Hola a tod@s,
En este post vamos a ver cómo migrar del antiguo Microsoft LAPS al nuevo Windows LAPS, en nuestra infraestructura, tenemos dos controladores de dominio con Windows Server 2019 y el antiguo sistema Microsoft LAPS implantado, en este link podemos ver como lo implantamos.
- Antes de empezar, si tenemos configurado el almacén central para nuestras GPO, tendremos que copiar la carpeta PolicyDefinitions ubicada en C:\Windows, a la carpeta de SYSVOL dónde residen las políticas de grupo del dominio Active Directory, C:\Windows\SYSVOL\sysvol\dominioAD\Policies:
- Ahora vamos a migrar de Microsoft LAPS a Windows LAPS, para ello, seguimos este post que realizamos anteriormente, para implantar Windows LAPS, pero las dos nuevas GPOs que nos hemos creado (LAPS_Equipos y LAPS_Servidores) no las vamos a vincular de momento a ninguna Unidad Organizativa (OU), esto lo haremos en un paso posterior, aquí vemos las dos GPOs que nos hemos creado:
- El siguiente paso para seguir con la migración, es desvincular la GPO de LAPS antigua o heredada de las Unidades Organizativas donde esté:
- Ahora vamos a vincular las dos nuevas GPOs creadas, LAPS_Equipos y LAPS_Servidores, sobre las unidades organizativas que nos interese:
- Verificamos en cualquier equipo de nuestra infraestructura que todo lo configurado se está aplicando, empezamos ejecutando los comandos gpupdate /force y gpresult /r:
- Ahora para ver la password del administrador local de los equipos, accedemos a cualquiera de nuestros controladores de dominio, accedemos a la consola de Usuarios y equipos de Active Directory, y abrimos las propiedades de cualquier equipo:
- Accedemos a la pestaña LAPS, y desde aquí podemos ver el Nombre de la cuenta de administrador local de LAPS, la Contraseña de la cuenta de administrador local de LAPS (Copiar y Mostrar), podemos ver la Expiración actual de contraseña de LAPS, y Establecer nueva expiración de contraseña de LAPS:
- Si nos abrimos un PowerShell en cualquiera de nuestros controladores de dominio, y ejecutamos primero el comando Get-Command -Module LAPS, para ver los comandos disponibles en el módulo de LAPS:
- Ejecutando el comando Get-LapsADPassword “nombreequipo” -AsPlainText, podemos ver, la cuenta del administrador local del equipo con su contraseña:
- Para terminar, eliminamos el software de LAPS heredada:
Saludos y espero que os sea de ayuda 😉