La empresa usa el proveedor de servicios de configuración de solución de contraseñas de administrador local (LAPS) para administrar la copia de seguridad de contraseñas de cuenta de administrador local. Windows admite un objeto de directiva de grupo LAPS totalmente independiente del CSP de LAPS. Muchas de las distintas configuraciones son comunes tanto en el GPO de LAPS como en el CSP (GPO no admite ninguna de las configuraciones relacionadas con la acción). Siempre que se configure al menos una configuración de LAPS a través de CSP, se omitirá cualquier configuración configurada por GPO. Consulte también Configuración de las opciones de directiva para Windows LAPS.
En este artículo se tratan los detalles técnicos específicos del CSP de LAPS. Para obtener más información sobre los escenarios en los que se usaría el CSP de LAPS, consulte Solución de contraseñas de administrador local de Windows.
En la lista siguiente se muestran los nodos del proveedor de servicios de configuración de LAPS:
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ [10.0.20348.1663] y versiones posteriores
✅ [10.0.25145] y versiones posteriores
✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores
✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores
✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores
✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores
Device
./Device/Vendor/MSFT/LAPS/Actions
Define el nodo interior primario para toda la configuración relacionada con la acción en el CSP de LAPS.
Propiedades del marco de descripción:
Nombre de la propiedad
Valor de propiedad
Formato
node
Tipo de acceso
Obtener
Actions/ResetPassword
Ámbito
Ediciones
Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ [10.0.20348.1663] y versiones posteriores
✅ [10.0.25145] y versiones posteriores
✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores
✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores
✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores
✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores
Device
./Device/Vendor/MSFT/LAPS/Actions/ResetPassword
Use esta configuración para indicar al CSP que genere y almacene inmediatamente una nueva contraseña para la cuenta de administrador local administrada.
Esta acción invoca un restablecimiento inmediato de la contraseña de la cuenta de administrador local, omitiendo las restricciones normales, como PasswordLengthDays, etc.
Propiedades del marco de descripción:
Nombre de la propiedad
Valor de propiedad
Formato
null
Tipo de acceso
Exec
Actions/ResetPasswordStatus
Ámbito
Ediciones
Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ [10.0.20348.1663] y versiones posteriores
✅ [10.0.25145] y versiones posteriores
✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores
✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores
✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores
✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores
Use esta configuración para consultar el estado de la última acción de ejecución ResetPassword enviada.
El valor devuelto es un código HRESULT:
S_OK (0x0): la última acción ResetPassword enviada se realizó correctamente.
E_PENDING (0x8000000): la última acción ResetPassword enviada sigue ejecutándose.
Otro: La última acción ResetPassword enviada encontró el error devuelto.
Propiedades del marco de descripción:
Nombre de la propiedad
Valor de propiedad
Formato
int
Tipo de acceso
Obtener
Valor predeterminado
0
Directivas
Ámbito
Ediciones
Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ [10.0.20348.1663] y versiones posteriores
✅ [10.0.25145] y versiones posteriores
✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores
✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores
✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores
✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores
Device
./Device/Vendor/MSFT/LAPS/Policies
Nodo raíz para directivas LAPS.
Propiedades del marco de descripción:
Nombre de la propiedad
Valor de propiedad
Formato
node
Tipo de acceso
Obtener
Atomic Required
Verdadero
Policies/ADEncryptedPasswordHistorySize
Ámbito
Ediciones
Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ [10.0.20348.1663] y versiones posteriores
✅ [10.0.25145] y versiones posteriores
✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores
✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores
✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores
✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores
Use esta opción para configurar cuántas contraseñas cifradas anteriores se recordarán en Active Directory.
Si no se especifica, esta configuración tendrá como valor predeterminado 0 contraseñas (deshabilitadas).
Esta configuración tiene un valor mínimo permitido de 0 contraseñas.
Esta configuración tiene un valor máximo permitido de 12 contraseñas.
Importante
Esta configuración se omite a menos que ADPasswordEncryptionEnabled esté configurado como True y se cumplan todos los demás requisitos previos.
Propiedades del marco de descripción:
Nombre de la propiedad
Valor de propiedad
Formato
int
Tipo de acceso
Agregar, eliminar, obtener y reemplazar
Valores permitidos
Gama: [0-12]
Valor predeterminado
0
Dependencia [BackupDirectory]
Tipo de dependencia: DependsOn URI de dependencia: Vendor/MSFT/LAPS/Policies/BackupDirectory Valor permitido de dependencia: 2 Tipo de valor permitido de dependencia: ENUM
Policies/AdministratorAccountName
Ámbito
Ediciones
Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ [10.0.20348.1663] y versiones posteriores
✅ [10.0.25145] y versiones posteriores
✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores
✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores
✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores
✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores
Use esta opción para configurar el nombre de la cuenta de administrador local administrada.
Si no se especifica, la cuenta de administrador local integrada predeterminada se ubicará mediante un SID conocido (incluso si se cambia el nombre).
Si se especifica, se administrará la contraseña de la cuenta especificada.
Tenga en cuenta que si se especifica un nombre de cuenta de administrador local administrado personalizado en esta configuración, esa cuenta debe crearse a través de otros medios. La especificación de un nombre en esta configuración no hará que se cree la cuenta.
Propiedades del marco de descripción:
Nombre de la propiedad
Valor de propiedad
Formato
chr (cadena)
Tipo de acceso
Agregar, Eliminar, Obtener, Reemplazar
Policies/ADPasswordEncryptionEnabled
Ámbito
Ediciones
Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ [10.0.20348.1663] y versiones posteriores
✅ [10.0.25145] y versiones posteriores
✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores
✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores
✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores
✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores
Use esta opción para configurar si la contraseña está cifrada antes de almacenarse en Active Directory.
Esta configuración se omite si la contraseña se está almacenando actualmente en Microsoft Entra ID.
Esta configuración solo se respeta cuando el dominio de Active Directory está en Windows Server 2016 nivel funcional de dominio o superior.
Si esta configuración está habilitada y el dominio de Active Directory cumple el requisito previo de DFL, la contraseña se cifrará antes de almacenarse en Active Directory.
Si esta configuración está deshabilitada o el dominio de Active Directory no cumple el requisito previo de DFL, la contraseña se almacenará como texto no cifrado en Active Directory.
Si no se especifica, este valor predeterminado es True.
Importante
Esta configuración se omite a menos que BackupDirectory esté configurado para realizar una copia de seguridad de la contraseña en Active Directory y el dominio de Active Directory esté en Windows Server 2016 nivel funcional de dominio o superior.
Propiedades del marco de descripción:
Nombre de la propiedad
Valor de propiedad
Formato
bool
Tipo de acceso
Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado
Verdadero
Dependencia [BackupDirectory]
Tipo de dependencia: DependsOn URI de dependencia: Vendor/MSFT/LAPS/Policies/BackupDirectory Valor permitido de dependencia: 2 Tipo de valor permitido de dependencia: ENUM
Valores permitidos:
Valor
Descripción
false
Almacene la contraseña en forma de texto no cifrado en Active Directory.
true (valor predeterminado)
Almacene la contraseña en forma cifrada en Active Directory.
Policies/ADPasswordEncryptionPrincipal
Ámbito
Ediciones
Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ [10.0.20348.1663] y versiones posteriores
✅ [10.0.25145] y versiones posteriores
✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores
✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores
✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores
✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores
Use esta configuración para configurar el nombre o el SID de un usuario o grupo que puede descifrar la contraseña almacenada en Active Directory.
Esta configuración se omite si la contraseña se está almacenando actualmente en Microsoft Entra ID.
Si no se especifica, el grupo Administradores de dominio del dominio del dispositivo podrá descifrar la contraseña.
Si se especifica, el usuario o grupo especificado podrá descifrar la contraseña almacenada en Active Directory.
Si la cuenta de usuario o grupo especificada no es válida, el dispositivo se reservará para usar el grupo Administradores de dominio en el dominio del dispositivo.
Importante
Esta configuración se omite a menos que ADPasswordEncryptionEnabled esté configurado como True y se cumplan todos los demás requisitos previos. La cadena almacenada en esta configuración debe ser un SID en forma de cadena o el nombre completo de un usuario o grupo. Entre los ejemplos válidos se incluyen:
S-1-5-21-2127521184-1604012920-1887927527-35197
contoso\LAPSAdmins
lapsadmins@contoso.com
La entidad de seguridad identificada (ya sea por SID o nombre de usuario o grupo) debe existir y el dispositivo puede resolverla.
Propiedades del marco de descripción:
Nombre de la propiedad
Valor de propiedad
Formato
chr (cadena)
Tipo de acceso
Agregar, Eliminar, Obtener, Reemplazar
Dependencia [BackupDirectory]
Tipo de dependencia: DependsOn URI de dependencia: Vendor/MSFT/LAPS/Policies/BackupDirectory Valor permitido de dependencia: 2 Tipo de valor permitido de dependencia: ENUM
Policies/AutomaticAccountManagementEnableAccount
Ámbito
Ediciones
Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
Use esta opción para configurar si la cuenta administrada automáticamente está habilitada o deshabilitada.
Si esta configuración está habilitada, se habilitará la cuenta de destino.
Si esta configuración está deshabilitada, se deshabilitará la cuenta de destino.
Si no se especifica, este valor predeterminado es False.
Propiedades del marco de descripción:
Nombre de la propiedad
Valor de propiedad
Formato
bool
Tipo de acceso
Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado
Falso
Dependencia [AutomaticAccountManagementEnabled]
Tipo de dependencia: DependsOn URI de dependencia: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled Valor permitido de dependencia: true Tipo de valor permitido de dependencia: ENUM
Valores permitidos:
Valor
Descripción
False (valor predeterminado)
La cuenta de destino se deshabilitará.
Verdadero
Se habilitará la cuenta de destino.
Policies/AutomaticAccountManagementEnabled
Ámbito
Ediciones
Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
Use esta opción para configurar el nombre o el prefijo de la cuenta de administrador local administrada.
Si se especifica, el valor se usará como nombre o prefijo de nombre de la cuenta administrada.
Si no se especifica, esta configuración tendrá como valor predeterminado "WLapsAdmin".
Propiedades del marco de descripción:
Nombre de la propiedad
Valor de propiedad
Formato
chr (cadena)
Tipo de acceso
Agregar, Eliminar, Obtener, Reemplazar
Dependencia [AutomaticAccountManagementEnabled]
Tipo de dependencia: DependsOn URI de dependencia: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled Valor permitido de dependencia: true Tipo de valor permitido de dependencia: ENUM
Policies/AutomaticAccountManagementRandomizeName
Ámbito
Ediciones
Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
Use esta configuración para configurar si el nombre de la cuenta administrada automáticamente usa un sufijo numérico aleatorio cada vez que se gira la contraseña.
Si esta configuración está habilitada, el nombre de la cuenta de destino usará un sufijo numérico aleatorio.
Si se desasombre esta configuración, el nombre de la cuenta de destino no usará un sufijo numérico aleatorio.
Si no se especifica, este valor predeterminado es False.
Propiedades del marco de descripción:
Nombre de la propiedad
Valor de propiedad
Formato
bool
Tipo de acceso
Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado
Falso
Dependencia [AutomaticAccountManagementEnabled]
Tipo de dependencia: DependsOn URI de dependencia: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled Valor permitido de dependencia: true Tipo de valor permitido de dependencia: ENUM
Valores permitidos:
Valor
Descripción
False (valor predeterminado)
El nombre de la cuenta de destino no usará un sufijo numérico aleatorio.
Verdadero
El nombre de la cuenta de destino usará un sufijo numérico aleatorio.
Policies/AutomaticAccountManagementTarget
Ámbito
Ediciones
Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
Use esta opción para configurar qué cuenta se administra automáticamente.
Los valores permitidos son:
0=Se administrará la cuenta de administrador integrada.
1=Se administrará una nueva cuenta creada por Windows LAPS.
Si no se especifica, esta configuración tendrá como valor predeterminado 1.
Propiedades del marco de descripción:
Nombre de la propiedad
Valor de propiedad
Formato
int
Tipo de acceso
Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado
1
Dependencia [AutomaticAccountManagementEnabled]
Tipo de dependencia: DependsOn URI de dependencia: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled Valor permitido de dependencia: true Tipo de valor permitido de dependencia: ENUM
Valores permitidos:
Valor
Descripción
0
Administre la cuenta de administrador integrada.
1 (valor predeterminado)
Administrar una nueva cuenta de administrador personalizada.
Directivas/BackupDirectory
Ámbito
Ediciones
Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ [10.0.20348.1663] y versiones posteriores
✅ [10.0.25145] y versiones posteriores
✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores
✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores
✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores
✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores
Use esta opción para configurar el directorio en el que se realiza la copia de seguridad de la contraseña de la cuenta de administrador local.
Los valores permitidos son:
0=Deshabilitado (no se realizará una copia de seguridad de la contraseña) 1=Copia de seguridad de la contraseña en Microsoft Entra ID solo 2=Copia de seguridad de la contraseña solo en Active Directory.
Si no se especifica, esta configuración tendrá como valor predeterminado 0.
Propiedades del marco de descripción:
Nombre de la propiedad
Valor de propiedad
Formato
int
Tipo de acceso
Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado
0
Valores permitidos:
Valor
Descripción
0 (Predeterminado)
Deshabilitado (no se realizará una copia de seguridad de la contraseña).
1
Haga una copia de seguridad de la contraseña solo en Microsoft Entra ID.
2
Haga una copia de seguridad de la contraseña solo en Active Directory.
Directivas/frase de contraseñaLength
Ámbito
Ediciones
Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
Use esta opción para configurar el número de palabras de frase de contraseña.
Si no se especifica, esta configuración tendrá como valor predeterminado 6 palabras.
Esta configuración tiene un valor mínimo permitido de 3 palabras.
Esta configuración tiene un valor máximo permitido de 10 palabras.
Propiedades del marco de descripción:
Nombre de la propiedad
Valor de propiedad
Formato
int
Tipo de acceso
Agregar, eliminar, obtener y reemplazar
Valores permitidos
Gama: [3-10]
Valor predeterminado
6
Dependencia [PasswordComplexity]
Tipo de dependencia: DependsOn URI de dependencia: Vendor/MSFT/LAPS/Policies/PasswordComplexity Valor permitido de dependencia: [6-8] Tipo de valor permitido de dependencia: Range
Directivas/PasswordAgeDays
Ámbito
Ediciones
Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ [10.0.20348.1663] y versiones posteriores
✅ [10.0.25145] y versiones posteriores
✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores
✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores
✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores
✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores
Use esta directiva para configurar la antigüedad máxima de contraseña de la cuenta de administrador local administrada.
Si no se especifica, esta configuración tendrá como valor predeterminado 30 días.
Esta configuración tiene un valor mínimo permitido de 1 día al hacer una copia de seguridad de la contraseña para Active Directory local y de 7 días al hacer una copia de seguridad de la contraseña para Microsoft Entra ID.
Esta configuración tiene un valor máximo permitido de 365 días.
Tipo de dependencia: DependsOn DependsOn URI de dependencia: Vendor/MSFT/LAPS/Policies/BackupDirectory Vendor/MSFT/LAPS/Policies/BackupDirectory Valor permitido de dependencia: Tipo de valor permitido de dependencia: ENUM ENUM
Directivas/PasswordComplexity
Ámbito
Ediciones
Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ [10.0.20348.1663] y versiones posteriores
✅ [10.0.25145] y versiones posteriores
✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores
✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores
✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores
✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores
Use esta opción para configurar la complejidad de la contraseña de la cuenta de administrador local administrada.
Los valores permitidos son:
1=Letras grandes 2=Letras grandes + letras pequeñas 3=Letras grandes + letras pequeñas + números 4=Letras grandes + letras pequeñas + números + caracteres especiales 5=Letras grandes + letras pequeñas + números + caracteres especiales (legibilidad mejorada) 6=Frase de contraseña (palabras largas) 7=Frase de contraseña (palabras cortas) 8=Frase de contraseña (palabras cortas con prefijos únicos)
Si no se especifica, esta configuración tendrá como valor predeterminado 4.
Lista de frase de contraseña tomada de "Deep Dive: New Wordlists for Random Passphrases" de Electronic Frontier Foundation, y se usa con una licencia de atribución CC-BY-3.0. Vea https://go.microsoft.com/fwlink/?linkid=2255471 para obtener más información.
Importante
Windows admite la configuración de complejidad de contraseña inferior (1, 2 y 3) solo para la compatibilidad con versiones anteriores de LAPS. Microsoft recomienda que esta configuración siempre esté configurada en 4.
Propiedades del marco de descripción:
Nombre de la propiedad
Valor de propiedad
Formato
int
Tipo de acceso
Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado
4
Valores permitidos:
Valor
Descripción
1
Letras grandes.
2
Letras grandes + letras pequeñas.
3
Letras grandes + letras pequeñas + números.
4 (valor predeterminado)
Letras grandes + letras pequeñas + números + caracteres especiales.
Frase de contraseña (palabras cortas con prefijos únicos).
Policies/PasswordExpirationProtectionEnabled
Ámbito
Ediciones
Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ [10.0.20348.1663] y versiones posteriores
✅ [10.0.25145] y versiones posteriores
✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores
✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores
✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores
✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores
Use esta opción para configurar la aplicación adicional de la antigüedad máxima de contraseña para la cuenta de administrador local administrada.
Cuando esta configuración está habilitada, no se permite la expiración planeada de contraseñas que daría lugar a una antigüedad de contraseña mayor que la dictada por la directiva "PasswordAgeDays". Cuando se detecta dicha expiración, la contraseña se cambia inmediatamente y la nueva fecha de expiración de la contraseña se establece según la directiva.
Si no se especifica, este valor predeterminado es True.
Importante
Esta configuración se omite a menos que BackupDirectory esté configurado para hacer una copia de seguridad de la contraseña en Active Directory.
Propiedades del marco de descripción:
Nombre de la propiedad
Valor de propiedad
Formato
bool
Tipo de acceso
Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado
Verdadero
Dependencia [BackupDirectory]
Tipo de dependencia: DependsOn URI de dependencia: Vendor/MSFT/LAPS/Policies/BackupDirectory Valor permitido de dependencia: 2 Tipo de valor permitido de dependencia: ENUM
Valores permitidos:
Valor
Descripción
false
Permitir que la marca de tiempo de expiración de contraseña configurada supere la antigüedad máxima de la contraseña.
true (valor predeterminado)
No permita que la marca de tiempo de expiración de contraseña configurada supere la antigüedad máxima de la contraseña.
Policies/PasswordLength
Ámbito
Ediciones
Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ [10.0.20348.1663] y versiones posteriores
✅ [10.0.25145] y versiones posteriores
✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores
✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores
✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores
✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores
Device
./Device/Vendor/MSFT/LAPS/Policies/PasswordLength
Use esta opción para configurar la longitud de la contraseña de la cuenta de administrador local administrada.
Si no se especifica, esta configuración tendrá como valor predeterminado 14 caracteres.
Esta configuración tiene un valor mínimo permitido de 8 caracteres.
Esta configuración tiene un valor máximo permitido de 64 caracteres.
Propiedades del marco de descripción:
Nombre de la propiedad
Valor de propiedad
Formato
int
Tipo de acceso
Agregar, eliminar, obtener y reemplazar
Valores permitidos
Gama: [8-64]
Valor predeterminado
14
Dependencia [PasswordComplexity]
Tipo de dependencia: DependsOn URI de dependencia: Vendor/MSFT/LAPS/Policies/PasswordComplexity Valor permitido de dependencia: [1-5] Tipo de valor permitido de dependencia: Range
Policies/PostAuthenticationActions
Ámbito
Ediciones
Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ [10.0.20348.1663] y versiones posteriores
✅ [10.0.25145] y versiones posteriores
✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores
✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores
✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores
✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores
Use esta configuración para especificar las acciones que se realizarán tras la expiración del período de gracia configurado.
Si no se especifica, esta configuración tendrá como valor predeterminado 3 (Restablecer la contraseña y cerrar la sesión de la cuenta administrada).
Importante
Las acciones posteriores a la autenticación permitidas están diseñadas para ayudar a limitar la cantidad de tiempo que se puede usar una contraseña LAPS antes de restablecerse. El cierre de sesión de la cuenta administrada o el reinicio del dispositivo son opciones que ayudan a garantizar esto. La finalización abrupta de las sesiones de inicio de sesión o el reinicio del dispositivo pueden dar lugar a la pérdida de datos.
Importante
Desde una perspectiva de seguridad, un usuario malintencionado que adquiere privilegios administrativos en un dispositivo mediante una contraseña LAPS válida tiene la capacidad definitiva de evitar o eludir estos mecanismos.
Propiedades del marco de descripción:
Nombre de la propiedad
Valor de propiedad
Formato
int
Tipo de acceso
Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado
3
Valores permitidos:
Valor
Descripción
1
Restablecer contraseña: al expirar el período de gracia, se restablecerá la contraseña de la cuenta administrada.
3 (valor predeterminado)
Restablezca la contraseña y cierre la sesión de la cuenta administrada: al expirar el período de gracia, se restablecerá la contraseña de la cuenta administrada y se finalizarán las sesiones de inicio de sesión interactivas con la cuenta administrada.
5
Restablecer la contraseña y reiniciar: al expirar el período de gracia, se restablecerá la contraseña de la cuenta administrada y el dispositivo administrado se reiniciará inmediatamente.
11
Restablezca la contraseña, cierre la sesión de la cuenta administrada y finalice los procesos restantes: al expirar el período de gracia, se restablece la contraseña de la cuenta administrada, se cierran las sesiones de inicio de sesión interactivas con la cuenta administrada y se finalizan los procesos restantes.
Policies/PostAuthenticationResetDelay
Ámbito
Ediciones
Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ [10.0.20348.1663] y versiones posteriores
✅ [10.0.25145] y versiones posteriores
✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores
✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores
✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores
✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores
Use esta configuración para especificar la cantidad de tiempo (en horas) para esperar después de una autenticación antes de ejecutar las acciones posteriores a la autenticación especificadas.
Si no se especifica, esta configuración tendrá un valor predeterminado de 24 horas.
Esta configuración tiene un valor mínimo permitido de 0 horas (esto deshabilita todas las acciones posteriores a la autenticación).
Esta configuración tiene un valor máximo permitido de 24 horas.
Propiedades del marco de descripción:
Nombre de la propiedad
Valor de propiedad
Formato
int
Tipo de acceso
Agregar, eliminar, obtener y reemplazar
Valores permitidos
Gama: [0-24]
Valor predeterminado
24
Aplicabilidad de la configuración
El CSP de LAPS se puede usar para administrar dispositivos que están unidos a Microsoft Entra ID o unidos a Microsoft Entra ID y Active Directory (unidos a híbridos). El CSP de LAPS administra una combinación de configuraciones de solo Microsoft Entra y solo AD. La configuración de solo AD solo se aplica a los dispositivos unidos a híbridos y, a continuación, solo cuando BackupDirectory se establece en 2.
Nombre del valor de configuración
Unido a Azure
Unido a híbridos
BackupDirectory
Sí
Sí
PasswordAgeDays
Sí
Sí
PasswordLength
Sí
Sí
PasswordComplexity
Sí
Sí
PasswordExpirationProtectionEnabled
No
Sí
AdministratorAccountName
Sí
Sí
ADPasswordEncryptionEnabled
No
Sí
ADPasswordEncryptionPrincipal
No
Sí
ADEncryptedPasswordHistorySize
No
Sí
PostAuthenticationResetDelay
Sí
Sí
PostAuthenticationActions
Sí
Sí
ResetPassword
Sí
Sí
ResetPasswordStatus
Sí
Sí
Ejemplos de SyncML
Los ejemplos siguientes se proporcionan para mostrar el formato correcto y no deben considerarse como una recomendación.
Contraseña de copia de seguridad de dispositivos unidos a Azure hasta Microsoft Entra ID
En este ejemplo se muestra cómo configurar un dispositivo unido a Azure para realizar una copia de seguridad de su contraseña en Microsoft Entra ID:
Contraseña de copia de seguridad de dispositivos unidos híbridos a Active Directory
En este ejemplo se muestra cómo configurar un dispositivo híbrido para realizar una copia de seguridad de su contraseña en Active Directory con el cifrado de contraseña habilitado:
Proteja el entorno de Active Directory mediante la protección de las cuentas de usuario, incluidas aquellas con privilegios mínimos, y su inserción en el grupo Usuarios protegidos. Aprenda cómo limitar el ámbito de autenticación y corregir las cuentas potencialmente inseguras.
Muestre las características de Microsoft Entra ID para modernizar las soluciones de identidad, implementar soluciones híbridas e implementar la gobernanza de identidades.
Obtenga información general sobre la Solución de contraseñas de administrador local de Windows (Windows LAPS), incluyendo los escenarios clave y las opciones de configuración y administración.
Use Microsoft Intune directiva de protección de aplicaciones para administrar las cuentas de administrador local en dispositivos Windows. A través del CSP de Windows LAPS, realice copias de seguridad de cuentas y contraseñas para Microsoft Entra ID, defina los requisitos de contraseña y proteja las contraseñas de cuenta a través de rotaciones de contraseñas programadas y rotaciones manuales cuando sea necesario.
Use el Centro de administración de Microsoft Intune para ver los informes y los detalles de las directivas de la Solución de directivas de administrador local (LAPS) de Windows.
Cree directivas para administrar la solución de directivas de administrador local (LAPS) de Windows en dispositivos Windows inscritos con Microsoft Intune.