Introducción a Windows LAPS y Windows Server Active Directory
Descubra cómo empezar a usar la Solución de contraseñas de administrador local de Windows (Windows LAPS) y Windows Server Active Directory. En el artículo se describen los procedimientos básicos para usar Windows LAPS para realizar copias de seguridad de contraseñas en Windows Server Active Directory y cómo recuperarlas.
Requisitos de la versión del sistema operativo del controlador de dominio y del nivel funcional del dominio
Si el dominio está configurado por debajo del nivel funcional de dominio (DFL) de 2016, no puede habilitar el período de cifrado de contraseñas de la Solución de contraseñas de administrador local de Windows. Sin cifrado de contraseñas, los clientes solo se pueden configurar para almacenar contraseñas en texto no cifrado (protegido por ACL de Active Directory) y los controladores de dominio no se pueden configurar para administrar su cuenta DSRM local.
Una vez que el dominio alcance 2016 DFL, puede habilitar el cifrado de contraseñas de la Solución de contraseñas de administrador local de Windows. Sin embargo, si ejecuta controladores de dominio WS2016, tenga en cuenta que no admiten la Solución de contraseñas de administrador local de Windows y, por lo tanto, no pueden usar la característica de administración de cuentas de DSRM.
Es adecuado usar sistemas operativos compatibles anteriores a WS2016 en los controladores de dominio, siempre que conozca estas limitaciones.
En la tabla siguiente se resumen los distintos escenarios, admitidos o no:
| Detalles del dominio | Se admite el almacenamiento de contraseñas en texto sin formato | Se admite el almacenamiento de contraseñas cifrado (para clientes unidos a un dominio) | Se admite la administración de cuentas de DSRM (para controladores de dominio) |
|---|---|---|---|
| Inferior a 2016 DFL | Sí | No | No |
| 2016 DFL con uno o varios controladores de dominio WS2016 | Sí | Sí | Sí, pero solo para los controladores de dominio WS2019, y las versiones posteriores |
| 2016 DFL solo con controladores de dominio WS2019, y las versiones posteriores | Sí | Sí | Sí |
Microsoft recomienda encarecidamente que el cliente realice la actualización al sistema operativo más reciente disponible en clientes, servidores y controladores de dominio, con el fin de aprovechar las características y mejoras de seguridad más recientes.
Actualizar el esquema de Windows Server Active Directory
Antes de usar Windows LAPS, el esquema de Windows Server Active Directory debe actualizarse. Esta acción se realiza mediante el cmdlet Update-LapsADSchema. Es una operación única para todo el bosque. Esta operación se puede realizar en un controlador de dominio de Windows Server 2022 o Windows Server 2019 actualizado con la Solución de contraseñas de administrador local de Windows, pero también se puede realizar en un controlador que no sea de dominio, siempre y cuando admita el módulo de PowerShell de la Solución de contraseñas de administrador local de Windows.
PS C:\> Update-LapsADSchema
Sugerencia
Use el parámetro -Verbose para ver información detallada sobre lo que hace el cmdlet Update-LapsADSchema (o cualquier otro cmdlet en el módulo de PowerShell de LAPS).
Conceder el permiso de dispositivo administrado para actualizar su contraseña
Para poder actualizar la contraseña, el dispositivo administrado debe tener permiso. Esta acción se realiza estableciendo permisos que se heredan en la unidad organizativa (OU) en la que se encuentra el dispositivo. Set-LapsADComputerSelfPermission se usa para este propósito, como por ejemplo:
PS C:\> Set-LapsADComputerSelfPermission -Identity NewLaps
Name DistinguishedName
---- -----------------
NewLAPS OU=NewLAPS,DC=laps,DC=com
Sugerencia
Si prefiere establecer los permisos heredables en la raíz del dominio, lo puede hacer especificando toda la raíz del dominio mediante la sintaxis DN. Por ejemplo, especifique "DC=laps,DC=com" para el parámetro -Identity.
Permisos de derechos ampliados de consulta
Es posible que a algunos usuarios o grupos ya tengan concedidos permisos de derechos extendidos en la unidad organizativa del dispositivo administrado. Este permiso es problemático porque concede la capacidad de leer atributos confidenciales (todos los atributos de contraseña de Windows LAPS se marcan como confidenciales). Una manera de comprobar quién tiene concedidos estos permisos es mediante el cmdlet Find-LapsADExtendedRights. Por ejemplo:
PS C:\> Find-LapsADExtendedRights -Identity newlaps
ObjectDN ExtendedRightHolders
-------- --------------------
OU=NewLAPS,DC=laps,DC=com {NT AUTHORITY\SYSTEM, LAPS\Domain Admins}
En el resultado salida de este ejemplo, solo las entidades de confianza (SYSTEM y administradores de dominio) tienen ese privilegio. No se requiere ninguna otra acción.
Configuración de la directiva del dispositivo
Complete algunos pasos para configurar la directiva de dispositivo.
Elección de un mecanismo de implementación de directivas
El primer paso es elegir cómo aplicar la directiva a los dispositivos.
La mayoría de los entornos usan la directiva de grupo de Windows LAPS para implementar la configuración necesaria en sus dispositivos unidos al dominio y Windows Server Active Directory.
Si los dispositivos también están unidos a Microsoft Entra ID de forma híbrido, puede implementar la directiva mediante Microsoft Intune con el proveedor de servicios de configuración (CSP) de Windows LAPS.
Configuración de directivas específicas
Como mínimo, debe configurar la opción BackupDirectory con el valor 2 (copia de seguridad de contraseñas en Windows Server Active Directory).
Si no configura la opción AdministratorAccountName, el valor predeterminado de Windows LAPS es administrar la cuenta de administrador local integrada predeterminada. Esta cuenta integrada se identifica automáticamente mediante su identificador relativo conocido (RID), nunca se debe identificar mediante su nombre. El nombre de la cuenta de administrador local integrada varía en función de la configuración regional predeterminada del dispositivo.
Si desea configurar una cuenta de administrador local personalizada, debe configurar la opción AdministratorAccountName con el nombre de esa cuenta.
Importante
Si configura Windows LAPS para administrar una cuenta de administrador local personalizada, debe asegurarse de que se crea la cuenta. Windows LAPS no crea la cuenta. Se recomienda usar el CSP RestrictedGroups para crear la cuenta.
Puede configurar otras opciones, como PasswordLength, según sea necesario para su organización.
Cuando no defina una configuración específica, se aplica el valor predeterminado; asegúrese de comprender esos valores predeterminados. Por ejemplo, si habilita el cifrado de contraseñas, pero no define la configuración ADPasswordEncryptionPrincipal, la contraseña se cifra para que solo los administradores de dominio puedan descifrarla. Puede definir ADPasswordEncryptionPrincipal con una configuración diferente si desea que los administradores que no sean de dominio puedan descifrar.
Actualizar una contraseña en Windows Server Active Directory
Windows LAPS procesa la directiva activa actualmente de forma periódica (cada hora) y responde a notificaciones de cambio de la directiva de grupo. Responde en función de la directiva y de las notificaciones de cambio.
Para comprobar que la contraseña se ha actualizado correctamente en Windows Server Active Directory, busque en el registro de eventos el evento 10018:
Para evitar esperas después de aplicar la directiva, puede ejecutar el cmdlet de PowerShell Invoke-LapsPolicyProcessing.
Recuperar una contraseña de Windows Server Active Directory
Use el cmdlet Get-LapsADPassword para recuperar contraseñas de Windows Server Active Directory. Por ejemplo:
PS C:\> Get-LapsADPassword -Identity lapsAD2 -AsPlainText
ComputerName : LAPSAD2
DistinguishedName : CN=LAPSAD2,OU=NewLAPS,DC=laps,DC=com
Account : Administrator
Password : Zlh+lzC[0e0/VU
PasswordUpdateTime : 7/1/2022 1:23:19 PM
ExpirationTimestamp : 7/31/2022 1:23:19 PM
Source : EncryptedPassword
DecryptionStatus : Success
AuthorizedDecryptor : LAPS\Domain Admins
Este resultado de salida indica que el cifrado de contraseña está habilitado (consulte Source). El cifrado de contraseña requiere que el dominio esté configurado para el nivel funcional de dominio de Windows Server 2016 o posterior.
Rotación de la contraseña
Windows LAPS lee el tiempo de expiración de la contraseña de Windows Server Active Directory durante cada ciclo de procesamiento de la directiva. Si la contraseña ha expirado, inmediatamente se genera una nueva contraseña y se almacena.
En algunas situaciones (por ejemplo, después de una vulneración de la seguridad o para pruebas ad hoc), es posible que sea recomendable girar la contraseña antes. Para forzar manualmente una rotación de contraseñas, puede usar el cmdlet Reset-LapsPassword.
Puede usar el cmdlet Set-LapsADPasswordExpirationTime para establecer la hora de expiración de contraseña programada como almacenada en Windows Server Active Directory. Por ejemplo:
PS C:\> Set-LapsADPasswordExpirationTime -Identity lapsAD2
DistinguishedName Status
----------------- ------
CN=LAPSAD2,OU=NewLAPS,DC=laps,DC=com PasswordReset
La próxima vez que Windows LAPS se reactiva para procesar la directiva actual, ve la hora de expiración de la contraseña modificada y gira la contraseña. Si no desea esperar, puede ejecutar el cmdlet Invoke-LapsPolicyProcessing.
Puede usar el cmdlet Reset-LapsPassword para forzar localmente un giro inmediata de la contraseña.
Consulte también
- Introducción a la solución de contraseña de administrador local de Windows en Microsoft Entra ID
- Solución de contraseñas de administrador local de Windows en Microsoft Entra ID
- RestrictedGroups CSP
- Microsoft Intune
- Compatibilidad de Microsoft Intune con Windows LAPS
- CSP de Windows LAPS
- Guía de solución de problemas de Windows LAPS
Pasos siguientes
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de