2

Instalar y configurar Microsoft LAPS (Local Administrator Password Solution)

Hola a tod@s,

En este post vamos a ver cómo instalar y configurar Microsoft LAPS (Local Administrator Password Solution), LAPS determina si la contraseña de la cuenta del administrador local ha caducado, si la contraseña ha caducado, cambia la contraseña del administrador local a un nuevo valor aleatorio y transmite la nueva contraseña y la fecha de caducidad a Active Directory donde se almacena en unos atributos especiales asociados con el objeto de equipo de AD. Las contraseñas se almacenan en Active Directory y están protegidas por listas de control de acceso (ACLs) por lo que solo los usuarios elegibles pueden leerlas o solicitar su restablecimiento.

  • Lo primero que vamos a realizar será descargarnos el instalador de LAPS desde este link:

  • Nos descargamos la versión de 64 bits:

  • Aquí podemos ver el paquete msi descargado:

  • Ahora sobre cualquiera de nuestros controladores de dominio vamos a instalar el paquete msi LAPS.x64, siguiendo estos pasos:

  • Si accedemos a Panel de control > Programas y características podemos ver que ya lo tenemos desplegado:

  • Una vez que se haya completado el proceso de instalación, nos habrá creado en la carpeta %systemdrive%\Windows\PolicyDefinitions la plantilla que debemos utilizar para configurar nuestra GPO para LAPS:

  • Si queramos utilizarla en nuestras directivas de dominio, debemos copiar estos ficheros en sus respectivas carpetas dentro de PolicyDefinitions que tenemos dentro de SYSVOL:

  • Seguimos en el controlador de domino dónde hemos desplegado LAPS, y ahora vamos a importar el módulo AdmPwd.ps ejecutando sobre PowerShell con permisos de administrador el comando Import-Module AdmPwd.ps:

  • Actualizamos el esquema de Active Directory con Update-AdmPwdADSchema:

  • Definimos las unidades organizativas donde queremos aplicar los permisos para la gestión de LAPS, ejecutando el siguiente comando Set-AdmPwdComputerSelfPermission -OrgUnit <OU>:

  • Ahora vamos a configurar una GPO para LAPS en Active Directory, al instalar la plantilla AdmPwd.admx de LAPS (instalación LAPS.x64) se añaden las nuevas políticas para establecer su configuración, habilitamos la política y en el caso de que el administrador local no sea el nombre por defecto (Administrator o Administrador) indicamos el nombre de la cuenta local tipo administrador que esté configurada en los equipos del dominio y los parámetros de las passwords como la complejidad, longitud y expiración:

  • Una vez que tenemos creada la GPO la vamos a vincular sobre las unidades organizativas que indicamos anteriormente:

  • Con esto ya tendríamos implementado y configurado LAPS en nuestra infraestructura, y ahora para ver la password del administrador local de los equipos, accedemos a cualquiera de nuestros controladores de dominio y ejecutamos sobre PowerShell Get-AdmPwdPassword <HOSTNAME> | fl:

  • Desde el LAPS UI (ejecutándolo como administrador) del controlador de dominio donde instalamos LAPS también podemos ver el password:

  • También es posible restablecer la password de administrador local de un equipo del dominio desde PowerShell, ejecutando Reset-AdmPwdPassword -ComputerName:<HOSTNAME>:

  • Sólo los usuarios Administradores del dominio tienen permisos de lectura y escritura sobre los valores de los atributos donde se almacena la password y la fecha de expiración, en muchas ocasiones, necesitamos dar permisos a otros usuarios, por lo que vamos a crear dos grupos, uno de lectura (LAPS_R) y otro de lectura-escritura (LAPS_RW), dentro de estos grupos añadimos a los usuarios que nos interesen:

  • Ahora asignamos los permisos para el grupo de solo lectura con el comando Set-AdmPwdReadPasswordPermission -OrgUnit <OU> -AllowedPrincipals <Usuarios/Grupos>:

  • Ahora asignamos los permisos para el grupo de lectura-escritura con el comando Set-AdmPwdResetPasswordPermission -OrgUnit <OU> -AllowedPrincipals <Usuarios/Grupos>:

  • Con el siguiente cmdlet verificamos la asignación de permisos asignados a las Unidades Organizativas, Find-AdmPwdExtendedRights -OrgUnit <OU_AD>:

  • En los objetos tipo «Computer» de la unidad organizativa de Active Directory donde se delegaron los permisos para LAPS podemos comprobar que se han añadido dos nuevos atributos:
  • ms-Mcs-AdmPwd: Almacena la password local del equipo.
  • ms-Mcs-AdmPwdExpirationTime: Tiempo en la que la password expirará y será renovada por otra password aleatoria cumpliendo los requisitos establecidos en la GPO.
  • A través del Editor de interfaces de servicios de Active Directory ADSI (adsiedit.msc) comprobamos como se han creado estos atributos y podemos ver su valor desde la pestaña de editor de atributos de la propia ficha del objeto en la consola de Active Directory:

 

Saludos y espero que os sea de ayuda 😉

Jose Ramon Ramos Gata

Técnico Superior STI

2 comentarios

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.