Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La solución de contraseñas de administrador local de Windows (Windows LAPS) le ayuda a administrar de forma segura las contraseñas de administrador local en dispositivos Windows mediante Microsoft Entra ID o Active Directory. En este artículo se explica cómo migrar de MICROSOFT LAPS heredados a Windows LAPS para mejorar la seguridad y la administración.
Windows LAPS y LAPS heredad se pueden usar en escenarios en paralelo. Para que el escenario en paralelo se realice correctamente, ambas directivas deben tener como destino cuentas locales diferentes. Sin embargo, su objetivo a largo plazo debe ser migrar de LAPS heredada a Windows LAPS.
Prerrequisitos
Antes de comenzar el proceso de migración, asegúrese de configurar Windows LAPS. Para obtener más información, consulte Introducción a Windows LAPS y microsoft Entra ID o Introducción a Windows LAPS y Windows Server Active Directory.
Escenarios de migración de LAPS heredada a Windows LAPS en los dispositivos existentes
Microsoft recomienda migrar de LAPS heredada a Windows LAPS. En esta sección se describen los procedimientos para realizar dicha migración en dispositivos existentes.
Se pueden usar dos enfoques básicos. El primero es una transición inmediata, mientras que el segundo usa un período de coexistencia en paralelo seguido de una transición final.
Enfoque de transición inmediata
Puede migrar de LAPS heredado a Windows LAPS en dispositivos existentes mediante el siguiente proceso:
- Deshabilite o elimine la directiva LAPS antigua.
- Cree y aplique una política de Windows LAPS.
- Supervise el dispositivo administrado para confirmar una transición correcta.
- Quite el software LAPS heredado.
Los dos primeros pasos deben realizarse simultáneamente (o lo más posible).
El enfoque más sencillo al configurar la directiva de Windows LAPS es que tenga como destino la misma cuenta que anteriormente estaba destinada a la directiva de LAPS heredada. Si decide establecer como destino una cuenta diferente, debe crear la nueva cuenta antes de aplicar la directiva DE WINDOWS LAPS. La primera cuenta debe quitarse si ya no es necesaria.
La directiva de Windows LAPS también se puede configurar con características como la copia de seguridad en Microsoft Entra ID o habilitar el cifrado de contraseñas de Active Directory, que no estaban disponibles con el LAPS heredado.
La primera vez que se aplica una directiva de Windows LAPS, el dispositivo administrado realiza una rotación inmediata de la contraseña de la cuenta local. Para obtener más información, consulte How a Windows LAPS policy is applied to a new client device (Cómo se aplica una directiva DE WINDOWS LAPS a un nuevo dispositivo cliente). Debe supervisar el dispositivo administrado para asegurarse de que la transición sea correcta.
Una vez completada la transición, el paso final debe ser quitar el software LAPS heredado del dispositivo administrado.
Enfoque de coexistencia en paralelo transitoria
Es posible que quiera implementar un procedimiento de migración más gradual desde LAPS heredado a Windows LAPS. Los pasos generales para realizar esta transición en los dispositivos existentes son los siguientes:
- Configure el dispositivo administrado con una segunda cuenta local.
- Cree y aplique una política de Windows LAPS.
- Supervise el dispositivo administrado para confirmar una aplicación correcta de la directiva LAPS de Windows.
- Deshabilite o elimine la directiva LAPS antigua.
- Quite el software LAPS heredado.
- Quite la cuenta adicional.
Con este enfoque, debe crear una segunda cuenta local, ya que no se admite tener una directiva LAPS de Windows y una directiva LAPS heredada dirigidas a la misma cuenta.
Después de confirmar que Windows LAPS funciona correctamente, puede dejar el dispositivo administrado en este estado durante el tiempo necesario antes de realizar el resto de los pasos de migración.
Supervisión de una transición correcta
Hay varios enfoques para supervisar un resultado correcto una vez que se realiza la transición de un dispositivo administrado a una directiva DE WINDOWS LAPS:
- Puede supervisar el canal del registro de eventos de Windows LAPS del dispositivo administrado para detectar eventos de actualización de contraseña correctos (para Microsoft Entra ID o AD). Una solución centralizada de recopilación de registros de eventos puede ayudar aquí.
- Al almacenar contraseñas en Active Directory, puede buscar la apariencia de un atributo nuevo o actualizado
msLAPS-PasswordExpirationTimeen el objeto de equipo de AD del dispositivo administrado. El cmdlet de PowerShellGet-LapsADPasswordse puede usar para automatizar este análisis. - Al almacenar contraseñas en el identificador de Entra de Microsoft, puede comprobar el identificador de Microsoft Entra o los portales de administración de Intune para comprobar que se actualiza la contraseña del dispositivo. El cmdlet de PowerShell
Get-LapsAADPasswordse puede usar para automatizar este análisis.
Eliminar el software LAPS antiguo de un dispositivo administrado
Los pasos específicos necesarios para quitar el software LAPS heredada del dispositivo administrado dependen de la forma en que el software se instaló inicialmente.
Si instaló LAPS heredado mediante el paquete del instalador MSI, puede desinstalar manualmente el software LAPS heredado de los programas de adición o eliminación, o ejecutar el siguiente comando desde la línea de comandos que se ejecuta como administrador en el dispositivo:
msiexec.exe /q /uninstall {97E2CA7B-B657-4FF7-A6DB-30ECC73E1E28}Si instaló LAPS heredado copiando y registrando manualmente el archivo LAPS CSE
AdmPwd.dllheredado, debe anular el registro manualmente y, a continuación, eliminarAdmPwd.dll. Ejecute el siguiente comando desde la línea de comandos que se ejecuta como administrador en el dispositivo. Si copióAdmPwd.dlla otra ubicación, debe ajustar la ruta en consecuencia. Puede encontrar la ubicación del archivo comprobando el valor de la clave del RegistroHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}para elDllName.regsvr32.exe /s /u AdmPwd.dll delete C:\windows\system32\AdmPwd.dll