0

Migrar Microsoft LAPS a Windows LAPS

Hola a tod@s,

En este post vamos a ver cómo migrar del antiguo Microsoft LAPS al nuevo Windows LAPS, en nuestra infraestructura, tenemos dos controladores de dominio con Windows Server 2019 y el antiguo sistema Microsoft LAPS implantado, en este link podemos ver como lo implantamos.

  • Antes de empezar, si tenemos configurado el almacén central para nuestras GPO, tendremos que copiar la carpeta PolicyDefinitions ubicada en C:\Windows, a la carpeta de SYSVOL dónde residen las políticas de grupo del dominio Active Directory, C:\Windows\SYSVOL\sysvol\dominioAD\Policies:

  • Ahora vamos a migrar de Microsoft LAPS a Windows LAPS, para ello, seguimos este post que realizamos anteriormente, para implantar Windows LAPS, pero las dos nuevas GPOs que nos hemos creado (LAPS_Equipos y LAPS_Servidores) no las vamos a vincular de momento a ninguna Unidad Organizativa (OU), esto lo haremos en un paso posterior, aquí vemos las dos GPOs que nos hemos creado:

  • El siguiente paso para seguir con la migración, es desvincular la GPO de LAPS antigua o heredada de las Unidades Organizativas donde esté:

  • Ahora vamos a vincular las dos nuevas GPOs creadas, LAPS_Equipos y LAPS_Servidores, sobre las unidades organizativas que nos interese:

  • Verificamos en cualquier equipo de nuestra infraestructura que todo lo configurado se está aplicando, empezamos ejecutando los comandos gpupdate /force y gpresult /r:

  • Ahora para ver la password del administrador local de los equipos, accedemos a cualquiera de nuestros controladores de dominio, accedemos a la consola de Usuarios y equipos de Active Directory, y abrimos las propiedades de cualquier equipo:

  • Accedemos a la pestaña LAPS, y desde aquí podemos ver el Nombre de la cuenta de administrador local de LAPS, la Contraseña de la cuenta de administrador local de LAPS (Copiar y Mostrar), podemos ver la Expiración actual de contraseña de LAPS, y Establecer nueva expiración de contraseña de LAPS:

  • Si nos abrimos un PowerShell en cualquiera de nuestros controladores de dominio, y ejecutamos primero el comando Get-Command -Module LAPS, para ver los comandos disponibles en el módulo de LAPS:

  • Ejecutando el comando Get-LapsADPassword “nombreequipo” -AsPlainText, podemos ver, la cuenta del administrador local del equipo con su contraseña:

  • Para terminar, eliminamos el software de LAPS heredada:

 

Saludos y espero que os sea de ayuda 😉

Jose Ramon Ramos Gata

Técnico Superior STI

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.