Solución de contraseñas de administrador local de Windows (LAPS de Windows) es una característica de Windows que administra automáticamente y realiza una copia de seguridad de la contraseña de una cuenta de administrador local en los dispositivos unidos a Microsoft Entra o unidos a Windows Server Active Directory. También puede usar Windows LAPS para administrar y hacer copias de seguridad automáticas de la contraseña de la cuenta del Modo de restauración de servicios de directorio (DSRM) en los controladores de dominio de Windows Server Active Directory. Un administrador autorizado puede recuperar la contraseña de DSRM y usarla.
Plataformas compatibles con Windows LAPS
LAPS para Windows ya está disponible en las siguientes plataformas de sistema operativo con la actualización especificada o una versión posterior instalada:
Todas las ediciones compatibles de las plataformas anteriores se han actualizado con Windows LAPS, incluidas las ediciones LTSC. La introducción de la característica LAPS de Windows no modifica de ninguna manera las directivas estándar del ciclo de vida de los productos de Microsoft.
Use Windows LAPS para rotar y administrar regularmente las contraseñas de la cuenta de administrador local y obtener estas ventajas:
Protección contra ataques Pass-the-Hash y lateral-transversal
Seguridad mejorada para escenarios remotos del departamento de soporte técnico
Capacidad de iniciar sesión y recuperar dispositivos que, de lo contrario, no son accesibles
Un modelo de seguridad específico (listas de control de acceso y cifrado de contraseña opcional) para proteger las contraseñas almacenadas en Windows Server Active Directory
Soporte para el modelo de control de acceso basado en roles de Entra para proteger las contraseñas almacenadas en Microsoft Entra ID
Vídeos informativos
Los vídeos siguientes ofrecen una manera informativa de obtener más información sobre la característica LAPS de Windows.
Presentación del despegue técnico de Windows (noviembre de 2022):
Discusión técnica de Windows (agosto de 2023):
Escenarios clave de Windows LAPS
Puede usar Windows LAPS para varios escenarios principales:
Copia de seguridad de contraseñas de cuenta de administrador local en Microsoft Entra ID (para dispositivos unidos a Microsoft Entra)
Hacer una copia de seguridad de las contraseñas de cuenta de administrador local para Windows Server Active Directory (para clientes y servidores unidos a Windows Server Active Directory)
Hacer una copia de seguridad de las contraseñas de cuenta de DSRM en Windows Server Active Directory (para controladores de dominio de Windows Server Active Directory)
Hacer una copia de seguridad de las contraseñas de cuenta de administrador local en Windows Server Active Directory mediante Microsoft LAPS heredado
En cada escenario puede aplicar diferentes configuraciones de directiva.
Descripción de las restricciones de estado de unión a dispositivos
Si un dispositivo está unido a Microsoft Entra ID o Windows Server Active Directory determina cómo puede usar Windows LAPS.
Los dispositivos unidos solo a Microsoft Entra ID solo pueden realizar copias de seguridad de contraseñas en Microsoft Entra ID.
Los dispositivos unidos solo a Windows Server Active Directory pueden realizar copias de seguridad de contraseñas solo en Windows Server Active Directory.
Los dispositivos unidos híbridos (unidos a Microsoft Entra ID y Windows Server Active Directory) pueden realizar copias de seguridad de sus contraseñas en Microsoft Entra ID o en Windows Server Active Directory. No se pueden realizar copias de seguridad de contraseñas en Microsoft Entra ID y en Windows Server Active Directory.
Windows LAPS no admite que se unan clientes al área de trabajo de Microsoft Entra.
Establecer la directiva de Windows LAPS
Para configurar y administrar la directiva para la implementación de Windows LAPS tiene varias opciones:
También tiene varias opciones para administrar y supervisar Windows LAPS.
Entre las opciones para Windows se incluyen:
Cuadro de diálogo Propiedades de usuarios y equipos de Windows Server Active Directory
Un canal de registro de eventos dedicado
Un módulo Windows PowerShell específico para Windows LAPS
Las soluciones de informes y supervisión basadas en Azure están disponibles al realizar copias de seguridad de contraseñas en Microsoft Entra ID.
Entrada en desuso del producto de Microsoft LAPS heredado
Importante
NOTA: El producto de Microsoft LAPS heredado está en desuso a partir de Windows 11 23 H2 y versiones posteriores. La instalación del paquete MSI de Microsoft LAPS heredado está bloqueada en versiones más recientes del sistema operativo y Microsoft ya no tendrá en cuenta los cambios de código para el producto de Microsoft LAPS heredado.
Use Windows LAPS, disponible en Windows Server 2019 y versiones posteriores, y en clientes Windows 10 y Windows 11 compatibles, para administrar contraseñas de cuenta de administrador local.
Microsoft seguirá admitiendo el producto de Microsoft LAPS heredado en versiones antiguas de Windows (anteriores a Windows 11 23 H2) en las que ya era compatible. Esa compatibilidad finalizará al final normal del soporte técnico para esos sistemas operativos.
Windows LAPS vs. Microsoft LAPS heredado
Windows LAPS hereda muchos conceptos de diseño de Microsoft LAPS heredado. Si está familiarizado con Microsoft LAPS heredado, muchas características de Windows LAPS le serán familiares. Una diferencia clave es que Windows LAPS es una implementación totalmente independiente que es nativa de Windows. Windows LAPS también agrega muchas características que no están disponibles en Microsoft LAPS heredado. Puede usar Windows LAPS para realizar copias de seguridad de contraseñas en Azure Active Directory, cifrar contraseñas en Windows Server Active Directory y almacenar el historial de contraseñas.
Importante
Windows LAPS no requiere que instale Microsoft LAPS heredado. Puede implementar y usar completamente todas las características de Windows LAPS sin instalar ni referirse a Microsoft LAPS heredado. Pero para ayudar a migrar una implementación existente de Microsoft LAPS heredado, Windows LAPS ofrece el modo de emulación de Microsoft LAPS heredado.
Microsoft publicó el producto heredado Microsoft LAPS en el año natural 2016 en el Centro de descarga de Microsoft. Windows LAPS se envió como parte de las actualizaciones de Windows publicadas el 11 de abril de 2023 para las plataformas enumeradas en Windows LAPS y Microsoft Entra ID.
Microsoft y la organización de entrega de soporte técnico ofrecen soporte asistido tanto para Microsoft LAPS como para Windows LAPS, incluida la interoperabilidad entre los dos productos.
Microsoft recomienda encarecidamente que los clientes empiecen a planear ahora la migración de sus sistemas compatibles con Windows LAPS. Que pasen de usar Microsoft LAPS heredado a usar la nueva característica de la Solución de contraseñas de administrador local de Windows. La Solución de contraseñas de administrador local de Windows ofrece muchas características de seguridad nuevas y un mantenimiento mejorado del producto.
Las preguntas sobre las limitaciones y los problemas de interoperabilidad entre las herramientas de administración de contraseñas de cuentas locales de terceros y Windows LAPS deben dirigirse al desarrollador de aplicaciones de terceros, y no a Microsoft.
Requisitos de concesión de licencia
La propia característica Solución de contraseñas de administrador local de Windows está disponible de forma gratuita en todas las plataformas Windows compatibles.
Puede realizar copias de seguridad de las contraseñas en una instancia de Active Directory local sin ningún otro requisito de licencia.
Puede realizar copias de seguridad de contraseñas en microsoft Entra ID con una licencia Gratis o superior de Microsoft Entra ID.
Otras características relacionadas con Azure o Intune pueden tener otros requisitos de licencias.
Envío de comentarios
¿Desea enviar comentarios? No dude en enviar preguntas específicas de la documentación a través de los vínculos de Comentarios, que se encuentran en la parte inferior de estas páginas de documentos.
Si sus comentarios son específicos de la funcionalidad LAPS relacionada con Microsoft Entra ID o Intune, puede enviar los comentarios a través del foro de comentarios de Microsoft Entra.
Si no está seguro de dónde deben ir sus comentarios, utilice cualquiera de las opciones anteriores para enviarlos.
En esta ruta de aprendizaje se explican los conceptos de compatibilidad del escritorio a lo largo de todo su ciclo de vida. Los alumnos también descubrirán Microsoft Entra ID y obtendrán información sobre las similitudes y diferencias entre Microsoft Entra ID y Active Directory DS, y cómo sincronizar entre los dos.
Planee y ejecute una estrategia de implementación de puntos de conexión mediante elementos esenciales de la administración moderna, los enfoques de administración conjunta y la integración de Microsoft Intune.