Introducción a Windows LAPS en modo de emulación de Microsoft LAPS heredado
Puede configurar la Solución de contraseñas de administrador local de Windows (Windows LAPS) para respetar la configuración de directiva de grupo de Microsoft LAPS heredado, pero con algunas restricciones y limitaciones. La característica se denomina modo de emulación de Microsoft LAPS heredado. Puede usar el modo de emulación si migra una implementación existente de Microsoft LAPS heredado a Windows LAPS.
Al igual que Microsoft LAPS, el modo de emulación admite el almacenamiento de contraseñas en Windows Server Active Directory solo en formato de texto no cifrado. Para aumentar la seguridad, se recomienda migrar al uso de Windows LAPS de forma nativa para aprovechar el cifrado de contraseñas.
Instalación y configuración
Al configurar Windows LAPS en modo de emulación de Microsoft LAPS heredado, Windows LAPS da por hecho que el entorno de Windows Server Active Directory está configurado para ejecutar Microsoft LAPS heredado. Para más información sobre la configuración de Microsoft LAPS heredado, consulte la documentación correspondiente.
Limitaciones y requisitos
Los siguientes requisitos y limitaciones se aplican a la compatibilidad con el modo de emulación de Microsoft LAPS heredado:
Windows LAPS no admite la adición del esquema de Windows Server Active Directory de Microsoft LAPS heredado.
Debe instalar Microsoft LAPS heredado en un controlador de dominio u otro cliente de administración para ampliar el esquema de Windows Server Active Directory con los elementos de esquema de Microsoft LAPS heredado. Use el cmdlet
Update-AdmPwdADSchemapara ampliar el esquema. El cmdletUpdate-LapsADSchemade Windows LAPS no agrega los elementos de esquema de Microsoft LAPS heredado.Windows LAPS no instala los archivos de definición de directiva de grupo de Microsoft LAPS heredado.
Para definir y administrar directivas de grupo de Microsoft LAPS heredado, debe instalar Microsoft LAPS heredado en un controlador de dominio u otro cliente de administración.
Windows LAPS no admite la administración de listas de control de acceso (ACL) de Active Directory de Microsoft LAPS heredado.
Para administrar las ACL de Windows Server Active Directory de Microsoft LAPS heredado, debe instalar Microsoft LAPS heredado en un controlador de dominio u otro cliente de administración. Por ejemplo, para usar el cmdlet
Set-AdmPwdComputerSelfPermissions.Ninguna otra directiva de Windows LAPS se puede aplicar a la máquina.
Si una directiva de Windows LAPS existe en la máquina, siempre tiene prioridad, independientemente de cómo se haya aplicado (proveedor de servicios de configuración, objeto de directiva de grupo o modificación del registro sin procesar). Si existe una directiva de Windows LAPS, siempre se omite la directiva de Microsoft LAPS heredado. Para más información, consulte Configuración de directivas de Windows LAPS.
Microsoft LAPS heredado no se debe instalar en la máquina.
Esta restricción evita un escenario en el que Windows LAPS y Microsoft LAPS heredado intentan administrar simultáneamente la misma cuenta de administrador local. Tener dos entidades para administrar la misma cuenta es un riesgo de seguridad y no se admite.
Para la característica de emulación, Microsoft LAPS heredado se considera instalado si está instalada la extensión del lado cliente (CSE) de la directiva de grupo de Microsoft LAPS heredado. Para detectar la extensión, consulte el valor del Registro
DllNameen esta clave del Registro:HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}Cuando el valor DllName está presente y el valor hace referencia a un archivo del disco (el archivo no se carga ni se comprueba de otro modo), se considera que Microsoft LAPS heredado está instalado.
La consola de administración de usuarios y equipos de Windows Server Active Directory no admite la lectura ni escritura de atributos de esquema de Microsoft LAPS heredado.
Windows LAPS siempre omite una directiva de Microsoft LAPS heredado cuando Windows LAPS está configurado en un controlador de dominio de Windows Server Active Directory.
Todos los botones de directiva de Windows LAPS que no son compatibles con la directiva LAPS heredada tienen como valor predeterminado su configuración deshabilitada o predeterminada.
Por ejemplo, al ejecutar Windows LAPS en modo de emulación de Microsoft LAPS antiguo, no puede configurar Windows LAPS para realizar tareas como cifrar o guardar contraseñas en Microsoft Entra ID.
Si se cumplen todas estas restricciones, Windows LAPS respeta la configuración de directiva de grupo de Microsoft LAPS heredado. La cuenta de administrador local administrada especificada se administra de forma idéntica a como se administra en Microsoft LAPS heredado.
Deshabilitación del modo de emulación de Microsoft LAPS heredado
Windows LAPS tiene una diferencia importante para tener en cuenta al planear una implementación o migración de Microsoft LAPS heredados. Windows LAPS está siempre presente y activo una vez que un dispositivo se ha unido a Microsoft Entra ID o a Windows Server Active Directory. La instalación del CSE de Microsoft LAPS heredado se usa como mecanismo para controlar cuándo se aplicará la directiva Microsoft LAPS heredada. Como característica integrada de Windows, Windows LAPS comienza a aplicar una directiva Microsoft LAPS heredada en cuanto se aplique al dispositivo. Este cumplimiento inmediato puede ser perjudicial, por ejemplo, si la aplicación se produce durante la configuración y el flujo de trabajo de configuración para un nuevo sistema operativo.
Para evitar esta posible interrupción, puede deshabilitar el modo de emulación de Microsoft LAPS heredado mediante la creación de un valor del Registro de REG_DWORD denominado BackupDirectory bajo la clave HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\Config y establecerlo en el valor cero (0). Si se establece este valor, se impide que Windows LAPS entre en el modo de emulación de Microsoft LAPS heredado, independientemente de si el CSE de Microsoft LAPS heredado esté instalado o no. Este valor se puede usar temporal o permanentemente. Cuando se configura una nueva directiva de Windows LAPS, esa nueva directiva tendrá prioridad. Para obtener más información sobre el orden de precedencia de directivas de Windows LAPS, consulte Configuración de las opciones de directiva de Windows LAPS.
Compatibilidad administrativa limitada
El cmdlet Get-LapsADPassword admite la recuperación del atributo de contraseña de Microsoft LAPS heredado (ms-Mcs-AdmPwd). Los campos Account y PasswordUpdateTime de la salida resultante siempre están en blanco. Por ejemplo:
PS C:\> Get-LapsADPassword -Identity lapsAD2 -AsPlainText
ComputerName : LAPSAD2
DistinguishedName : CN=LAPSAD2,OU=LapsTestOU,DC=laps,DC=com
Account :
Password : SV6[y1n3JG+3l8
PasswordUpdateTime :
ExpirationTimestamp : 7/31/2022 12:43:10 PM
Source : LegacyLapsCleartextPassword
DecryptionStatus : NotApplicable
AuthorizedDecryptor : NotApplicable
El cmdlet Set-LapsADPasswordExpirationTime no admite la expiración ni la modificación del atributo de expiración de contraseñas de Microsoft LAPS heredado (ms-Mcs-AdmPwdExpirationTime).
La página de propiedades de Windows LAPS de la consola de administración de usuarios y equipos de Windows Server Active Directory no admite la visualización ni la administración de atributos de Microsoft LAPS heredado.
Registro
Cuando Windows LAPS se ejecuta en modo de emulación de Microsoft LAPS heredado, se registra un evento 10023 para detallar la configuración de directiva actual:
De lo contrario, los mismos eventos registrados por Windows LAPS cuando no se ejecutan en el modo de emulación de Microsoft LAPS heredado también se registran cuando se ejecuta en dicho modo.
Consulte también
En este artículo no se detalla la administración de otros aspectos de Microsoft LAPS heredado. Para más información, consulte la documentación de Microsoft LAPS heredado en la página de descarga: