Hola a tod@s,
En este post vamos a ver una configuración de GPO para LAPS alternativa a la que realizamos en el post anterior, ya que en la anterior GPO le indicamos una cuenta de usuario administrador, en esta nueva GPO, no utilizaremos ninguna cuenta de administrador, por lo que la password de LAPS se aplicará a la cuenta nativa con permisos de administrador, esta cuenta administrativa se puede llamar administrador, administrator o si la hemos cambiado de nombre tampoco tendríamaos problemas ya que el password se lo aplica por el SID.
- Como podemos ver, esta es la GPO que utilizamos para el post anterior, dónde en la directiva Name of administrator account to manage le indicamos un nombre de cuenta:
- Ahora vamos a crear una nueva directiva dónde Name of administrator account to manage la dejaremos en No configurada, por lo que, la cuenta nativa de administrador local de nuestros equipos van a utilizar las passwords proporcionadas por LAPS:
- Esta GPO la vamos a vincular sobre una Unidad Organizativa dónde se encuentra uno de nuestros equipos:
- Aplicamos los permisos para la gestión de LAPS en esta Unidad Organizativa, ejecutando el siguiente comando Set-AdmPwdComputerSelfPermission -OrgUnit <OU>:
- Ahora si accedemos a este equipo vemos que tenemos esta cuenta nativa con permisos de administrador, a esta cuenta es a la que se le va aplicar la directiva de LAPS:
- Hacemos un gpupdate /force para aplicar las políticas:
- Con gpresult /r vemos que esta nueva GPO se está aplicando sobre el equipo:
- Ahora para ver la password de los administradores locales de los equipos, accedemos a cualquiera de nuestros controladores de dominio y ejecutamos sobre PowerShell Get-AdmPwdPassword <HOSTNAME> | fl, esta password sería la que debemos de utilizar para la cuenta nativa administrativa que tiene el equipo:
- Desde el LAPS UI (ejecutándolo como administrador) del controlador de dominio donde instalamos LAPS también podemos ver el password:
Saludos y espero que os sea de ayuda 😉
Aplicado !!!!