Ver la contraseña generada por LAPS
Ahora que nuestros ordenadores tienen una contraseña diferente, veremos cómo recuperar la contraseña.
Desde el Active Directory
Se debe habilitar la visualización de funciones avanzadas.
Con la consola Usuarios y equipos de Active Directory, abra las propiedades del equipo, vaya a la pestaña Editor de atributos 1 y busque el atributo ms-Mcs-AdmPwd 2.
Con el cliente de LAPS
Al instalar LAPS en el servidor, se instalaron todos los componentes. Un cliente está disponible a través del menú Inicio. Una vez iniciado, ingrese el nombre de la computadora 1 y luego haga clic en Buscar 2 para mostrar la contraseña 3 así como la fecha de vencimiento 4.
Es posible modificar la fecha de vencimiento de la contraseña, una vez configurada, haga clic en Establecer. El cambio de contraseña se hará efectivo al aplicar políticas de grupo en el ordenador.
Permitir la visualización de contraseñas a un grupo AD
De forma predeterminada, el grupo de administradores de dominio puede ver el atributo que contiene la contraseña de la cuenta de administrador local de la estación de trabajo. Puede que sea necesario dar acceso con contraseña a otras personas, por ejemplo, personas del equipo de soporte si no son miembros del grupo de administradores de dominio.
La parte cliente de LAPS deberá estar instalada en su computadora para ver la contraseña.
En el controlador de dominio, abra la consola de Modificación ADSI, haga clic con el botón derecho en Modificación ADSI 1 y haga clic en Conexión 2.
Elija Contexto de asignación predeterminado 1 y haga clic en Aceptar 2.
Una vez conectado, abra las propiedades de la OU donde se configuró LAPS.
Vaya a la pestaña Seguridad 1 y haga clic en el botón Avanzado 2.
Haga clic en Agregar 1.
Seleccione el grupo 1, escriba: Permitir 2. Verifique la autorización Todos los derechos extendidos 3 y valídela haciendo clic en Aceptar 4.
Las autorizaciones se han agregado a la unidad organizativa, haga clic en Aplicar 1 y luego en Aceptar 2 para validar. Luego cierra las ventanas.
Es posible hacer lo mismo en PowerShell usando el siguiente comando:
Set-AdmPwdReadPasswordPermission -OrgUnit Computers -AllowedPrincipals SupportSI
Es posible verificar el acceso en PowerShell usando el siguiente comando:
Import-Module AdmPwd.PS
Find-AdmPwdExtendedRights -Identity Computers | Format-Table ExtendedRightHolders
ExtendedRightHolders
--------------------
{AUTORITE NT\Système, LAB\Admins du domaine, LAB\SupportSI}Los usuarios del grupo SupportSI ahora tienen la capacidad de ver la contraseña de la cuenta del administrador local.
Para otorgar permiso al grupo SupportSI para cambiar la fecha de vencimiento de la contraseña, ingrese el siguiente comando de PowerShell:
Set-AdmPwdResetPasswordPermission -OrgUnit Computers -AllowedPrincipals SupportSI