Primeros pasos durante los escenarios de implementación y migración de Windows LAPS

• Se aplica a:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows 11, ✅ Windows 10

Se pueden usar varios métodos tanto para implementar Windows LAPS como para migrar de una LAPS heredada a Windows LAPS. En este artículo no solo se describen los escenarios básicos, sino que también se proporcionan sugerencias y trucos que conviene conocer.

Al migrar dispositivos unidos a dispositivos híbridos existentes de LAPS antiguos a Windows LAPS, debe elegir si quiere seguir almacenando las contraseñas en Active Directory o cambiar a almacenarlas en Microsoft Entra ID.

Preparación del directorio

La mayoría del contenido de esta guía no es específico de los directorios. Sin embargo, hay algunos pasos previos necesarios para habilitar cualquier directorio (Active Directory o Microsoft Entra ID) para admitir dispositivos con Windows LAPS. Antes de implementar cualquiera de los otros escenarios que se describen en este artículo es preciso seguir estos pasos.

Preparación de Windows Server Active Directory

Antes de configurar los dispositivos unidos mediante Active Directory o con una unión híbrida para hacer una copia de seguridad de las contraseñas de una cuenta administrada en Active Directory, es preciso seguir los pasos que se indican a continuación.

1. Amplíe el esquema de AD para que admita Windows LAPS. Consulte Actualización del esquema de Windows Server Active Directory.
2. Si usa un almacén central de GPO, copie manualmente los archivos de plantilla de directiva de grupo de Windows LAPS en el almacén central. Vea Almacén central de GPO.
3. Asigne permisos de autoescritura a los dispositivos. Consulte Concesión del permiso de actualización de contraseñas del dispositivo administrado
4. Analice, determine y configure los permisos de AD adecuados para la expiración y la recuperación de contraseñas. Consulte Contraseñas de Windows Server Active Directory.
5. Analice y determine los grupos autorizados adecuados para descifrar contraseñas. Consulte Contraseñas de Windows Server Active Directory.
6. Cree una directiva de Windows LAPS cuyo destino sea los dispositivos administrados con la configuración adecuada que se ha determinado en los pasos anteriores.

Sugerencia

Si planea solo hacer la copia de seguridad de las contraseñas en Microsoft Entra ID, no es necesario seguir ninguno de estos pasos, incluida la extensión del esquema de AD.

Preparación de Microsoft Entra ID

Antes de configurar los dispositivos unidos mediante Microsoft Entra o con una unión híbrida para hacer una copia de seguridad de las contraseñas de una cuenta administrada en Microsoft Entra ID, es preciso seguir los pasos que se indican a continuación.

1. Examine la pertenencia de los roles de Microsoft Entra integrados que tengan acceso predeterminado a las contraseñas de Windows LAPS almacenadas en Microsoft Entra ID. De forma predeterminada, estos roles tienen privilegios elevados, por lo que no debería encontrar ninguna sorpresa en este paso.
2. Habilite el inquilino de Microsoft Entra para que admita la copia de seguridad de contraseñas de Windows LAPS. Consulte Habilitar LAPS de Windows con Microsoft Entra ID

Nuevo escenario de instalación del sistema operativo con una directiva de Windows LAPS

Windows LAPS está integrado en el sistema operativo Windows. Es una característica de seguridad de línea base de Windows y no se puede desinstalar. Por lo tanto, es importante conocer efecto que puede tener una directiva de Windows LAPS en una nueva instalación del sistema operativo.

El factor principal que se debe tener en cuenta es que Windows LAPS siempre está "activado". En cuando se aplica una directiva de Windows LAPS al dispositivo, Windows LAPS comienza inmediatamente a exigir la directiva. Este comportamiento puede provocar interrupciones si, en algún momento, el flujo de trabajo de implementación del sistema operativo implica unir mediante el dominio un dispositivo a una unidad organizativa con una directiva de Windows LAPS habilitada. Si la directiva de Windows LAPS tiene como destino la misma cuenta local con la que el flujo de trabajo de implementación inicia sesión, es probable que la modificación inmediata resultante de la contraseña de la cuenta local interrumpa el flujo de trabajo (por ejemplo, después de un reinicio durante un inicio de sesión automático).

La primera técnica para mitigar este problema es usar una unidad organizativa (OU) de "almacenamiento provisional" limpia. Una unidad organizativa de almacenamiento provisional se considera un hogar temporal para la cuenta del dispositivo que aplica un conjunto mínimo de directivas de obligado cumplimiento, y que no debe aplicar una directiva de Windows LAPS. La cuenta del dispositivo no se mueve a su unidad organizativa de destino final hasta que concluye el flujo de trabajo de implementación del sistema operativo. Microsoft recomienda el uso de una unidad organizativa de almacenamiento provisional limpia como procedimiento recomendado genérico.

Una segunda técnica consiste en configurar la directiva de Windows LAPS para que tenga como destino una cuenta diferente a la que usa el flujo de trabajo de implementación del sistema operativo. Se recomienda deben eliminar las cuentas locales innecesarias al final del flujo de trabajo de implementación del sistema operativo.

Nuevo escenario de instalación del sistema operativo con una directiva de LAPS heredada

Este escenario tiene los mismos temas básicos que el de la sección Nuevo escenario de instalación del sistema operativo con una directiva de Windows LAPS, pero tiene algunos problemas especiales relacionados con la compatibilidad de Windows LAPS para el modo de emulación de LAPS heredada.

De nuevo, el factor principal que se debe tener en cuenta es que Windows LAPS siempre está "activado". En cuanto se aplica una directiva de LAPS heredada al dispositivo (y siempre que se cumplan todos los criterios del modo de emulación de LAPS heredada), Windows LAPS comienza inmediatamente a exigir la directiva. Este comportamiento puede provocar interrupciones si, en algún momento, el flujo de trabajo de implementación del sistema operativo implica unir mediante el dominio un dispositivo a una unidad organizativa con una directiva de LAPS habilitada. Si la directiva de LAPS heredada tiene como destino la misma cuenta local con la que el flujo de trabajo de implementación inicia sesión, es probable que la modificación inmediata resultante de la contraseña de la cuenta local interrumpa el flujo de trabajo (por ejemplo, después de un reinicio durante un inicio de sesión automático).

La primera técnica para mitigar este problema es usar una unidad organizativa (OU) de "almacenamiento provisional" limpia. Una unidad organizativa de almacenamiento provisional se considera un hogar temporal para la cuenta del dispositivo que aplica un conjunto mínimo de directivas de obligado cumplimiento, y que no debe aplicar una directiva de LAPS heredada. La cuenta del dispositivo no se mueve a su unidad organizativa de destino final hasta que concluye el flujo de trabajo de implementación del sistema operativo. Microsoft recomienda el uso de una unidad organizativa de almacenamiento provisional limpia como procedimiento recomendado genérico.

Una segunda técnica consiste en configurar la directiva de LAPS heredada para que tenga como destino una cuenta diferente a la que usa el flujo de trabajo de implementación del sistema operativo. Se recomienda deben eliminar las cuentas locales innecesarias al final del flujo de trabajo de implementación del sistema operativo.

Una tercera técnica consiste en deshabilitar el modo de emulación de LAPS heredada al principio del flujo de trabajo de implementación del sistema operativo y habilitarlo (si fuera necesario) al final del flujo de trabajo de implementación del sistema operativo.

Escenario de coexistencia (en paralelo) con LAPS heredada

Windows LAPS y LAPS heredad se pueden usar en escenarios en paralelo. Para que el escenario en paralelo sea correcto, ambas directivas DEBEN tener como destino cuentas locales diferentes. Sin embargo, su objetivo a largo plazo debe ser migrar de LAPS heredada a Windows LAPS.

Escenarios de migración de LAPS heredada a Windows LAPS en los dispositivos existentes

Microsoft recomienda migrar de LAPS heredada a Windows LAPS. En esta sección se describen los procedimientos para realizar dicha migración en dispositivos existentes.

Se pueden usar dos enfoques básicos. El primero es una transición inmediata, mientras que el segundo usa un período de coexistencia en paralelo seguido de una transición final.

Enfoque de transición inmediata

Siga estos pasos para migrar inmediatamente de LAPS heredada a Windows LAPS en los dispositivos existentes:

1. Deshabilite o quite la directiva de LAPS heredada.
2. Cree una directiva de Windows LAPS y aplíquela.
3. Supervise el dispositivo administrado para confirmar una transición correcta.
4. Elimine el software LAPS heredada.

Los dos primeros pasos deben realizarse simultáneamente (o lo más posible).

El enfoque más sencillo al configurar la directiva de Windows LAPS es que tenga como destino la misma cuenta que anteriormente estaba destinada a la directiva de LAPS heredada. Si decide establecer como destino una cuenta diferente, es responsabilidad suya crearla antes de aplicar la directiva de Windows LAPS. La primera cuenta debe quitarse si ya no es necesaria.

La directiva de Windows LAPS también se puede configurar con características (realizar copias de seguridad en Microsoft Entra ID o habilitar el cifrado de contraseñas de AD) que no estaban disponibles en el software de LAPS antigua.

La primera vez que se aplica una directiva de Windows LAPS, el dispositivo administrado realiza una rotación inmediata de la contraseña de la cuenta local. Debe supervisar el dispositivo administrado para asegurarse de que la transición se ha completado correctamente.

Una vez completada la transición, el paso final debe ser quitar el software LAPS heredada del dispositivo administrado.

Enfoque de coexistencia en paralelo transitoria

Puede implementar un procedimiento de migración más gradual de LAPS heredada a Windows LAPS. Estos son los pasos básicos para realizar esta transición en los dispositivos existentes:

1. Configure el dispositivo administrado con una segunda cuenta local.
2. Cree una directiva de Windows LAPS y aplíquela.
3. Supervise el dispositivo administrado para confirmar una aplicación correcta de la directiva de Windows LAPS.
4. Deshabilite o quite la directiva de LAPS heredada.
5. Elimine el software LAPS heredada.
6. Elimine la cuenta adicional.

Con este enfoque, es necesario crear una segunda cuenta local, ya que no se admite tener una directiva de Windows LAPS y una directiva de LAPS heredada cuyos destinos sean la misma cuenta.

Después de confirmar que Windows LAPS funciona correctamente, puede dejar el dispositivo administrado en este estado durante el tiempo necesario antes de realizar el resto de los pasos de migración.

Supervisión de una transición correcta

Hay varios enfoques para supervisar un resultado correcto una vez que haya pasado un dispositivo administrado a una directiva de Windows LAPS:

• Puede supervisar el canal del registro de eventos de Windows LAPS del dispositivo administrado para detectar eventos de actualización de contraseña correctos (para Microsoft Entra ID o AD). Aquí puede resultar de ayuda una solución centralizada de recopilación de registros de eventos.
• Al almacenar contraseñas en Active Directory, puede buscar la apariencia de un atributo msLAPS-PasswordExpirationTime nuevo o actualizado en el objeto de equipo de AD del dispositivo administrado. El cmdlet de PowerShell Get-LapsADPassword se puede usar para automatizar este análisis.
• Al almacenar contraseñas en Microsoft Entra ID, puede comprobar los portales de administración de Microsoft Entra ID o Intune para comprobar que el dispositivo ha actualizado su contraseña. El cmdlet de PowerShell Get-LapsAADPassword se puede usar para automatizar este análisis.

Eliminación del software LAPS heredada de un dispositivo administrado

Los pasos específicos necesarios para quitar el software LAPS heredada del dispositivo administrado dependen de la forma en que el software se instaló inicialmente.

Si instaló LAPS heredada mediante el paquete del instalador MSI

En esta situación, puede desinstalar manualmente el software LAPS heredada desde el panel de control para escenarios de administración ad hoc.

Como alternativa también puede automatizar este proceso con la ejecución de un comando de desinstalación de MSI silencioso en el dispositivo administrado:

C:\>msiexec.exe /q /uninstall {97E2CA7B-B657-4FF7-A6DB-30ECC73E1E28}

Si instaló LAPS heredada mediante la copia y el registro manual del archivo DLL CSE de LAPS heredada.

En esta situación, debe anular el registro manualmente y, después, eliminar el archivo DLL de CSE de LAPS heredada:

regsvr32.exe /s /u AdmPwd.dll
delete AdmPwd.dll

Si es necesario, la ubicación en la que se copió el binario de CSE de LAPS heredada se puede consultar desde el registro, por ejemplo:

C:\>reg.exe query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}" /v DllName

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}
    DllName    REG_EXPAND_SZ    C:\windows\system32\AdmPwd.dll

Consulta también

• Microsoft LAPS heredado
• Guía de solución de problemas de Windows LAPS

Pasos siguientes

• Configuración de las opciones de directiva de Windows LAPS