En este post vamos a ver cómo migrar del antiguo Microsoft LAPS al nuevo Windows LAPS, en nuestra infraestructura, tenemos dos controladores de dominio con Windows Server 2019 y el antiguo sistema Microsoft LAPS implantado, en este link podemos ver como lo implantamos.

• Antes de empezar, si tenemos configurado el almacén central para nuestras GPO, tendremos que copiar la carpeta PolicyDefinitions ubicada en C:\Windows, a la carpeta de SYSVOL dónde residen las políticas de grupo del dominio Active Directory, C:\Windows\SYSVOL\sysvol\dominioAD\Policies:

• Ahora vamos a migrar de Microsoft LAPS a Windows LAPS, para ello, seguimos este post que realizamos anteriormente, para implantar Windows LAPS, pero las dos nuevas GPOs que nos hemos creado (LAPS_Equipos y LAPS_Servidores) no las vamos a vincular de momento a ninguna Unidad Organizativa (OU), esto lo haremos en un paso posterior, aquí vemos las dos GPOs que nos hemos creado:

• El siguiente paso para seguir con la migración, es desvincular la GPO de LAPS antigua o heredada de las Unidades Organizativas donde esté:

• Ahora vamos a vincular las dos nuevas GPOs creadas, LAPS_Equipos y LAPS_Servidores, sobre las unidades organizativas que nos interese:

• Verificamos en cualquier equipo de nuestra infraestructura que todo lo configurado se está aplicando, empezamos ejecutando los comandos gpupdate /force y gpresult /r:

• Ahora para ver la password del administrador local de los equipos, accedemos a cualquiera de nuestros controladores de dominio, accedemos a la consola de Usuarios y equipos de Active Directory, y abrimos las propiedades de cualquier equipo:

• Accedemos a la pestaña LAPS, y desde aquí podemos ver el Nombre de la cuenta de administrador local de LAPS, la Contraseña de la cuenta de administrador local de LAPS (Copiar y Mostrar), podemos ver la Expiración actual de contraseña de LAPS, y Establecer nueva expiración de contraseña de LAPS:

• Si nos abrimos un PowerShell en cualquiera de nuestros controladores de dominio, y ejecutamos primero el comando Get-Command -Module LAPS, para ver los comandos disponibles en el módulo de LAPS:

• Ejecutando el comando Get-LapsADPassword “nombreequipo” -AsPlainText, podemos ver, la cuenta del administrador local del equipo con su contraseña:

• Para terminar, eliminamos el software de LAPS heredada:

Saludos y espero que os sea de ayuda

En este post vamos a ver cómo configurar Windows LAPS para la contraseña DSRM (restauración de servicios de directorio) de Active Directory, esta contraseña la asignamos cuando desplegamos el rol de Servicios de dominio de Active Directory, esta es una nueva característica del nuevo Windows LAPS.

• Lo primero que vamos a realizar es acceder a uno de nuestros controladores de dominio y nos abrimos la consola de Usuarios y equipos de Active Directory, nos vamos a la Unidad Organizativa (OU) Domain Controllers, damos Propiedades sobre uno de ellos, y sobre la pestaña LAPS podemos ver, que es aquí dónde nos va a mostrar la contraseña de DSRM, una vez que tengamos la GPO configurada y vinculada sobre la OU Domain Controllers:

• Nos abrimos la consola Administración de directivas de grupo y nos vamos a crear una nueva GPO llamada LAPS_DSRM con la siguiente configuración:

• Luego vinculamos esta GPO sobre la OU Domain Controllers:

• Ahora si nos abrimos un PowerShell sobre el controlador de dominio DCRGS01 y ejecutamos un gpupdate /force, vamos a forzar a que se activen estas nuevas configuraciones de directivas que hemos creado:

• Si accedemos de nuevo a la consola de Usuarios y equipos de Active Directory, nos vamos a la Unidad Organizativa (OU) Domain Controllers, damos Propiedades sobre DCRGS01, y sobre la pestaña LAPS podemos ver, que ya se ha aplicado esta nueva GPO para controlar las contraseñas de DSRM de los controladores de dominio de nuestra infraestructura:

• Ahora si nos abrimos un PowerShell sobre el controlador de dominio DCRGS02 y ejecutamos un gpupdate /force, vamos a forzar a que se activen estas nuevas configuraciones de directivas que hemos creado:

• Si accedemos de nuevo a la consola de Usuarios y equipos de Active Directory, nos vamos a la Unidad Organizativa (OU) Domain Controllers, damos Propiedades sobre DCRGS02, y sobre la pestaña LAPS podemos ver, que ya se ha aplicado esta nueva GPO para controlar las contraseñas de DSRM de los controladores de dominio de nuestra infraestructura:

Saludos y espero que os resulte de ayuda

En este post vamos a ver cómo instalar y configurar Windows LAPS (Local Administrator Password Solution) en Windows Server 2022, LAPS determina si la contraseña de la cuenta del administrador local ha caducado, si la contraseña ha caducado, cambia la contraseña del administrador local a un nuevo valor aleatorio y transmite la nueva contraseña y la fecha de caducidad a Active Directory dónde se almacena en unos atributos especiales asociados con el objeto de equipo de AD. Las contraseñas se almacenan en Active Directory y están protegidas por listas de control de acceso (ACLs) por lo que solo los usuarios elegibles pueden leerlas o solicitar su restablecimiento.

• Los requisitos para configurar esta nueva implementación de LAPS, son los siguientes, ya que anteriormente a estas nuevas actualizaciones, LAPS había que implementarlo de forma manual, en este link os dejo como se hacía anterior a estas actualizaciones, con estas nuevas actualizaciones LAPS se implementa de forma nativa en estos sistemas:
• Windows 11 22H2 – Actualización 11 abril 2023
• Windows 11 21H2 – Actualización 11 abril 2023
• Windows 10 – Actualización 11 abril 2023
• Windows Server 2019 – Actualización 11 abril 2023
• Windows Server 2022 – Actualización 11 abril 2023
• Para implementar y configurar este laboratorio, he utilizado dos máquinas Windows Server 2022 Standard como Controladores de dominio, uno principal y otro adicional, una máquina Windows Server 2022 Standard y otra con Windows 11 Pro, que serán miembros del dominio ragasys.local implementado en los dos controladores de dominio:

• Para empezar, vamos a extender el schema de Active Directory, para que se añadan los atributos nuevos a las propiedades de los equipos de nuestra infraestructura, para ello, accedemos a nuestro controlador de dominio principal, dcrgs01, nos abrimos un PowerShell y nos importamos los módulos de LAPS con el comando Import-Module LAPS:

• Para ver los comandos disponibles en este módulo ejecutamos Get-Command -Module LAPS:

• Para extender el schema de nuestro Active Directory y soportar toda la configuración de LAPS, vamos a utilizar el comando Update-LapsADSchema, le indicamos que Si (S) uno a uno o podemos indicarle que Sí a todo (O), aquí he elegido la primera opción, para mostrar todos los atributos que se van a añadir en las propiedades de los equipos de nuestra infraestructura de dominio:

• Para verificar que los atributos se han añadido correctamente a nuestros equipos, sobre nuestro controlador de dominio principal, accedemos a Usuarios y equipos de Active Directory y abrimos las propiedades de cualquier equipo:

• Accedemos a la pestaña Editor de atributos, y como podemos ver, ya se han añadido los atributos de LAPS a los equipos:

• Ahora vamos a establecer los permisos para LAPS en las Unidades Organizativas (OU) que nos interesen, en este caso, las OUs que vamos a utilizar serán las de Equipos para las máquinas clientes y la de Servidores para las máquinas con el rol de servidor, estos permisos va a permitir a LAPS modificar los atributos de las cuentas de equipos que se encuentran en estas OUs, permitiendo así crear y modificar las contraseñas, para ello ejecutamos el comando, Set-LapsADComputerSelfPermission -Identity “DistinguisedName OU”:

• Ahora vamos a configurar las GPOs para LAPS en Active Directory, en nuestro caso, vamos a configurar dos GPOs, una para los equipos clientes llamada LAPS_Equipos y otra para los servidores llamada LAPS_Servidores, habilitamos la política y en el caso de que el administrador local no sea el nombre por defecto (Administrator o Administrador) indicamos el nombre de la cuenta local tipo administrador que esté configurada en los equipos del dominio y los parámetros de las passwords como la complejidad, longitud y expiración, estas serían las dos GPOs configuradas:

• Una vez que tenemos creadas las GPOs las vamos a vincular sobre las unidades organizativas que indicamos anteriormente:

• Con esto ya tendríamos implementado y configurado LAPS en nuestra infraestructura, lo primero que vamos a verificar es que la GPO se está aplicando en los equipos de cada unidad organizativa, para ello, en cualquiera de los equipos de ambas unidades organizativas ejecutamos el comando gpresult /r:

• Ahora para ver la password del administrador local de los equipos, accedemos a cualquiera de nuestros controladores de dominio, accedemos a la consola de Usuarios y equipos de Active Directory, y abrimos las propiedades de cualquier equipo:

• Accedemos a la pestaña LAPS, y desde aquí podemos ver el Nombre de la cuenta de administrador local de LAPS, la Contraseña de la cuenta de administrador local de LAPS (Copiar y Mostrar), podemos ver la Expiración actual de contraseña de LAPS, y Establecer nueva expiración de contraseña de LAPS:

• Si nos abrimos un PowerShell en cualquiera de nuestros controladores de dominio, y ejecutamos primero el comando Get-Command -Module LAPS, para ver los comandos disponibles en el módulo de LAPS:

• Ejecutando el comando Get-LapsADPassword “nombreequipo” -AsPlainText, podemos ver, la cuenta del administrador local del equipo con su contraseña:

• Sólo los usuarios Administradores del dominio tienen permisos de lectura y escritura sobre los valores de los atributos donde se almacena la password y la fecha de expiración, en muchas ocasiones, necesitamos dar permisos a otros usuarios, por lo que vamos a crear este grupo, LAPS_HelpDesk, y dentro de este grupo añadiremos a los usuarios o grupos que nos interesen, si hacemos esto, el grupo Administradores del dominio también lo tenemos que añadir al grupo, ya que si no, no podremos visualizar las contraseñas con las cuentas de administrador:

• Ahora tenemos que volver a configurar las dos GPOs que creamos anteriormente y habilitar estas dos opciones, Habilitar cifrado de contraseña y Configurar descifradores de contraseñas autorizados que incluiremos al grupo que hemos creado anteriormente:

• Ahora asignamos los permisos para el grupo LAPS_HelpDesk.
• Con este comando asignamos los permisos de lectura sobre la OU especificada:
• Set-LapsADReadPasswordPermission -Identity “distinguisedname OU” -AllowedPrincipals “DOMINIO\GRUPO”
• Con este comando asignamos los permisos de lectura-escritura sobre la OU especificada:
• Set-LapsADResetPasswordPermission -Identity “distinguisedname OU” -AllowedPrincipals “DOMINIO\GRUPO”

• Con el siguiente cmdlet verificamos la asignación de permisos asignados a las Unidades Organizativas, Find-LapsADExtendedRights -Identity “distinguisedname OU”:

• Ahora si accedemos a cualquier equipo de nuestra infraestructura, con el usuario ubicado en el grupo LAPS_HelpDesk, podemos ver las credenciales del usuario local administrador y resetear las contraseñas:

Saludos y espero que os resulte de ayuda

En este post vamos a ver una configuración de GPO para LAPS alternativa a la que realizamos en el post anterior, ya que en la anterior GPO le indicamos una cuenta de usuario administrador, en esta nueva GPO, no utilizaremos ninguna cuenta de administrador, por lo que la password de LAPS se aplicará a la cuenta nativa con permisos de administrador, esta cuenta administrativa se puede llamar administrador, administrator o si la hemos cambiado de nombre tampoco tendríamaos problemas ya que el password se lo aplica por el SID.

• Como podemos ver, esta es la GPO que utilizamos para el post anterior, dónde en la directiva Name of administrator account to manage le indicamos un nombre de cuenta:

• Ahora vamos a crear una nueva directiva dónde Name of administrator account to manage la dejaremos en No configurada, por lo que, la cuenta nativa de administrador local de nuestros equipos van a utilizar las passwords proporcionadas por LAPS:

• Esta GPO la vamos a vincular sobre una Unidad Organizativa dónde se encuentra uno de nuestros equipos:

• Aplicamos los permisos para la gestión de LAPS en esta Unidad Organizativa, ejecutando el siguiente comando Set-AdmPwdComputerSelfPermission -OrgUnit <OU>:

• Ahora si accedemos a este equipo vemos que tenemos esta cuenta nativa con permisos de administrador, a esta cuenta es a la que se le va aplicar la directiva de LAPS:

• Hacemos un gpupdate /force para aplicar las políticas:

• Con gpresult /r vemos que esta nueva GPO se está aplicando sobre el equipo:

• Ahora para ver la password de los administradores locales de los equipos, accedemos a cualquiera de nuestros controladores de dominio y ejecutamos sobre PowerShell Get-AdmPwdPassword <HOSTNAME> | fl, esta password sería la que debemos de utilizar para la cuenta nativa administrativa que tiene el equipo:

• Desde el LAPS UI (ejecutándolo como administrador) del controlador de dominio donde instalamos LAPS también podemos ver el password:

Saludos y espero que os sea de ayuda

En este post vamos a ver cómo instalar y configurar Microsoft LAPS (Local Administrator Password Solution), LAPS determina si la contraseña de la cuenta del administrador local ha caducado, si la contraseña ha caducado, cambia la contraseña del administrador local a un nuevo valor aleatorio y transmite la nueva contraseña y la fecha de caducidad a Active Directory donde se almacena en unos atributos especiales asociados con el objeto de equipo de AD. Las contraseñas se almacenan en Active Directory y están protegidas por listas de control de acceso (ACLs) por lo que solo los usuarios elegibles pueden leerlas o solicitar su restablecimiento.

• Lo primero que vamos a realizar será descargarnos el instalador de LAPS desde este link:

• Nos descargamos la versión de 64 bits:

• Aquí podemos ver el paquete msi descargado:

• Ahora sobre cualquiera de nuestros controladores de dominio vamos a instalar el paquete msi LAPS.x64, siguiendo estos pasos:

• Si accedemos a Panel de control > Programas y características podemos ver que ya lo tenemos desplegado:

• Una vez que se haya completado el proceso de instalación, nos habrá creado en la carpeta %systemdrive%\Windows\PolicyDefinitions la plantilla que debemos utilizar para configurar nuestra GPO para LAPS:

• Si queramos utilizarla en nuestras directivas de dominio, debemos copiar estos ficheros en sus respectivas carpetas dentro de PolicyDefinitions que tenemos dentro de SYSVOL:

• Seguimos en el controlador de domino dónde hemos desplegado LAPS, y ahora vamos a importar el módulo AdmPwd.ps ejecutando sobre PowerShell con permisos de administrador el comando Import-Module AdmPwd.ps:

• Actualizamos el esquema de Active Directory con Update-AdmPwdADSchema:

• Definimos las unidades organizativas donde queremos aplicar los permisos para la gestión de LAPS, ejecutando el siguiente comando Set-AdmPwdComputerSelfPermission -OrgUnit <OU>:

• Ahora vamos a configurar una GPO para LAPS en Active Directory, al instalar la plantilla AdmPwd.admx de LAPS (instalación LAPS.x64) se añaden las nuevas políticas para establecer su configuración, habilitamos la política y en el caso de que el administrador local no sea el nombre por defecto (Administrator o Administrador) indicamos el nombre de la cuenta local tipo administrador que esté configurada en los equipos del dominio y los parámetros de las passwords como la complejidad, longitud y expiración:

• Una vez que tenemos creada la GPO la vamos a vincular sobre las unidades organizativas que indicamos anteriormente:

• Con esto ya tendríamos implementado y configurado LAPS en nuestra infraestructura, y ahora para ver la password del administrador local de los equipos, accedemos a cualquiera de nuestros controladores de dominio y ejecutamos sobre PowerShell Get-AdmPwdPassword <HOSTNAME> | fl:

• Desde el LAPS UI (ejecutándolo como administrador) del controlador de dominio donde instalamos LAPS también podemos ver el password:

• También es posible restablecer la password de administrador local de un equipo del dominio desde PowerShell, ejecutando Reset-AdmPwdPassword -ComputerName:<HOSTNAME>:

• Sólo los usuarios Administradores del dominio tienen permisos de lectura y escritura sobre los valores de los atributos donde se almacena la password y la fecha de expiración, en muchas ocasiones, necesitamos dar permisos a otros usuarios, por lo que vamos a crear dos grupos, uno de lectura (LAPS_R) y otro de lectura-escritura (LAPS_RW), dentro de estos grupos añadimos a los usuarios que nos interesen:

• Ahora asignamos los permisos para el grupo de solo lectura con el comando Set-AdmPwdReadPasswordPermission -OrgUnit <OU> -AllowedPrincipals <Usuarios/Grupos>:

• Ahora asignamos los permisos para el grupo de lectura-escritura con el comando Set-AdmPwdResetPasswordPermission -OrgUnit <OU> -AllowedPrincipals <Usuarios/Grupos>:

• Con el siguiente cmdlet verificamos la asignación de permisos asignados a las Unidades Organizativas, Find-AdmPwdExtendedRights -OrgUnit <OU_AD>:

• En los objetos tipo «Computer» de la unidad organizativa de Active Directory donde se delegaron los permisos para LAPS podemos comprobar que se han añadido dos nuevos atributos:
• ms-Mcs-AdmPwd: Almacena la password local del equipo.
• ms-Mcs-AdmPwdExpirationTime: Tiempo en la que la password expirará y será renovada por otra password aleatoria cumpliendo los requisitos establecidos en la GPO.
• A través del Editor de interfaces de servicios de Active Directory ADSI (adsiedit.msc) comprobamos como se han creado estos atributos y podemos ver su valor desde la pestaña de editor de atributos de la propia ficha del objeto en la consola de Active Directory:

Saludos y espero que os sea de ayuda