atributos de AD para almacenar sus datos. los ms-Mcs-AdmPwd atributo almacena la contraseña, y el ms-Mcs-AdmPwdExpirationTime El atributo contiene el tiempo de caducidad de la contraseña. Para que estos atributos aparezcan en los equipos de Active Directory, se debe actualizar el esquema.
Abra una consola de PowerShell en la cuenta de administrador, que es miembro del grupo Administrador de esquema. Importe el módulo LAPS de PowerShell:
Import-module AdmPwd.PS
Amplíe su esquema de Active Directory:
Update-AdmPwdADSchema
En este ejemplo, aplicaremos políticas LAPS a una unidad organizativa única con computadoras en AD. Compruebe qué grupos de AD pueden acceder a los atributos LAPS:
Find-AdmPwdExtendedrights -identity “OU=Computers,OU=Rome,OU=IT,DC=theitbros,DC=loc” | Format-Table
Este comando devolverá una lista de cuentas y grupos que pueden ver las contraseñas de las computadoras en AD.
En nuestro ejemplo, sólo AUTORIDADSISTEMA NT y THEITBROSAdministradores de dominio tener acceso a ExtendedRightHolders.
Si necesita delegar los permisos para ver las contraseñas de las computadoras a otros usuarios, use el comando:
Set-AdmPwdReadPasswordPermission -OrgUnit “OU=Computers,OU=Rome,OU=IT,DC=theitbros,DC=loc” -AllowedPrincipals it_adm_viewer
Luego, debe permitir que las computadoras cambien los valores de sus propios atributos en AD:
Set-AdmPwdComputerSelfPermission -OrgUnit “OU=Computers,OU=Rome,OU=IT,DC= theitbros,DC=loc”
Instalación del agente LAPS en equipos de dominio con GPO
Debe instalar la extensión LAPS en las computadoras del dominio. La forma más sencilla de instalar este paquete es a través de un GPO.
- Abra el complemento gpmc.msc;
- Cree un nuevo GPO y asígnelo a la unidad organizativa con computadoras;
- Copie el archivo de instalación LAPS.x64.msi en el directorio NETLOGON en la computadora del dominio;
- Vaya a la siguiente sección de GPO Configuracion de Computadora > Políticas > Configuración de programas > Instalación de software;
- Cree una regla de instalación de paquetes y especifique la ruta al archivo MSI en el recurso compartido NETLOGON;
- Después de reiniciar, la extensión LAPS se instalará en todas las computadoras en esta unidad organizativa.
Puede verificar que LAPS esté instalado en el dispositivo con Windows 10 a través de Agregar o quitar programas.
Configuración de directiva de grupo para LAPS
Puede configurar los ajustes de LAPS en la misma política. Sus parámetros se encuentran en una sección separada del GPO: Configuración del equipo > Políticas > Plantillas administrativas > LAPS. Configure las políticas de la siguiente manera:
- Habilitar la gestión de contraseñas de administrador local: Activado;
- No permita que el tiempo de caducidad de la contraseña sea superior al requerido por la política: Activado;
- Nombre de la cuenta de administrador a administrar: use esta política si usa una cuenta de administrador que no sea el administrador integrado;
- Configuración de contraseña: Habilitado, configure aquí la complejidad, duración y frecuencia del cambio de contraseña.
En la próxima actualización de GPO, LAPS generará una nueva contraseña para el administrador local, la aplicará en la computadora y la guardará en los atributos de AD.
Para ver la contraseña del administrador local en una computadora, use la herramienta de interfaz de usuario de LAPS. Simplemente proporcione un nombre de computadora y haga clic en Búsqueda. La herramienta se conectará a AD y obtendrá la contraseña actual de la computadora.
Recomendado para ti
- Este teclado profesional de 35 teclas con una sola mano con control avanzado programable te hace sentir más cómodo y crea tu propio teclado especial
- Mini portátil de 35 teclas, diseño mini que ofrece una experiencia de funcionamiento con una sola mano extremadamente simple
- Adecuado para tus manos y muñeca, simplifica el complejo procedimiento operativo, vence al rival más rápido en los juegos
- Teclado compatible con MAC, Win 2000, Win XP, Win ME, Vista, Win7, Win8, Android, Linux y más
- Brillante: retroiluminación LED, más fresco por la noche
- Bajo la tapa de esta llamativa caja RGB está el procesador AMD Ryzen 5 5500 tiene una frecuencia de reloj de alto rendimiento de 3,6 GHz y en combinación con la NVIDIA RTX 3060 con 12 GB de VRAM, DLSS y trazado de rayos, ofrece una experiencia gráfica de ensueño que hará que tu corazón se acelere.
- Gracias a los 16 GB de RAM a 3200 MHz y a la unidad SSD M.2 de 500GB, disfrutarás de los tiempos de carga más cortos y estarás siempre un paso por delante de tus rivales. Para una máxima comodidad, hemos preinstalado Windows 10 Pro en tu PCVIP y también hemos instalado una tarjeta WiFi. Sólo tienes que enchufar el PC, encenderlo y la diversión puede empezar de inmediato.
- Vas a convertirte en el mejor jugador en un tiempo récord gracias a la mejor configuración de ordenador gaming. No hay límites con nuestro innovador PC Gaming. Mejora tu experiencia de juego con el impresionante rendimiento del hardware de los PC Gaming de Ibericavip
- Rendimiento de primera clase gracias a la NVIDIA RTX 3060 con 12 GB de VRAM y ray tracing. Además, incluimos un monitor LED Full HD de 27 pulgadas, un teclado gaming RGB y un ratón gaming RGB con la mejor alfombrilla XXL
- Pantalla: Monitor Gaming Curvo 27" 165 Hz Full HD G-Sync Free Sync Compatible
- Potencia de salida máxima: 2200 VA / 1200 W
- 4 Salidas tipo "Schuko" con protección contra sobretensiones
- La regulación automática de tensión (AVR) protege los dispositivos conectados estabilizando los niveles de tensión entrantes
- SAI ideal para dispositivos domésticos y de oficina en casa; Módem y router, teléfono inteligente, ordenador, almacenamiento conectado a la red
- Incluye: APC Back-UPS BX, Manual de instrucciones
Artículos relacionados:
Cambio de contraseña de usuario local y de Active…- LAPS: administrar contraseñas de administrador local…
- Implementación de servicios de federación de Active…
- Cambio de la contraseña de la cuenta krbtgt de…
- Identificar el origen de los bloqueos de cuentas de…
- Solución: el servicio de cola de impresión local no…
