Uso de registros de eventos de Windows LAPS
La solución de contraseñas de administrador local de Windows (Windows LAPS) tiene un canal de registro de eventos dedicado. Todas las operaciones de Windows LAPS se rastrean con eventos enriquecidos. Obtenga información sobre los eventos clave y cómo ver el registro.
Ver el registro de eventos
Para ver el canal de registro de eventos de Windows LAPS, en el visor de eventos de Windows Server vaya aAplicaciones y servicios>Registros>Microsoft>Windows>LAPS>Operativo.
Eventos clave
Es importante tener en cuenta algunos eventos clave de Windows LAPS y cómo verlos en los registros de eventos:
- Eventos de inicio y finalización del procesamiento de directivas
- Detalles de configuración de directivas
- Eventos de confirmación de actualización de contraseña
- Solicitud de modificación de contraseña externa bloqueada
- Eventos relacionados con la acción posterior a la autenticación
Inicio y finalización del ciclo de procesamiento de directivas
Cuando Windows LAPS inicia un ciclo de procesamiento de directivas en segundo plano, se realiza un seguimiento del progreso de la operación en el registro de eventos. Conocer los eventos específicos que indican el inicio y el final de cada ciclo facilita la lectura del registro de eventos y la comprensión de los eventos.
Cada ciclo de procesamiento de directivas en segundo plano comienza con un evento 10003:
LAPS policy processing is now starting.
Cada evento 10003 va seguido de otros eventos que describen lo que sucede. Cuando finalice el ciclo, el evento final marca la operación como correcta o con errores.
El seguimiento de los ciclos correctos se realiza con un evento 10004. Este es un ejemplo de un evento 10004:
LAPS policy processing succeeded.
El seguimiento de los ciclos con errores se realiza con un evento 10005. Este es un ejemplo de un evento 10005:
LAPS policy processing failed with the error code below.
Error code: 80070032
Si se produce un error, puede usar el código de error para solucionar problemas. También puede consultar los eventos intermedios para obtener información detallada.
Detalles de configuración de directivas
Cuando se habilita la copia de seguridad de contraseñas, se emite un evento de configuración de directivas durante cada ciclo de procesamiento de directivas en segundo plano de Windows LAPS. El evento registra el valor de configuración de directiva específico para cada iteración de ciclo.
Cuando la directiva está configurada para realizar una copia de seguridad de la contraseña en Windows Server Active Directory, se registra un evento 10021. Este es un ejemplo de un evento 10021:
The current LAPS policy is configured as follows:
Policy source: GPO
Backup directory: Active Directory
Local administrator account name:
Password age in days: 30
Password complexity: 4
Password length: 14
Password expiration protection enabled: 1
Password encryption enabled: 1
Password encryption target principal: LapsAdministrators@contoso.com
Password encrypted history size: 12
Backup DSRM password on domain controllers: 0
Post authentication grace period (hours): 8
Post authentication actions: 1
Cuando la directiva está configurada para realizar una copia de seguridad de la contraseña en Microsoft Entra ID, se registra un evento 10022. Este es un ejemplo de un evento 10022:
The current LAPS policy is configured as follows:
Policy source: CSP
Backup directory: Azure AD
Local administrator account name: ContosoLocalAdminAccount
Password age in days: 7
Password complexity: 4
Password length: 64
Post authentication grace period (hours): 8
Post authentication actions: 3
Cuando Windows LAPS está configurado para usar una directiva de Microsoft LAPS heredada, se registra un evento 10023. Este es un ejemplo de un evento 10023:
The current LAPS policy is configured as follows:
Policy source: Legacy LAPS
Backup directory: Active Directory
Local administrator account name:
Password age in days: 30
Password complexity: 4
Password length: 8
Password expiration protection enabled: 0
Estos valores de configuración de directiva específicos son ejemplos y no deben considerarse recomendaciones.
Eventos de confirmación de actualización de contraseña
Cuando Windows LAPS actualiza correctamente el directorio configurado (Windows Server Active Directory o Microsoft Entra ID) con una nueva contraseña, se registra un evento correcto: 10018 para las actualizaciones de contraseña en Windows Server Active Directory y 10029 para las actualizaciones de contraseñas en Microsoft Entra ID.
Este es un ejemplo de un evento 10018:
LAPS successfully updated Active Directory with the new password.
Este es un ejemplo de un evento 10029:
LAPS successfully updated Azure Active Directory with the new password.
Cuando el directorio se actualiza con la nueva contraseña, Windows LAPS también actualiza la cuenta local administrada. Un evento 10020 se registra correctamente.
Este es un ejemplo de un evento 10020:
LAPS successfully updated the local admin account with the new password.
Account name: ContosoLocalAdminAccount
Account RID: 1087
Solicitud de modificación de contraseña externa bloqueada
Cuando Windows LAPS está habilitado, protege la contraseña de la cuenta administrada especificada para que no la pueda modificar ninguna entidad que no sea Windows LAPS. Se registra un evento 10031 cuando se bloquea un intento de cambiar la contraseña.
Este es un ejemplo de un evento 10031:
LAPS blocked an external request that tried to modify the password of the current managed account.
Account name: ContosoLocalAdminAccount
Account RID: 1087
Eventos de acción posteriores a la autenticación
Cuando se configuran acciones posteriores a la autenticación, Windows LAPS supervisa las autenticaciones correctas por parte de la cuenta administrada especificada. Cuando se detecta una autenticación, se registra un evento 10041.
Este es un ejemplo de un evento 10041:
LAPS detected a successful authentication for the currently managed account. A background task has been scheduled to execute the configured post-authentication actions after the configured grace period has expired.%n
Account name: ContosoLocalAdminAccount
Account RID: 1087
Password reset timer deadline: %3%n
Cuando se alcanza la fecha límite que aparece en el evento 10041, Windows LAPS registra un evento 10042:
The post-authentication grace period has expired per policy. The configured post-authentication actions will now be executed.
Account name: ContosoLocalAdminAccount
Account RID: 1087
A continuación, Windows LAPS intenta rotar la contraseña y ejecutar las acciones posteriores a la autenticación especificadas. Se registra un evento 10044 cuando la rotación de contraseñas se realiza correctamente.
Este es un ejemplo de un evento 10044:
LAPS successfully reset the password for the currently managed account and completed all configured post-authentication actions.%n
%n
Account name: ContosoLocalAdminAccount
Account RID: 1087
Si se produce un error en la rotación de contraseñas, se registra un evento 10043. Este es un ejemplo de un evento 10043:
LAPS failed to reset the password for the currently managed account. The password is considered expired due to an authentication event. LAPS will continue retrying the password reset operation until it succeeds.
Account name: ContosoLocalAdminAccount
Account RID: 1087
Password reset retry count: 1
Error code: 80070032
Registro de eventos de cliente frente a registro de eventos del controlador de dominio de AD
El canal del registro de eventos de la Solución de contraseñas de administrador local de Windows contiene eventos relacionados con la máquina local que actúa como cliente. El canal del registro de eventos de la Solución de contraseñas de administrador local de Windows en un controlador de dominio de Active Directory solo contiene eventos relacionados con la administración de la cuenta DSRM local (si está habilitada), nunca contiene eventos relacionados con comportamientos de cliente unidos a un dominio.