Configuración de las opciones de directiva de Windows LAPS
La Solución de contraseñas de administrador local de Windows (Windows LAPS) admite varias opciones de configuración que puede controlar mediante la directiva. Obtenga información sobre las opciones y cómo administrarlas.
Raíces de directiva admitidas
Aunque no lo recomendamos, se puede administrar un dispositivo mediante varios mecanismos de administración de directivas. Para admitir este escenario de forma comprensible y predecible, a cada mecanismo de directiva de Windows LAPS se le asigna una clave raíz del registro distinta:
| Nombre de la directiva | Raíz de la clave del registro de directivas |
|---|---|
| LAPS CSP | HKLM\Software\Microsoft\Policies\LAPS |
| Directiva de grupo de LAPS | HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\LAPS |
| Configuración local de LAPS | HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\Config |
| Microsoft LAPS heredado | HKLM\Software\Policies\Microsoft Services\AdmPwd |
Windows LAPS consulta todas las raíces conocidas de la directiva de clave del registro, empezando por la parte superior y bajando. Si no se encuentra ninguna opción en una raíz, esa raíz se omite y la consulta continúa con la siguiente raíz. Cuando se encuentra una raíz que tiene al menos una opción definida explícitamente, esa raíz se usa como directiva activa. Si la raíz elegida no tiene ninguna opción, a las opciones se le asignan sus valores predeterminados.
Las opciones de directiva nunca se comparten ni se heredan entre raíces de clave de directiva.
Sugerencia
A efectos de integridad, la clave de configuración local de LAPS se incluye en la tabla anterior. Si es necesario, puede usar esta clave, pero la clave está pensada principalmente para usarse para pruebas y desarrollo. Ninguna herramienta de administración ni ningún mecanismo de directiva tienen como destino esta clave.
Opciones de directiva admitida por BackupDirectory
Windows LAPS admite varias opciones de directiva que puede administrar a través de varias soluciones de administración de directivas o incluso directamente a través del registro. Algunas de estas opciones solo se aplican al realizar copias de seguridad de contraseñas en Active Directory y algunas opciones son comunes a los escenarios de AD y Microsoft Entra.
En la tabla siguiente se especifica qué opciones se aplican a los dispositivos que tienen la opción BackupDirectory especificada:
| Nombre de valor | ¿Se aplica cuando BackupDirectory=Microsoft Entra ID? | ¿Es aplicable cuando BackupDirectory=AD? |
|---|---|---|
| AdministratorAccountName | Sí | Sí |
| PasswordAgeDays | Sí | Sí |
| PasswordLength | Sí | Sí |
| PassphraseLength | Sí | Sí |
| PasswordComplexity | Sí | Sí |
| PostAuthenticationResetDelay | Sí | Sí |
| PostAuthenticationActions | Sí | Sí |
| ADPasswordEncryptionEnabled | No | Sí |
| ADPasswordEncryptionPrincipal | No | Sí |
| ADEncryptedPasswordHistorySize | No | Sí |
| ADBackupDSRMPassword | No | Sí |
| PasswordExpirationProtectionEnabled | No | Sí |
| AutomaticAccountManagementEnabled | Sí | Sí |
| AutomaticAccountManagementTarget | Sí | Sí |
| AutomaticAccountManagementNameOrPrefix | Sí | Sí |
| AutomaticAccountManagementEnableAccount | Sí | Sí |
| AutomaticAccountManagementRandomizeName | Sí | Sí |
Si BackupDirectory está establecido en Deshabilitado, se omiten todas las demás configuraciones.
Puede administrar casi todas las opciones mediante cualquier mecanismo de administración de directivas. El proveedor de servicios en la nube (CSP) de Windows LAPS tiene dos excepciones a esta regla. El CSP de Windows LAPS admite dos opciones que no están en la tabla anterior: ResetPassword y ResetPasswordStatus. Además, CSP de Windows LAPS no admite la opción ADBackupDSRMPassword (los controladores de dominio nunca se administran a través de CSP). Para obtener más información, consulte la documentación de CSP de LAPS.
Directiva de grupo de Windows LAPS
Windows LAPS incluye un nuevo objeto directiva de grupo que puede usar para administrar las opciones de directiva en dispositivos unidos a un dominio de Active Directory. Para acceder a la directiva de grupo de Windows LAPS, en el Editor de administración de directivas de grupos, vaya a Configuración del equipo>Plantillas administrativas>Sistema>LAPS. La ilustración siguiente muestra un ejemplo:
La plantilla de este nuevo objeto directiva de grupo se instala como parte de Windows en %windir%\PolicyDefinitions\LAPS.admx.
Almacén central de objetos directiva de grupo
Importante
Los archivos de plantilla de GPO de la Solución de contraseñas de administrador local de Windows NO se copian automáticamente en el almacén central de GPO cuando se realiza una operación de aplicación de parches de Windows Update, suponiendo que haya elegido implementar ese enfoque. En su lugar, debe copiar manualmente al LAPS.admx en la ubicación del almacén central de GPO. Consulte Creación y administración de un almacén central.
CSP de Windows LAPS
Windows LAPS incluye un CSP concreto que puede usar para administrar la configuración de directiva en dispositivos unidos Microsoft Entra. Administre el CSP de Windows LAPS mediante el Microsoft Intune.
Aplicar opciones de directiva
En las secciones siguientes se describe cómo usar y aplicar distintas opciones de directiva para Windows LAPS.
directorioCopiaSeguridad
Use esta opción para controlar en qué directorio se realiza la copia de seguridad de la contraseña de la cuenta administrada.
| Valor | Descripción de la opción |
|---|---|
| 0 | Deshabilitada (no se realizan copias de seguridad de la contraseña) |
| 1 | Copia de seguridad de la contraseña únicamente en Microsoft Entra |
| 2 | Solo se realiza la copia de seguridad de la contraseña en Windows Server Active Directory |
Si no se especifica, esta opción tiene como valor predeterminado 0 (Deshabilitado).
AdministratorAccountName
Use esta opción para configurar el nombre de la cuenta de administrador local administrada.
Si no se especifica, esta opción tiene como valor predeterminado administrar la cuenta de administrador local integrada.
Importante
No especifique esta opción a menos que desee administrar una cuenta distinta de la cuenta de administrador local integrada. La cuenta de administrador local se identifica automáticamente a través de su identificador relativo conocido (RID).
Importante
Puedes configurar la cuenta especificada (integrada o personalizada) como habilitada o deshabilitada. Windows LAPS administrará la contraseña de esa cuenta en cualquier estado. Sin embargo, si se deja en estado deshabilitado, es evidente que la cuenta debe estar habilitada en primer lugar para poder utilizarla realmente.
Importante
Si configura Windows LAPS para administrar una cuenta de administrador local personalizada, debe asegurarse de que se crea la cuenta. Windows LAPS no crea la cuenta.
Importante
Se ignora la configuración cuando AutomaticAccountManagementEnabled está habilitado.
PasswordAgeDays
Esta configuración controla la antigüedad máxima de la contraseña de la cuenta de administrador local administrada. Los valores admitidos son:
- Mínima: 1 día (cuando el directorio de copia de seguridad está configurado para que sea Microsoft Entra ID, el mínimo es de 7 días).
- Máxima: 365 días
Si no se especifica, esta opción tiene como valor predeterminado 30 días.
Importante
Los cambios realizados en la configuración de la directiva PasswordAgeDays no tienen ningún efecto en la hora de expiración de la contraseña actual. De forma similar, los cambios realizados en la configuración de la directiva PasswordAgeDays no harán que el dispositivo administrado inicie una rotación de contraseñas.
PasswordLength
Use esta opción para configurar la longitud de la contraseña de la cuenta de administrador local administrada. Los valores admitidos son:
- Mínima: 8 caracteres
- Máxima: 64 caracteres
Si no se especifica, esta opción tiene como valor predeterminado 14 caracteres.
Importante
No configure PasswordLength con un valor que sea incompatible con la directiva de contraseña local del dispositivo administrado, ya que ello provocará que la Solución de contraseñas de administrador local de Windows no cree una nueva contraseña compatible (busque un evento 10027 en el registro de la Solución de contraseñas de administrador local de Windows).
El parámetro PasswordLength se ignora a menos que PasswordComplexity esté configurado con una de las opciones de contraseña.
PassphraseLength
Use esta opción para configurar el número de palabras de la frase de contraseña de la cuenta de administrador local administrada. Los valores admitidos son:
- Mínimo: 3 palabras
- Máximo: 10 palabras
Si no se especifica, esta opción tiene como valor predeterminado 6 palabras.
El parámetro PassphraseLength se ignora a menos que PasswordComplexity esté configurado con una de las opciones de frase de contraseña.
PasswordComplexity
Use esta opción para configurar la complejidad de contraseña requerida de la cuenta de administrador local administrada, o para especificar que se cree una frase de contraseña.
| Valor | Descripción de la opción |
|---|---|
| 1 | Letras mayúsculas |
| 2 | Letras mayúsculas + letras minúsculas |
| 3 | Letras mayúsculas + letras minúsculas + números |
| 4 | Letras mayúsculas + letras minúsculas + números + caracteres especiales |
| 5 | Letras mayúsculas + minúsculas + números + caracteres especiales (legibilidad mejorada) |
| 6 | Frase de contraseña (palabras largas) |
| 7 | Frase de contraseña (palabras cortas) |
| 8 | Frase de contraseña (palabras cortas con prefijos únicos) |
Si no se especifica, esta opción tiene como valor predeterminado 4.
Importante
Windows admite la configuración de complejidad de contraseñas más baja (1, 2 y 3) solo para que sea compatible con versiones anteriores de Microsoft LAPS heredado. Se recomienda configurar siempre esta opción en 4.
Importante
No configure PasswordComplexity con un valor que sea incompatible con la directiva de contraseña local del dispositivo administrado, ya que ello provocará que la Solución de contraseñas de administrador local de Windows no cree una nueva contraseña compatible (busque un evento 10027 en el registro de eventos de la Solución de contraseñas de administrador local de Windows).
PasswordExpirationProtectionEnabled
Use esta opción para configurar la aplicación de la antigüedad máxima de contraseña en la cuenta de administrador local administrada.
Los valores admitidos son 1 (verdadero) o 0 (falso).
Si no se especifica, esta opción tiene como valor predeterminado 1 (verdadero).
Sugerencia
En el modo de Microsoft LAPS heredado, esta opción se establece de forma predeterminada en Falso para que sea compatible con versiones anteriores.
ADPasswordEncryptionEnabled
Use esta opción para habilitar el cifrado de contraseñas en Active Directory.
Los valores admitidos son 1 (verdadero) o 0 (falso).
Importante
Para habilitar esta opción, es necesario que el dominio de Active Directory se ejecute en el nivel funcional de dominio 2016 o posterior.
ADPasswordEncryptionPrincipal
Utiliza esta opción para configurar el nombre o el identificador de seguridad (SID) de un usuario o grupo que pueda descifrar la contraseña almacenada en Active Directory.
Esta opción se omite si la contraseña está almacenada en estos momentos en Azure.
Si no se especifica, solo pueden descifrar la contraseña los miembros del grupo Administradores de dominio del dominio del dispositivo.
Si se especifica, el usuario o grupo especificado puede descifrar la contraseña almacenada en Active Directory.
Importante
La cadena almacenada en esta opción es un SID en forma de cadena o el nombre completo de un usuario o grupo. A continuación encontrará algunos ejemplos:
S-1-5-21-2127521184-1604012920-1887927527-35197contoso\LAPSAdminslapsadmins@contoso.com
La entidad de seguridad identificada (ya sea por SID o por nombre de usuario o grupo) debe existir y el dispositivo debe resolverla.
NOTA: Los datos especificados en esta configuración se introducen tal cual; por ejemplo, no agregue comillas ni paréntesis.
Esta opción se omite a menos que ADPasswordEncryptionEnabled esté configurado en Verdadero y se cumplan todos los demás requisitos previos.
Esta opción se omite cuando se realiza una copia de seguridad de las contraseñas de cuenta del Modo de reparación de servicios de directorio (DSRM) en un controlador de dominios. En ese escenario, esta opción siempre se establece de forma predeterminada en el grupo Administradores de dominio del dominio del controlador de dominios.
ADEncryptedPasswordHistorySize
Use esta opción para configurar cuántas contraseñas cifradas anteriores se recuerdan en Active Directory. Los valores admitidos son:
- Mínimo: 0 contraseñas
- Máximo: 12 contraseñas
Si no se especifica, esta opción tiene como valor predeterminado 0 (está deshabilitada).
Importante
Esta opción se omite a menos que ADPasswordEncryptionEnabled esté configurado en Verdadero y se cumplan todos los demás requisitos previos.
Esta opción también surte efecto en los controladores de dominios que hacen una copia de seguridad de sus contraseñas DSRM.
ADBackupDSRMPassword
Use esta opción para habilitar la copia de seguridad de la contraseña de la cuenta DSRM en controladores de dominios de Windows Server Active Directory.
Los valores admitidos son 1 (verdadero) o 0 (falso).
Esta opción tiene como valor predeterminado 0 (falso).
Importante
Esta opción se omite a menos que ADPasswordEncryptionEnabled esté configurado en Verdadero y se cumplan todos los demás requisitos previos.
PostAuthenticationResetDelay
Use esta opción para especificar la cantidad de tiempo (en horas) que se esperará tras una autenticación antes de ejecutar las acciones posteriores a la autenticación especificadas (consulte PostAuthenticationActions). Los valores admitidos son:
- Mínimo: 0 horas (al establecer este valor en 0, se deshabilitan todas las acciones posteriores a la autenticación)
- Máximo: 24 horas
Si no se especifica, esta opción tiene como valor predeterminado 24 horas.
PostAuthenticationActions
Use esta opción para especificar las acciones que se deben realizar tras la expiración del periodo de gracia configurado (consulte PostAuthenticationResetDelay).
Esta opción admite cualquiera de los valores siguientes:
| Valor | Nombre | Acciones realizadas cuando expira el periodo de gracia | Comentarios |
|---|---|---|---|
| 1 | Restablecimiento de contraseña | Se restablece la contraseña de la cuenta administrada. | |
| 3 | Restablecer la contraseña y cerrar la sesión | Se restablece la contraseña de la cuenta administrada, se finalizan las sesiones de inicio de sesión interactivas que usan la cuenta administrada y se eliminan las sesiones SMB que usan la cuenta administrada. | Las sesiones de inicio de sesión interactivas reciben una advertencia de dos minutos (que no se puede configurar) para guardar su trabajo y cerrar sesión. |
| 5 | Restablecer contraseña y reiniciar | La contraseña de la cuenta administrada se restablece y se reinicia el dispositivo administrado. | El dispositivo administrado se reinicia después de un retraso de un minuto que no se puede configurar. |
| 11 | Restablecer la contraseña y cerrar la sesión | Se restablece la contraseña de la cuenta administrada, se finalizan las sesiones de inicio de sesión interactivas que utilizan la cuenta administrada, se eliminan las sesiones SMB que utilizan la cuenta administrada y se finaliza cualquier proceso restante que se ejecute bajo la identidad de la cuenta administrada. | Las sesiones de inicio de sesión interactivas reciben una advertencia de dos minutos (que no se puede configurar) para guardar su trabajo y cerrar sesión. |
Si no se especifica, esta opción tiene como valor predeterminado 3.
Importante
Las acciones permitidas posteriores a la autenticación están diseñadas para ayudar a limitar la cantidad de tiempo que se puede usar una contraseña de Windows LAPS antes de que esta se restablezca. Cerrar la sesión en la cuenta administrada o reiniciar el dispositivo son opciones que ayudan a garantizar que el tiempo sea limitado. La finalización abrupta de las sesiones de inicio de sesión o el reinicio del dispositivo puede causar la pérdida de datos.
Desde una perspectiva de seguridad, un usuario malintencionado que adquiere privilegios administrativos en un dispositivo mediante una contraseña válida de Windows LAPS tiene la capacidad en última instancia de evitar o eludir estos mecanismos.
Importante
El valor 11 de PostAuthenticationActions solo se admite en Windows 11 24H2, Windows Server 2025 y versiones posteriores.
AutomaticAccountManagementEnabled
Use esta opción para activar la administración automática de cuentas.
Los valores admitidos son 1 (verdadero) o 0 (falso).
Esta opción tiene como valor predeterminado 0 (falso).
AutomaticAccountManagementTarget
Use esta configuración para especificar si se administra automáticamente la cuenta predefinida de administrador, o una nueva cuenta personalizada.
| Valor | Descripción de la opción |
|---|---|
| 0 | Administrar automáticamente la cuenta predefinida de administrador |
| 1 | Administrar automáticamente una nueva cuenta personalizada |
El valor predeterminado es 1.
Se ignora la configuración a menos que AutomaticAccountManagementEnabled esté habilitado.
AutomaticAccountManagementNameOrPrefix
Use esta opción para especificar el nombre o el prefijo del nombre de la cuenta administrada automáticamente.
Esta configuración tiene como valor predeterminado WLapsAdmin.
Se ignora la configuración a menos que AutomaticAccountManagementEnabled esté habilitado.
AutomaticAccountManagementEnableAccount
Use esta opción para activar o desactivar la cuenta administrada automáticamente.
| Valor | Descripción de la opción |
|---|---|
| 0 | Deshabilitar la cuenta administrada automáticamente |
| 1 | Habilitación de la cuenta administrada automáticamente |
El valor predeterminado es 0.
Se ignora la configuración a menos que AutomaticAccountManagementEnabled esté habilitado.
AutomaticAccountManagementRandomizeName
Use esta opción para activar la aleatorización del nombre de la cuenta administrada automáticamente.
Cuando esta opción está habilitada, al nombre de la cuenta administrada (determinado por la opción AutomaticAccountManagementNameOrPrefix) se le agrega un sufijo aleatorio de seis dígitos cada vez que se rota la contraseña.
Los nombres de las cuentas locales de Windows tienen una longitud máxima de 20 caracteres, lo que significa que el componente del nombre debe tener 14 caracteres como máximo para que haya espacio suficiente para el sufijo aleatorio. Los nombres de cuenta especificados por AutomaticAccountManagementNameOrPrefix que tengan más de 14 caracteres se truncan.
| Valor | Descripción de la opción |
|---|---|
| 0 | No aleatorizar el nombre de la cuenta administrada automáticamente |
| 1 | Aleatorizar el nombre de la cuenta administrada automáticamente |
El valor predeterminado es 0.
Se ignora la configuración a menos que AutomaticAccountManagementEnabled esté habilitado.
Valores de directiva predeterminados de Windows LAPS
Todas las configuraciones de directiva de Windows LAPS tienen un valor predeterminado. El valor predeterminado se aplica siempre que un administrador no configura un valor determinado. El valor predeterminado también se aplica cada vez que un administrador configura una configuración determinada con un valor no admitido.
| Nombre de valor | Valor predeterminado |
|---|---|
| directorioCopiaSeguridad | Deshabilitado |
| AdministratorAccountName | Null\empty |
| PasswordAgeDays | 30 |
| PasswordLength | 14 |
| PassphraseLength | 6 |
| PasswordComplexity | 4 |
| PostAuthenticationResetDelay | 24 |
| PostAuthenticationActions | 3 (Restablecer la contraseña y cerrar la sesión) |
| ADPasswordEncryptionEnabled | True |
| ADPasswordEncryptionPrincipal | Admins. del dominio |
| ADEncryptedPasswordHistorySize | 0 |
| ADBackupDSRMPassword | False |
| PasswordExpirationProtectionEnabled | True |
| AutomaticAccountManagementEnabled | False |
| AutomaticAccountManagementTarget | Sí |
| AutomaticAccountManagementNameOrPrefix | Sí |
| AutomaticAccountManagementEnableAccount | False |
| AutomaticAccountManagementRandomizeName | False |
Importante
ADPasswordEncryptionPrincipal es una excepción a la regla de configuración mal configurada. Esta configuración se establece de forma predeterminada en "Administradores de dominio" solo cuando la configuración no está configurada. En caso de que se especifique un nombre de usuario o grupo no válido, esto provocará un error de procesamiento de directivas y no se realizará la copia de seguridad de la contraseña de la cuenta administrada.
Tenga en cuenta estos valores predeterminados al configurar nuevas características de Windows LAPS, por ejemplo, la compatibilidad con frase de contraseña. Si configura una directiva con un valor de PasswordComplexity de 6 (frases de contraseña de palabra larga), aplique esa directiva a un sistema operativo anterior que no admita ese valor, el sistema operativo de destino usa el valor predeterminado de 4. Para evitar este resultado, cree dos directivas diferentes: una para el sistema operativo anterior y otra para el sistema operativo más reciente.