Saltar navegación

Activa JavaScript para disfrutar de los vídeos de la Mediateca.

Utilización LAPS en windows server - Contenido educativo

Ajuste de pantalla

El ajuste de pantalla se aprecia al ver el vídeo en pantalla completa. Elige la presentación que más te guste:

Subido el 31 de diciembre de 2022 por Fernando Jesús H.

9 visualizaciones

Más información Transcripción

Descargar la transcripción

Buenas, vamos a ver cómo funciona esto del LAPS, pero vamos a ver el escenario que tenemos. 00:00:00
Tenemos un Windows Server, que es este que tengo aquí. 00:00:05
En este Windows Server tenemos, en este caso, el nombre del equipo y el dominio creado. 00:00:09
Tenemos un dominio que se llama mostoles2021.local y el nombre del servidor se llama srvw2019-01. 00:00:17
¿De acuerdo? Tenemos aquí la IP del servidor, la que termina en 192.168.99.100 y hemos metido un equipo en el dominio. El equipo que hemos metido en el dominio es un Windows 10, que es este de aquí, en el que el usuario administrador está deshabilitado y hay un usuario que se llama usuario, que es el usuario administrador. 00:00:25
Lo hemos metido en el dominio, de forma que si nos vamos a propiedades, lo tenemos en configuración avanzada y nos vamos a nombre del equipo, tenemos aquí que en el dominio en el que estamos, que en este caso es el móstoles 2021.local y el nombre en este caso completo equipo2.móstoles. 00:00:51
¿De acuerdo? Entonces, ¿qué es lo que vamos a hacer para que yo pueda gestionar las contraseñas de administrador, pero desde el servidor? 00:01:13
Para que cada equipo cliente no todos tengan la misma contraseña, sino que haya una contraseña que varíe cada cierto tiempo. 00:01:21
Entonces necesitamos una aplicación que se llama Labs. Entonces para eso ponemos en un navegador Labs, porque lo tenemos que instalar tanto en el cliente como en el servidor. 00:01:32
y no sé si veis aquí 00:01:42
que me pone en este caso 00:01:44
Download Locate Administration Password Solution 00:01:48
de Microsoft 00:01:51
pinchamos en él 00:01:53
y nos la descargamos 00:01:54
pinchamos aquí en Download 00:01:57
y nos vamos a descargar tanto la versión 00:02:00
de 64 como de 32, ¿por qué? 00:02:04
porque como os he dicho que tenéis que 00:02:07
instalar también en los clientes 00:02:08
imaginaros que hay un cliente que tenéis de 32 bit 00:02:10
por si acaso descargaron las dos, aunque nosotros aquí en el laboratorio solamente vamos a necesitar en este caso el de 64 00:02:13
entonces yo aquí no lo voy a dar porque ya me lo he descargado 00:02:19
pero lo único que tenéis que hacer es descargarlo y esto es lo que nosotros nos hemos puesto en el servidor 00:02:22
tanto repito, el de 64 como el de 32 bits 00:02:27
¿de acuerdo? 00:02:31
yo ya lo he copiado dentro del servidor 00:02:33
me voy de aquí, me voy al Windows Server 00:02:35
y dentro del Windows Server yo lo he copiado dentro de esta carpetita que se llama programas 00:02:38
y que lo tenemos aquí de 64 y de 32 bits, ¿de acuerdo? 00:02:44
Esta carpetita la he compartido de forma que si pongo 192.99.100 pues tenemos aquí el programita 00:02:48
porque esto luego vamos a crear una directiva para que se me instale en este caso el apps 00:03:02
en los clientes, en los equipos que yo quiero que se administren, ¿de acuerdo? 00:03:08
Ahora lo que vamos a hacer es, como en este servidor tenemos que tener instalado el LAPS, lo vamos a instalar. 00:03:12
Le damos al LAPS x64.msi y lo instalamos y seleccionamos todas las opciones. 00:03:18
Vamos a ejecutar, le damos a Next, aceptamos, Next y aquí seleccionamos todo. 00:03:26
Seleccionamos todo, le damos a Next e Instal. 00:04:10
ya tenemos instalado en el servidor 00:04:14
si yo me voy aquí a inicio y supuestamente si pongo labs 00:04:27
pues tenemos aquí el labs UI 00:04:31
y esto es para que yo pueda consultar en el nombre del equipo 00:04:38
yo aquí en el donde pone computer name 00:04:41
pongo el nombre del equipo que vamos a decir que queremos gestionar 00:04:43
entonces me va a poner la contraseña 00:04:47
me va a decir cuanto expira y yo aquí le puedo poner 00:04:49
cuando quiero que expire esa contraseña 00:04:52
entonces esta es la parte en este caso servidora 00:04:53
Pues ahora vamos a ver cómo podemos, porque ahora tenemos que copiar esto en los clientes 00:04:58
O puedo ir uno a uno en cada cliente copiando o lo que puedo hacer es una directiva para que automáticamente se instale 00:05:04
Vamos a crear ahora una directiva de grupo para que instale en este caso esta aplicación 00:05:09
Entonces vamos a hacer el ejemplo, he abierto aquí en usuarios equipo de Active Directory 00:05:17
Si no os recordáis, cierro todo para recordar. 00:05:23
Si me voy aquí a Inicio, me voy aquí a Administrador y Servidor. 00:05:28
Y arriba, a mano derecha, te pone Herramientas. 00:05:35
Pues voy aquí al que me pone Usuarios y Equipos de Active Directory. 00:05:38
Como tengo aquí un ejemplo, he creado una unidad organizativa de departamentos 00:05:45
y he creado una que se llama, por ejemplo, pues yo qué sé, Ventas. 00:05:49
¿De acuerdo? Vamos a hacer el ejemplo este con Ventas. 00:05:54
Entonces, ¿qué es lo primero que vamos a hacer? Vamos a coger el ordenador que tenemos en computer y lo vamos a mover en este caso a la unidad organizativa ventas, que va a ser al que le apliquemos en este caso esta directiva. 00:05:56
Pues le vamos a decir botón derecho, le vamos a decir mover y le vamos a decir que quiero dentro de apartamentos y dentro de ventas. 00:06:11
de forma que en ventas tengo ya aquí el equipo 02 00:06:18
¿de acuerdo? 00:06:22
ahora, volvemos aquí al administrador del servidor 00:06:23
arriba a mano derecha herramientas 00:06:27
y me voy a administración de directivas de grupo 00:06:29
y vamos a crear una directiva de grupo 00:06:32
pincho en el bosque, pincho en dominios 00:06:35
en móstoles 00:06:39
pongo esto más grande 00:06:40
me voy a departamentos y me voy a ventas 00:06:43
¿de acuerdo? 00:06:52
O puedo crearlos aquí dentro del objeto directiva y luego vincularlos, pero directamente vamos a crearlo y vincularlo. 00:06:53
Le digo botón derecho en ventas, crear una GPO en este dominio y vincularla aquí. 00:07:02
Y vamos a llamarle, pero bien escrito, gestión labs. 00:07:09
Entonces ya tenemos aquí la unidad organizativa y tenemos la directiva. 00:07:26
en esta directiva se me va a aplicar obviamente en este caso a esta unidad organizativa 00:07:34
y me pone que se va a aplicar a todos 00:07:39
yo quiero que esta unidad solamente se me aplique a los ordenadores del dominio 00:07:41
así que esta de aquí la vamos a quitar 00:07:47
pero recordar que para que no tengamos problemas me voy a delegación 00:07:49
me voy a opciones avanzadas 00:07:53
selecciono usuarios que no lo veo, autentificados 00:07:56
y le digo que quiero quitar aplicar directiva de grupo. 00:08:05
De forma que si me voy a ámbito ya no tengo ningún filtrado de seguridad. 00:08:12
¿A qué vamos a añadir aquí? 00:08:16
Pues aquí vamos a añadir en este caso al que me pone equipos de dominio. 00:08:17
Entonces bajamos y buscamos aquí equipos de dominio. 00:08:27
Le damos a aceptar y a aceptar. 00:08:31
entonces dentro de ventas esta directiva se me va a aplicar a los equipos del dominio 00:08:33
de acuerdo 00:08:39
ahora vamos a editar la directiva 00:08:41
nos vamos, botón derecho en gestión labs 00:08:46
botón derecho editar 00:08:50
nos vamos a configuración de equipo 00:08:51
nos vamos a directivas 00:08:54
configuración de software 00:08:56
instalación de software 00:08:57
y vamos a decirle ahí 00:08:59
botón derecho 00:09:01
nuevo paquete 00:09:02
y aquí le vamos a decir la ruta que hemos hecho antes 00:09:04
la 192.168.99.100 que es la IP del servidor y programas 00:09:08
y tenemos aquí el labs 00:09:24
importante que le pongamos la ruta en este caso del recurso compartido 00:09:25
le damos a abrir, le decimos asignada y le damos a aceptar 00:09:30
de forma que después de unos pocos segundos aquí a mano derecha 00:09:34
me tiene que poner que se va a instalar en este caso el labs 00:09:38
de acuerdo, no sé si lo veis 00:09:41
y esta es la ruta que tiene asignada 00:09:43
¿de acuerdo? 00:09:46
si yo me voy aquí al equipo cliente 00:09:49
en el equipo cliente 00:09:52
que llama chao 00:09:53
si me voy a los programas que tenemos instalados 00:09:54
¿vale? 00:10:05
aquí no tengo instalado el labs 00:10:15
¿de acuerdo? lo único que he hecho es ejecutar 00:10:17
en este caso el appwith.cpl 00:10:19
o si no me voy a los programas que tenemos instalados 00:10:22
me da igual como lo hagáis ¿vale? 00:10:26
porque esto me da exactamente igual 00:10:27
me voy aquí a las aplicaciones 00:10:29
que nosotros tenemos instaladas 00:10:32
¿de acuerdo? o si no 00:10:33
me voy aquí al panel de control 00:10:35
y me voy aquí a los programas 00:10:37
¿de acuerdo? 00:10:43
programas y características 00:10:44
y lo tenemos aquí 00:10:46
¿de acuerdo? me da igual como vea, esto de aquí no lo tenemos 00:10:49
instalado 00:10:51
vamos a actualizar las directivas 00:10:51
de grupo, ¿vale? para no estar esperando aquí 00:10:55
que se apliquen a los servidores, entonces me voy al 00:10:56
servidor, vamos a arrancar 00:10:58
un cmd y vamos a poner gp update raya force y lo vamos a hacer lo mismo pero 00:11:01
dentro del cliente vale esto simplemente para aportar que la directiva pues me 00:11:20
aplica a todos los servidores no está esperando porque no sé si recuerdo que 00:11:25
es cara a 40 minutos o 45 minutos no me acuerdo entonces nos vamos al cliente y 00:11:28
hacemos exactamente lo mismo entonces como hay una directiva que se tiene que 00:11:32
aplicar cuando se arranca el ordenador pues nos va a pedir que reiniciemos 00:11:56
así que le decimos que sí y reiniciamos el equipo 00:11:59
y después de esto, después de reiniciar el equipo 00:12:02
si todo ha ido bien, quiere decir que se me ha instalado el programita 00:12:07
que nosotros le hemos dicho que se tiene que instalar 00:12:10
ahora retomo el vídeo cuando haya reiniciado 00:12:12
ya se ha reiniciado, entramos con el usuario local 00:12:18
si nos vamos aquí a panel de control 00:12:24
fijaros que ya lo tenemos aquí instalado 00:12:38
el local administration password solution 00:12:51
¿de acuerdo? 00:12:54
Pues ahora nos queda hacer unos últimos pasos en el servidor. 00:12:57
Nos vamos al server y vamos a abrir en este caso una terminal de PowerShell. 00:13:01
Botón derecho en inicio, iniciar PowerShell, administrador y vamos a tener que ejecutar una serie de comandos. 00:13:08
le pone esto más grande el primero es importar el módulo de labs de acuerdo para ello ponemos 00:13:15
el comando y se llama de mp wd punto ps si no escribo bien las cosas pues es lo que pasa 00:13:28
a dmp w de acuerdo es decir ya podemos utilizar los comandos de que me ofrece el labs entonces 00:13:54
ahora lo que vamos a hacer es, como tenemos aquí 00:14:05
nuevas herramientas, lo que vamos a hacer es 00:14:07
extender el esquema para que 00:14:09
la nueva funcionalidad que me da el lab 00:14:11
se me aplique a lo que es el esquema del directorio 00:14:13
entonces para eso, ejecutamos el comando 00:14:16
update 00:14:18
adm pw 00:14:25
¿vale? esquema 00:14:28
aquí podemos poner 00:14:30
el verbose para ver que es lo que va 00:14:32
haciendo 00:14:34
¿de acuerdo? y eso es lo que nos ha metido 00:14:34
dentro del esquema, es decir, nos ha metido 00:14:37
en este caso, una seriedad 00:14:40
atributos para que nuestro dominio tenga más funcionalidades, ¿de acuerdo? 00:14:42
Y ahora lo que vamos a hacer es decirle, como antes hemos creado, no sé si recordáis que 00:14:49
estábamos por aquí y habíamos metido el ventas, pues vamos a decirle a qué unidad 00:14:53
organizativa le vamos a aplicar en este caso esta configuración. 00:14:58
Así que le vamos a decir la unidad organizativa ventas, que es donde está nuestro equipo, 00:15:01
¿de acuerdo? 00:15:05
En ventas. 00:15:05
Así que ejecutamos el comando setadm pwd y se llama computer, computer, sell permission, le decimos aquí el identity y le vamos a decir que era, ya se me ha olvidado, ventas, ¿de acuerdo? 00:15:06
Entonces veis que ahí me pone unir organizaciones de ventas dentro de departamentos, dentro de Móstoles 2021, punto local. 00:15:34
¿Qué es lo que nos queda hacer? 00:15:43
Nos queda decirle en este caso qué grupo va a ser el que va a permitir gestionar las contraseñas. 00:15:45
Entonces vamos a poner el grupo administradores. 00:15:50
Pues para eso ejecutamos el comando set-adm-pw y en este caso se va a llamar password permission. 00:15:52
le decimos la unidad organizativa 00:16:05
¿por qué no me lo coge? 00:16:19
le decimos la unidad organizativa de ventas 00:16:48
y le decimos quiénes son los primitivos 00:16:49
y aquí le vamos a decir al grupo administradores 00:16:51
¿de acuerdo? ya lo tenemos ahí 00:16:53
pues ahora lo que vamos a hacer es 00:17:12
nos vamos a la directiva de grupo que teníamos antes 00:17:16
que aquí es donde pusimos, que todavía la tengo abierta 00:17:19
y ahora alguien me pone plantillas administrativas dentro de configuración de equipo, dentro de directivas, dentro de plantillas administrativas 00:17:23
y aquí tenemos una carpetita que se llama apps. 00:17:32
Pues aquí nosotros le podemos decir cómo quiero que sean las contraseñas, le puedo decir el nombre del administrador en este caso que vamos a gestionar, 00:17:35
Pues aquí le vamos a decir el name 00:17:43
Voy a poner esto más grande 00:17:45
Le vamos a dar doble clic 00:17:47
La voy a habilitar y le voy a decir aquí que se llama el usuario 00:17:52
Que es el administrador local que teníamos en este caso en el equipo de Windows 10 00:17:57
Le doy a aceptar 00:18:06
Y luego tenemos que habilitar el que me pone enable local admin password manager 00:18:07
¿Vale? Para que decir que la puedo gestionar desde aquí, desde el server 00:18:13
Entonces vamos a habilitar tanto esta como esta, ¿de acuerdo? 00:18:17
Esta la podemos decir para decirle qué contraseña quiero que tenga, 00:18:20
que tenga un mínimo máximo de contraseñas, que tenga un número de caracteres, etc. 00:18:24
Pero con estas dos tirando millas. 00:18:28
Pues como ya la tenemos, vamos a repetir lo que hicimos antes. 00:18:31
Vamos a actualizar aquí el gpudate-force y vamos a hacer lo propio dentro del cliente también 00:18:35
para que me coja bien, en este caso, las directivas que hemos aplicado. 00:18:48
Me voy al equipo 02 y actualizamos. 00:18:52
Si aquí ejecutamos gpr-r, vemos aquí la configuración del equipo y vemos en este caso que se está aplicando el gestión labs. 00:19:15
Si ahora me voy al server, estoy aquí en PowerShell, podemos utilizar este comando. 00:20:15
Este no, que este es para borrar la pantalla. 00:20:30
get-adm-pwd-password 00:20:32
y si le decimos aquí el nombre del equipo 00:20:41
que el nombre del equipo es 00:20:44
equipo02 00:20:46
equipo02 00:20:52
quiero que veáis que me dice que el equipo2 00:20:54
la contraseña es esta de aquí 00:21:02
también lo puedo ver si yo me voy aquí a inicio 00:21:04
y pongo labs 00:21:08
si yo le digo aquí el nombre del equipo 00:21:09
que le digo 00:21:14
equipo 02 00:21:15
pues me dice aquí 00:21:18
la misma contraseña 00:21:20
entonces quiero que veáis que esta 00:21:22
y esta me lo está dando 00:21:28
¿de acuerdo? 00:21:30
entonces incluso aquí le puedo decir cuando 00:21:35
quiero que expire esa contraseña 00:21:37
¿sí? 00:21:38
vale, ¿qué pasa ahora? 00:21:44
si voy a coger esta contraseña de aquí 00:21:46
me la voy a apuntar en un momento, un segundo 00:21:48
¿qué pasa ahora? si yo me voy aquí 00:21:50
al equipo cliente 00:21:54
y reiniciamos el equipo 00:21:55
hasta aquí, hasta ahora 00:21:58
la contraseña de este equipo era 00:22:03
la que siempre pongo yo, clave$1 00:22:04
pero nosotros ahora le hemos dicho 00:22:06
que esta cuenta va a ser gestionada 00:22:09
en este caso en el server 00:22:11
entonces en el server 00:22:12
me está diciendo que la contraseña 00:22:15
de este equipo 00:22:17
es esta de aquí 00:22:19
y va a expirar en este caso 00:22:20
pues el 30 del 1 a las 11 y 30 00:22:23
59, de acuerdo 00:22:25
De forma que si yo me voy al equipo cliente e intento entrar con el usuario aquí administrador, que es el usuario, y pongo clave dólar 1, me dice que no me deja. 00:22:26
Entonces, ¿qué contraseña vamos a tener que poner? 00:22:39
Pues en este caso la que me proporcionan, que es esta de aquí. 00:22:41
¿De acuerdo? 00:22:44
Entonces la escribimos. 00:22:49
Segundo que la escribo. 00:22:51
Vale, la comprobamos. 00:22:55
Que es toda esa, que es la que teníamos. 00:22:58
Espero no equivocarme. 00:23:01
de forma que si entramos 00:23:02
no me deja 00:23:04
a ver si lo estamos escribiendo bien 00:23:06
segundo 00:23:07
vale, que estábamos poniendo 00:23:09
estaba poniendo mal y era una K mayúscula 00:23:14
vale, T1RK 00:23:17
entonces entramos 00:23:19
y ahora sí que nos deja 00:23:20
¿qué conseguimos con esto? 00:23:22
pues que imaginaros que tenemos 00:23:25
500 ordenadores clientes 00:23:27
pues en esos 500 ordenadores 00:23:29
nosotros hasta ahora teníamos el usuario 00:23:31
administrador y en todos era la misma 00:23:33
contraseña. Entonces, ¿qué pasa si yo 00:23:34
consigo la contraseña de uno de esos 00:23:37
ordenadores? Que yo voy a poder sentarme 00:23:38
en cualquiera de los ordenadores y me 00:23:40
convierto en administrador en esos 00:23:41
equipos. Entonces, de esta manera, la 00:23:42
gestión de los usuarios administradores 00:23:45
de esos equipos, la gestiono dentro 00:23:47
del server. Entonces, es un agujero menos 00:23:50
de seguridad que nosotros tenemos que 00:23:52
controlar. ¿De acuerdo? Pues venga, espero 00:23:53
que esto nos ha creado algunas ideas. Un 00:23:56
saludo. 00:23:59
Idioma/s:
es
Autor/es:
Fernando Herrero Núñez
Subido por:
Fernando Jesús H.
Licencia:
Reconocimiento - No comercial - Compartir igual
Visualizaciones:
9
Fecha:
31 de diciembre de 2022 - 18:35
Visibilidad:
Público
Centro:
IES EL CAÑAVERAL
Duración:
24′ 01″
Relación de aspecto:
1.96:1
Resolución:
1920x980 píxeles
Tamaño:
63.05 MBytes

Del mismo autor…

Ver más del mismo autor

EducaMadrid, Plataforma Educativa de la Comunidad de Madrid

Plataforma Educativa EducaMadrid