Instalar Microsoft LAPS

“Local Administrator Password Solution” (LAPS) proporciona la administración de contraseñas de cuentas locales de equipos unidos a un dominio. Las contraseñas se almacenan en Active Directory (AD) y están protegidas por ACL, por lo que solo los usuarios con permisos pueden ver o solicitar su restablecimiento. https://www.microsoft.com/en-us/download/details.aspx?id=46899&Search=true

Instalaremos LAPS en un Domain Controller

Extender esquema del Dominio

Lo primero que tendremos que hacer es importar el modulo de powershell y extender el esquema.

Import-Module AdmPwd
Update-AdmPwdADSchema

Aplicar LAPS a una OU

Aplicaremos LAPS en la OU que indiquemos.

Set-AdmPwdComputerSelfPermission -OrgUnit ‘OU’

GPOs

Importaremos la GPO de LAPs y crearemos o editaremos nuestra GPO.

Password Settings

Podremos indicar complejidad de la contraseña, longitud y antigüedad.

Name of administrator Account

Indicamos el nombre del administrador local de los equipos.

Do not allow password expiration time longer than required by policy

No permita que el tiempo de caducidad de la contraseña sea superior al requerido por la política

Enable Local Admin Password

Habilitar la administrador

Ver password y Fecha

Para ver las password podremos hacerlo de tres formas, con powershell, Atributos de AD o LAPS UI, necesitaremos las management tools de LAPS para powershell y LAPS UI.

Para Powershell, ejecutaremos Get-AdmPwdPassword -ComputerName ‘ComputerName’

Con Atributos de AD, habilitaremos las opciones avanzadas en la consola de usuario y máquinas de directorio activo y en las propiedades de la máquinas, ir a la pestaña de “Attribute Editor” buscaremos “ms-Mcs-AdmPwd”

Con LAPS UI, en la carpeta “C:\ProgramFiles\LAPS”, ejecutaremos AdmPwd.UI.exe

En la consola de LAPS UI, introducir el nombre de la máquina y buscar.

Instalación en PC Cliente

Necesitaremos instalar las GPO Extension en las máquinas clientes, podremos generar una GPO para instalar el software.

Instalarmos solo AdmPwd GPO Extension

8 comentarios

Mariano dice:

julio 29, 2021 a las 07:35

Hola como estas? Me llamo Mariano, gracias por compartir este instructivo de instalacion y configuracion.
Segui los pasos en la empresa donde trabajo, con un Windows Server 2012 pero actualmente no me funciona. No me da error en ningun paso de la instalacion,pero cuando corro el comando para obtener la password, esta en blanco via Powershell. Tambien cuando lo hago via cliente LAPS UI. Hay algo que no estoy haciedo bien a pesar de no recibir errores. Chequee via RSOP.MSC y en la maquina cliente Win10, la policy esta siendo aplicada,aun asi no me funciona.
Te podria pedir ayuda a ver si vos que tenes mas conocimiento me ayudas a ver lo que no estoy viendo? Gracias.

Responder
1. Gonzalo García del Pozo dice:
  
  julio 30, 2021 a las 08:00
  
  Buenas Mariano,
  
  El Problema pueden ser tres cosas:
  1- Que no esta aplicado LAPS en la OU bien (Set-AdmPwdComputerSelfPermission -OrgUnit ‘OU’), puedes verificarlo buscando los permisos “Find-AdmPwdExtendedRights –Identity “OU”
  2- Que la GPO “Enable Local Admin Password” no se este aplicando a las maquinas, verifica con la opción de mmc (Resultant Set of Policy “Conjunto resultante de politicas”)
  3- Que el Cliente no este bien instalado en las maquinas, prueba a reinstalarlo.
  
  Espero que te ayude.
  Un saludo,
  
  Responder
Santos dice:

agosto 18, 2021 a las 15:27

Buenas!!

Mi pregunta es, tengo varia Ous con equipos en los que tengo delegado que la maquina pueda cambiar la clave.

Llevo bastante tiempo buscando la manera de ver si puedo ejecutar un comando que me muestre las ous que están delegado ese acceso.

¿sabrías como hacerlo?

Gracias de Antemano

Responder
1. Gonzalo García del Pozo dice:
  
  septiembre 8, 2021 a las 16:23
  
  Buenas,
  
  Con este script puedes ver las OU que se esta aplicando LAPS.
  
  Get-ADOrganizationalUnit -Filter *|Find-AdmPwdExtendedRights -PipelineVariable OU |ForEach{
  $_.ExtendedRightHolders|ForEach{
  [pscustomobject]@{
  OU=$Ou.ObjectDN
  Object = $_
  }}}
  
  Puedes verlo en este link:
  https://learn-powershell.net/2016/10/08/setting-up-local-administrator-password-solution-laps/
  
  A ver si te vale con esto. un saludo,
  
  Responder
Luis SG dice:

marzo 24, 2022 a las 13:19

Hola buen día.
Duda hay manera de que yo pueda generar una contraseña temporal que directamente yo escriba y luego la cambie por una generada aleatoriamente

Responder
1. Gonzalo García del Pozo dice:
  
  marzo 25, 2022 a las 10:15
  
  Buenas Luis,
  Que sepa la única manera es poner por GPO de dominio que la contraseña sea xxx, pero en cuanto se aplica el LAPS la contraseña se genera aleatoria automáticamente.
  
  Responder
Josué S dice:

mayo 6, 2022 a las 15:47

Buen día
Excelente artículo muy informativo y me ha sido de mucha utilidad, sin embargo en la implementación que tengo en mi empresa me da un problema y no actualiza la contraseña a pesar de hacer una actualización de políticas, mi duda es que si para incluir más OU a la política debe hacerse con un usuario administrador del Esquema o con un Administrador del dominio basta.

Responder
1. Gonzalo García del Pozo dice:
  
  mayo 9, 2022 a las 09:13
  
  Buenas,
  Con administrador del dominio tendría que ser suficiente.
  Puedes descargar la guía de operador de LAPS https://www.microsoft.com/en-us/download/details.aspx?id=46899 tienes los IDs de errores de visor de eventos para ver porque no se aplica si es por un error de permisos.
  
  Responder