Bit - loader

Local Administrator Password Solution (LAPS) – Parte 3


Netmind - Local Administrator Password Solution  (LAPS) – Parte 3    Artículo | Cloud and Systems
Joan Carles Roca | 28/12/17

Los usuarios miembros de los grupos Domain Admins y Enterprise Admins pueden acceder a los passwords de los administradores locales almacenados en el directorio activo por LAPS.

 

Si queremos que otros usuarios accedan a esta información podemos usar el comando de powershell Set-AdmPwdReadPasswordPermission para darles acceso.

 

Por ejemplo para la unidad organizativa de este ejercicio,  podríamos conceder permiso a un grupo BCN_HelpDesk para que sus miembros tuviera acceso al password de administrador local de los equipos contenidos en dicha unidad organizativa.

 

El comando sería

 

Set-AdmPwdReadPasswordPermission –identity “unidad organizativa”

-AllowedPrincipals “grupo”

 

Local Administrator Password Solution  (LAPS) – Parte 3 0

 

El próximo paso es crear un GPO y asignarla a la unidad organizativa que contiene los equipos sobre los cuales queremos que LAPS actúe.

 

Una vez creada, la editamos comprobando que la plantilla ADMX para LAPS está cargada.

 

Local Administrator Password Solution  (LAPS) – Parte 3 1

 

Las políticas disponibles son:

 

  • Enable local admin password management. Esta política habilita LAPS y permite administrar los passwords de los administradores locales centralmente.

 

  • Password Settings. Nos permite establecer la complejidad de los passwords. La configuración prederterminada establece que deben usarse minúsculas, mayúsculas, números y caracteres especiales. La longitud del password es de 14 caracteres de longitud y la vida del password queda en 30 dias.

 

Cabe destacar que puede establecerse un password de hasta 64 caracteres de longitud

 

Local Administrator Password Solution  (LAPS) – Parte 3 2

 

  • Do not allow password expiration timer longer tan required. Si habilitamos esta política, el password será actualizado según la política “Password Settings” de la misma sección. Sin la deshabilitamos o no la configuramos, el cambio de password puede realizarse en un periodo de tiempo superior debido a, por ejemplo, a la configuración del plan de cuentas de la política por defecto del dominio.

 

Local Administrator Password Solution  (LAPS) – Parte 3 3

 

  • Name of administrator account to manage. No hace falta configurar nada si la cuenta que deseamos administrar es la del administrador por defecto, proporcionada por el propio sistema operativo, incluso si la renombramos. Debemos configurar esta política si configuramos una cuenta de administrador local propia.

 

Local Administrator Password Solution  (LAPS) – Parte 3 4

 

En el próximo y último artículo desplegaremos LAPS en un equipo cliente y comprobaremos su funcionamiento y el acceso a los passwords almacenados en AD DS.

 


Joan Carles Roca


Entradas relacionadas
Nuestro sitio utiliza cookies para análisis. Si no estás seguro de ello, echa un vistazo a nuestra política de privacidad.