Administración Centralizada de los Administradores Locales – Parte 2 de 2

Habiendo completado todos los procedimientos de la nota anterior (“Administración Centralizada de los Administradores Locales – Parte 1 de 2”) en esta vamos a completar las configuraciones necesariasy demostrar su utilización

Comenzaremos con una forma de saltarse las limitaciones que mencionamos anteriormente como es habilitar la cuenta de administrador y asignarle una contraseña en forma remota

Como nombramos en la nota anterior por las actualizaciones de seguridad de Windows no se permite que a través de una GPO se puedan modificar contraseñas, y tampoco habilitar la cuenta Administrador hasta que se le asigne una contraseña. Tenemos que buscar una forma para no tener que ir máquina por máquina haciendo los cambios, ya que aunque en esta nota hay sólo dos clientes, pensemos qué sucedería si tuviérmos unos cientos de clientes

Aunque parezca mentira, esto se logra en forma muy sencilla a través de un “Startup Scipt” con el viejo conocido “NET USER”

Así que comencemos creando una GPO que haga este trabajo, una vez hecho el cambio debemos eliminar esta GPO, es sólo para un uso transitorio

Creamos la GPO de acuerdo a las siguientes pantallas

LAPS-33

LAPS-34

LAPS-35

LAPS-36

Atención con los siguientes pasos. Uno de los errores más comunes es no poner el “script” en la carpeta adecuada

Entonces la forma más simple es directamente abrir la carpeta apropiada que el sistema abre por omisión, crear ahí el “script” y luego agregarlo con el botón “Add”

LAPS-37

Simplemente creo un archivo TXT que edito, y luego le cambio la extensión a CMD. Con este comando asingamos la contraseña “Pa$$w0rd” y activamos la cuenta

LAPS-38

LAPS-39

LAPS-40

LAPS-41

LAPS-42

Lo siguiente es forzar la aplicación de la GPO en las máquinas cliente, aunque a veces hay que hacer un reinicio para que se haga efectiva la configuración

Controlemos que se ha habilitado la cuenta

LAPS-43

Una vez comprobado podemos eliminar esta última GPO

LAPS-44

LAPS-45

 

El paso siguiente es configurar la GPO para permitir la asignación y lectura de la cuenta administradora que se guardará en Active Directory. Se podría hacer una nueva GPO, o podemos como hago a continuación editar la GPO existente

LAPS-46

Debemos hacer la configuración en “Computer Configuration / Policies / Administrative Templates / LAPS”

LAPS-47

Habilitamos la administración de la contraseña de administrador y otras configuraciones como se muestra

LAPS-48

LAPS-49

Si deseamos podemos cambiar la complejidad de las contraseñas, que a partir de este momento asignará y manejará el sistema

LAPS-50

Como estamos operando sobre la cuenta predefinida de administrador no debemos configurar la opción “Name of administrator account to manage”. No lo hago en esta demostración pero se puede adaptar a cualquier cuenta local administradora existente en las máquinas

LAPS-51

Y, por supuesto, debemos forzar la actualización de las GPOs en los clientes

LAPS-52

 

Llegó el momento de probar el funcionamiento. Para eso en DC1 veamos la aplicación que nos permite ver y forzar el cambio de la contraseña de administrador local

LAPS-53

Seleccionamos la máquina de la cual queremos ver la contraseña

LAPS-54

Si todo ha funcionado correctamente, la cuenta administradora local de la máquina cliente tiene que estar habilitada, y además tener la contraseña mostrada en el cuadro anterior, probémoslo

LAPS-55

Podemos ver que iniciamos sesión sin problemas

LAPS-56

 

Nos falta todavía lo último, que el usuario “Soporte Uno” pueda desde su máquina cliente ver la contraseña del administrador local de otra máquina

La GPO ha instalado la CSE, pero no la aplicación gráfica. Eso es muy sencillo de solucionar aún para un usuario normal del Dominio, como se muestra a continuación

LAPS-57

LAPS-58

LAPS-59

LAPS-60

LAPS-61

LAPS-62

“Soporte Uno” ya tiene disponible la aplicación

LAPS-63

LAPS-64

 

Ya dejo el tema con lo hecho en estas dos notas. Como otras formas de aprovechar esta funcionalidad, tengan en cuenta que podrían hacer procedimientos análogos para distintos grupos de máquinas clientes sino además para grupos de servidores

 

Post a comment or leave a trackback: Trackback URL.

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: