Administración Centralizada de los Administradores Locales – Parte 2 de 2

Habiendo completado todos los procedimientos de la nota anterior (“Administración Centralizada de los Administradores Locales – Parte 1 de 2”) en esta vamos a completar las configuraciones necesariasy demostrar su utilización

Comenzaremos con una forma de saltarse las limitaciones que mencionamos anteriormente como es habilitar la cuenta de administrador y asignarle una contraseña en forma remota

Como nombramos en la nota anterior por las actualizaciones de seguridad de Windows no se permite que a través de una GPO se puedan modificar contraseñas, y tampoco habilitar la cuenta Administrador hasta que se le asigne una contraseña. Tenemos que buscar una forma para no tener que ir máquina por máquina haciendo los cambios, ya que aunque en esta nota hay sólo dos clientes, pensemos qué sucedería si tuviérmos unos cientos de clientes

Aunque parezca mentira, esto se logra en forma muy sencilla a través de un “Startup Scipt” con el viejo conocido “NET USER”

Así que comencemos creando una GPO que haga este trabajo, una vez hecho el cambio debemos eliminar esta GPO, es sólo para un uso transitorio

Creamos la GPO de acuerdo a las siguientes pantallas

LAPS-33

LAPS-34

LAPS-35

LAPS-36

Atención con los siguientes pasos. Uno de los errores más comunes es no poner el “script” en la carpeta adecuada

Entonces la forma más simple es directamente abrir la carpeta apropiada que el sistema abre por omisión, crear ahí el “script” y luego agregarlo con el botón “Add”

LAPS-37

Simplemente creo un archivo TXT que edito, y luego le cambio la extensión a CMD. Con este comando asingamos la contraseña “Pa$$w0rd” y activamos la cuenta

LAPS-38

LAPS-39

LAPS-40

LAPS-41

LAPS-42

Lo siguiente es forzar la aplicación de la GPO en las máquinas cliente, aunque a veces hay que hacer un reinicio para que se haga efectiva la configuración

Controlemos que se ha habilitado la cuenta

LAPS-43

Una vez comprobado podemos eliminar esta última GPO

LAPS-44

LAPS-45

 

El paso siguiente es configurar la GPO para permitir la asignación y lectura de la cuenta administradora que se guardará en Active Directory. Se podría hacer una nueva GPO, o podemos como hago a continuación editar la GPO existente

LAPS-46

Debemos hacer la configuración en “Computer Configuration / Policies / Administrative Templates / LAPS”

LAPS-47

Habilitamos la administración de la contraseña de administrador y otras configuraciones como se muestra

LAPS-48

LAPS-49

Si deseamos podemos cambiar la complejidad de las contraseñas, que a partir de este momento asignará y manejará el sistema

LAPS-50

Como estamos operando sobre la cuenta predefinida de administrador no debemos configurar la opción “Name of administrator account to manage”. No lo hago en esta demostración pero se puede adaptar a cualquier cuenta local administradora existente en las máquinas

LAPS-51

Y, por supuesto, debemos forzar la actualización de las GPOs en los clientes

LAPS-52

 

Llegó el momento de probar el funcionamiento. Para eso en DC1 veamos la aplicación que nos permite ver y forzar el cambio de la contraseña de administrador local

LAPS-53

Seleccionamos la máquina de la cual queremos ver la contraseña

LAPS-54

Si todo ha funcionado correctamente, la cuenta administradora local de la máquina cliente tiene que estar habilitada, y además tener la contraseña mostrada en el cuadro anterior, probémoslo

LAPS-55

Podemos ver que iniciamos sesión sin problemas

LAPS-56

 

Nos falta todavía lo último, que el usuario “Soporte Uno” pueda desde su máquina cliente ver la contraseña del administrador local de otra máquina

La GPO ha instalado la CSE, pero no la aplicación gráfica. Eso es muy sencillo de solucionar aún para un usuario normal del Dominio, como se muestra a continuación

LAPS-57

LAPS-58

LAPS-59

LAPS-60

LAPS-61

LAPS-62

“Soporte Uno” ya tiene disponible la aplicación

LAPS-63

LAPS-64

 

Ya dejo el tema con lo hecho en estas dos notas. Como otras formas de aprovechar esta funcionalidad, tengan en cuenta que podrían hacer procedimientos análogos para distintos grupos de máquinas clientes sino además para grupos de servidores

 

Publica un comentario o deja una referencia: URL de la referencia.

Comentarios

  • Cristian Fontenla  El 03/05/2018 a las 14:30

    Gillermo te felicito por tu trabajo y el tiempo que dedicas a armar todos esto.
    Te consulto si las maquinas cliente tuvieran mas de un administrador local, te los trae tambien? y segundo si en esa ventana donde te muestra el password te mermite editarla o solo es informativo?

  • Kalajar  El 28/08/2018 a las 15:17

    Hola, Guillermo, de antemano felicitarte por el nivel de detalle para cada tutorial, y para este de LAPS puntualmente te consulto, al editar la GPO en el arbol de Computer Configuration->Administrative Templates no logro ver la carpeta LAPS y ya actualice el schema de mi dominio, en este caso cual podria ser el problema ?

    • Guillermo Delprato  El 28/08/2018 a las 16:13

      Hola Kalajar, gracias por tu comentario. Habría que revisar todo el procedimiento para poder diagnosticar algo, y por supuesto acá no se puede hacer :)
      Pero supongo que si no aparece es que no se instalaron las CSE, revisa la primera nota de este tema a ver si la instalación fue completa

      • Kalajar  El 28/08/2018 a las 17:14

        Gracias por tu información, sin embargo validando en un foro de technet logre solucionar copiando los archivos AdmPwd.adml y AdmPwd.admx de la carpeta local del DC (%windir%\PolicyDefinitions) y (%windir%\PolicyDefinitions) respectivamente a la carpeta SYSVOL (\\domain\SYSVOL\domain\Policies\PolicyDefinitions, y \\domain\SYSVOL\domain\Policies\PolicyDefinitions\en-US)

      • Guillermo Delprato  El 28/08/2018 a las 18:23

        Así es, si tienes configurado para usar el repositorio central, cada vez que se agregan los ADMX y ADML hay que copiarlos a mano, ya que la instalación no sabe que están ahí :)

  • Francisco Moreno Reina  El 18/02/2019 a las 15:13

    Hola Guillermo,
    en primer lugar felicitarte por el excelente tutorial. Llevaba tiempo buscando algo similar y… ¡por fin lo encontré!
    He seguido todo el tutorial y no consigo que la contraseña que me genera LAPS la acepte la cuenta de administrador, solo puedo iniciar sesión con la contraseña que introduje en el script de inicio de sesión.

    SAludos

    • Guillermo Delprato  El 18/02/2019 a las 18:39

      Hola Francisco, me alegro te sirva el blog. Pero con referencia a la pregunta no hay nada que pueda hacer desde acá, habría que revisar cada uno de los pasos

  • Diego Ruiz Fernandez  El 04/06/2019 a las 06:54

    Hola Guillermo. He podido leer algunos post tuyos y no puedo mas que felicitarte por tu entregar, y por lo bien explicado textual y graficamente. A veces los que nos dedicamos a esto sabemos la importancia de poder ver que esta pasando para entender por que no nos funciona algo.
    Mi necesidad no se si podria cubrirla con esta herramienta, o si puedes asesorarme si conoces como hacerlo de una forma segura. Yo necesitaria tener la misma contraseña en todos los equipos, y cada vez que sea necesario cambiarla en todos los equipos a la vez. Esta necesidad es muy simple. Cuando un ordenador lleva tiempo fuera del dominio y necesito acceder a el sin estar conectado a la red, no puedo saber que contraseñas probar para poder iniciar sesion, y en el caso de decir, que puedo ver la contraseña desde el directorio activo, el problema puede ser copiar la contraseña e introducirla a mano .
    Hay la posibilidad de que yo ponga la misma contraseña para todos los equipos ?
    Muchas gracias de antemano.
    UN saludo

    • Guillermo Delprato  El 04/06/2019 a las 07:13

      Hola Diego, gracias por tu comentario
      No sé si comprendo bien la pregunta, pero si la idea es que todas las máquinas tengan la misma contraseña de la cuenta Administrador, entiendo que se puede hacer fácil, revisando la nota, luego del NET USE simplemente no habría que habilitar las otras configuraciones de la GPO donde se modifica con LAPS
      No tengo en la cabeza toda la nota, pero creo que así podría hacerse el cambio

      • Diego Ruiz Fernandez  El 11/06/2019 a las 12:44

        Gracias Guillermo. Conozco la opcion del NET USE pero no es nada segura. Como sabras la carpeta sysvol esta compartida y ahi estarian visibles las directivas. Si hay un curioso que se ponga a revisar las policies puede ver la contraseña de administrador. La idea es algo asi como LAPS pero que no cambie continuamente la contraseña, si no que cambie solo cuando yo quiera, y que sea la misma para todos los equipos.
        Aun asi, aunque sea mas complicado de administrar para el tecnico de campo, Encuentro que es una opcion muy segura para nuestras contraseñas locales.
        UN saludo y gracias por tu tiempo y tu trabajo .

      • Guillermo Delprato  El 11/06/2019 a las 18:08

        Hola Diego, primero y principal, los usuarios sobre SYSVOL tienen permiso de lectura y ejecución, pueden ver y ejecutar las GPOs, pero quédate tranquilo, porque en ninguna GPO se guarda ninguna contraseña
        Antes de la aplicación de una actualización de ya hace bastante tiempo se guardaba un “hash” de la contraseña, y se permitía que por GPO se pudiera cambiar una contraseña, pero hace tiempo que no se permite más. Y por esto mismo es que se creó LAPS
        Ahora si el tema es que las quieres controlar a mano, me parece que te tocará hacerlo también “a mano” :)

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .

A %d blogueros les gusta esto: