,
Este artículo contiene instrucciones paso a paso sobre cómo instalar y configurar las vueltas de Microsoft en su entorno de dominio de Active Directory.
La solución de contraseña de administrador local de Microsoft (LAPS) es una característica de seguridad que proporciona una forma de administrar las contraseñas de administrador locales de las computadoras unidas por dominio de manera segura y automatizada. Aborda específicamente una brecha de seguridad en entornos corporativos donde la contraseña de administrador local es la misma en múltiples computadoras, lo que facilita que los atacantes obtengan acceso a todas las computadoras en la red si comprometen una computadora.
¿Cómo funcionan las vueltas?
En cada computadora unida por dominio (lado del cliente), se instala una nueva extensión GPO que es responsable de generar una contraseña de administrador local única y actualizar Active Directory con la nueva contraseña.
En el Active Directory, el esquema de directorio se extiende para almacenar la contraseña del administrador local en cada computadora unida al dominio, facilita que los administradores de TI simplifiquen la administración de contraseñas.
Cómo instalar y configurar la solución de contraseña de administrador local de Microsoft (LAPS).
Paso 1. Cree un OU nuevo con todas las computadoras que desee usar Laps. (Paso opcional).*
* Nota: Para que las vueltas funcionen, debe tener una unidad de organización (OU) con todas las estaciones de trabajo (clientes) que desea administrar su contraseña de administrador local utilizando LAP. Entonces, si no tiene un OU para esta tarea, continúe y cree un OU nuevo, luego agregue todas las estaciones de trabajo que desea usar LAPS. Para hacer eso:
1. Abierto Usuarios y computadoras de Active Directory.
2. Haga clic derecho en tu Dominio y elegir Nuevo > Unidad de organización.
3. Déle a la nueva OU un nombre (por ejemplo, "estaciones de trabajo") y haga clic en DE ACUERDO.
4. Ahora abierto Computadoras objeto, seleccione todas las computadoras (estaciones de trabajo) que desea usar las vueltas y haga clic en Mover.
5. Finalmente, seleccione de la lista de la nueva OU que creó antes y haga clic en DE ACUERDO.
6. Al final, debe tener todas las estaciones de trabajo que desea administrar con vueltas en el nuevo OU.
Paso 2. Instale las vueltas de Microsoft en la computadora de administración.
El primer paso para configurar la solución de contraseña de administrador local (LAPS) es instalar vueltas en la computadora de administración.*
* Nota: La computadora de administración puede ser el controlador de dominio o cualquier otra computadora unida al dominio. (En este artículo instalamos vueltas en un controlador de dominio del servidor 2016)
1. Descargar software LAPS (Vueltas.x64.msi) Desde el siguiente enlace:
2. Haga doble clic en Vueltas.x64.msi Para iniciar la instalación y elegir Próximo en la primera pantalla. Entonces aceptar el acuerdo de licencia y hacer clic Próximo de nuevo.
3. En la siguiente pantalla, haga clic en la flecha a la izquierda de Herramientas de gestión y seleccionar Se instalará completa característica en el disco duro local. Luego haga clic Próximo y luego Instalar para instalar vueltas en la computadora de administración.
Paso 3. Instale las vueltas de Microsoft en los clientes (estaciones de trabajo).
Luego adelante e instale las vueltas Extensión GPO ADMPWD Componente en todas las estaciones de trabajo unidas al dominio. Para hacer eso:
1. Descargar software LAPS (Vueltas.x64.msi) Desde el siguiente enlace:
2. Haga doble clic en Vueltas.x64.msi Para iniciar la instalación y elegir Próximo en la primera pantalla. Entonces aceptar el acuerdo de licencia y hacer clic Próximo de nuevo.
3. En la siguiente pantalla, asegúrese de que solo el Extensión GPO ADMPWD Se selecciona el componente y haga clic Próximo y luego Instalar.
Paso 4. Modificar el esquema de Active Directory.
Ahora, en su controlador de dominio, proceda y modifique el esquema de directorio agregando los siguientes dos nuevos atributos en los objetos "Computadoras" en Active Directory:
- MS-MCS-ADMPWD : Este atributo mostrará la contraseña del administrador de la computadora en texto claro cuando se complete la configuración de LAPS.
- MS-MCS-ADMPWDEXIRATIONTIME : Este atributo mostrará la fecha/hora de vencimiento de la contraseña.
1. Para agregar los atributos anteriores, abra PowerShell en su controlador de dominio y proporcione los siguientes dos comandos:
- Importación-module admpwd.ps
- Actualización-admpwdadschema
2. Sin cerrar la ventana PowerShell, continúe con el siguiente paso. *
* Nota: Si cierra la ventana de PowerShell y abre una nueva, es posible que deba ejecutar "importación de importación admpwd.ps" nuevamente.
Paso 5. Establezca permisos de estaciones de trabajo para vueltas.
El siguiente paso en la configuración de LAPS es dar a las estaciones de trabajo (clientes) los permisos requeridos para actualizar la contraseña y la marca de tiempo de su propia contraseña de administrador local administrado a la computadora de administración de LAPS. Para hacer esto, emita el siguiente comando en PowerShell para otorgar permisos a la OU que desea usar vueltas (por ejemplo, el "Estaciones de trabajo"OU en este ejemplo).*
- Set -admpwdComputerSelfPermission -orgunitEstaciones de trabajo"
* Nota: En el ejemplo anterior, reemplace las "estaciones de trabajo" con el nombre de OU que desea usar las vueltas.
Paso 6. Cree una política grupal para las vueltas.
El último paso en la configuración de LAPS es crear una nueva política grupal para la configuración de LAPS.
1. Abierto Gerente de servidor y de la Herramientas menú y luego abra el Gestión de políticas grupales.
2. En la consola de gestión de políticas grupales, expandir dominios y bajo su dominio, hacer clic con el botón derecho en el OU que contiene las computadoras para vueltas y seleccione Cree un GPO en este dominio y vincule aquí ...
3. Dé un nombre reconocible para la nueva política (por ejemplo, "vueltas") y haga clic en DE ACUERDO.
4. Ahora hacer clic con el botón derecho > Editar El nuevo GPO.
5. Ir a Configuración de computadora > Políticas > Plantillas administrativas > Vueltas
6a. Abrir el Habilitar la gestión de contraseña de administración local política.
6b. Elegir Activado y hacer clic DE ACUERDO.
7a. Ahora abre el Configuración de contraseña política
7b. Seleccionar Activado y a continuación establece la complejidad de la contraseña, la longitud y la edad. (Tiempo de vencimiento). Cuando termine, haga clic DE ACUERDO.
8. En este punto, ha terminado con la configuración básica de LAPS, si desea utilizar la cuenta de administración de administración local estándar con LAPS con LAPS.*
* Nota: En caso de que haya configurado una cuenta de administración local personalizada en estaciones de trabajo (por ejemplo, llamada "localadmin") y desea usar esa cuenta en lugar de "administrador" con vueltas, luego permitir el Nombre de la cuenta de administrador para administrar Política y escriba el nombre de su cuenta de administración local personalizada.
Cómo ver las contraseñas del administrador local usando vueltas.
Después de configurar las vueltas utilizando los pasos anteriores, debe poder ver la contraseña del administrador local en cualquier estación de trabajo donde las vueltas se instalen de una de las siguientes maneras:
Método 1. Ver contraseña de administrador local utilizando la interfaz de usuario de Laps.
1. Abra la aplicación LAPS UI en la computadora de administración y busque el nombre de la máquina en la que desea ver la contraseña del administrador local y su fecha de vencimiento.
Método 2. Vea la contraseña del administrador local utilizando los atributos de la computadora.
1. En los usuarios y computadoras de Active Directory, vaya al OU donde haya habilitado las vueltas. 2. Hacer clic con el botón derecho En el objeto de la computadora desea ver la contraseña y seleccionar Propiedades.
3. Seleccione el Editor de atributos pestaña y desplácese hacia abajo para encontrar el "MS-MCS-ADMPWD"&"MS-MCS-ADMPWDEXIRATIONTIME"Valores.
* Información: El MS-MCS-ADMPWD El atributo muestra la contraseña en texto plano. El MS-MCS-ADMPWDEXIRATIONTIME El atributo muestra la fecha de vencimiento como el número de intervalos de 100 nanosegundos que han transcurrido desde las 0 horas del 1 de enero de 1601 hasta la fecha/hora que se almacena. El tiempo siempre se almacena en el tiempo medio de Greenwich (GMT) en el Directorio Active. Si desea convertirlo manualmente, use este comando:
- w32tm /ntte
Método 3. Ver contraseña del administrador usando PowerShell.
La última forma de ver la contraseña del administrador local es dando el siguiente comando en PowerShell.*
* Nota: En el comando anterior, reemplace la CompuTername con el nombre de la PC que desea ver la contraseña del administrador local. (por ejemplo, para ver la contraseña de administrador en "HP-PC", emita este comando:
¡Eso es todo! Avíseme si esta guía lo ha ayudado dejando su comentario sobre su experiencia. Por favor, me guste y comparta esta guía para ayudar a otros.
Si este artículo fue útil para usted, considere apoyarnos haciendo una donación. Incluso $ 1 puede hacer una gran diferencia para nosotros En nuestro esfuerzo por continuar ayudando a otros mientras mantiene este sitio gratis:
Konstantinos es el fundador y administrador de wintips.org. Desde 1995 trabaja y brinda soporte de TI como experto en computadora y red para individuos y grandes empresas. Está especializado para resolver problemas relacionados con Windows u otros productos de Microsoft (Windows Server, Office, Microsoft 365, etc.).
Recomendado para ti
