Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La solución de contraseñas de administrador local de Windows (Windows LAPS) le permite configurar las opciones de directiva para administrar contraseñas de administrador local de forma segura y automática. En este artículo se explica cada configuración de directiva y cómo administrarlas para mejorar la seguridad y el cumplimiento.
Raíces de directiva admitidas
Aunque no lo recomendamos, se puede administrar un dispositivo mediante varios mecanismos de administración de directivas. Para admitir este escenario de forma comprensible y predecible, a cada mecanismo de directiva de Windows LAPS se le asigna una clave raíz del registro distinta:
| Nombre de directiva | Raíz de la clave del registro de directivas |
|---|---|
| LAPS CSP | HKLM\Software\Microsoft\Policies\LAPS |
| Directiva de grupo de LAPS | HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\LAPS |
| Configuración local de LAPS | HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\Config |
| Microsoft LAPS heredado | HKLM\Software\Policies\Microsoft Services\AdmPwd |
Windows LAPS consulta todas las raíces conocidas de la directiva de clave del registro, empezando por la parte superior y bajando. Si no se encuentra ninguna opción en una raíz, esa raíz se omite y la consulta continúa con la siguiente raíz. Cuando se encuentra una raíz que tiene al menos una opción definida explícitamente, esa raíz se usa como directiva activa. Si la raíz elegida no tiene ninguna opción, a las opciones se le asignan sus valores predeterminados.
Las opciones de directiva nunca se comparten ni se heredan entre raíces de clave de directiva.
Tip
A efectos de integridad, la clave de configuración local de LAPS se incluye en la tabla anterior. Puede usar esta clave si es necesario, pero la clave está pensada principalmente para usarse para pruebas y desarrollo. Ninguna herramienta de administración ni ningún mecanismo de directiva tienen como destino esta clave.
Opciones de directiva admitida por BackupDirectory
Windows LAPS admite varias opciones de directiva que puede administrar a través de varias soluciones de administración de directivas o incluso directamente a través del registro. Algunas de estas opciones solo se aplican al realizar copias de seguridad de contraseñas en Active Directory y algunas opciones de configuración son comunes a los escenarios de Active Directory y Microsoft Entra.
En la tabla siguiente se especifica qué opciones se aplican a los dispositivos que tienen la opción BackupDirectory especificada:
| Nombre de configuración | ¿Se aplica cuando BackupDirectory=Microsoft Entra ID? | ¿Es aplicable cuando BackupDirectory=AD? |
|---|---|---|
| AdministratorAccountName | Yes | Yes |
| PasswordAgeDays | Yes | Yes |
| PasswordLength | Yes | Yes |
| PassphraseLength | Yes | Yes |
| PasswordComplexity | Yes | Yes |
| PostAuthenticationResetDelay | Yes | Yes |
| PostAuthenticationActions | Yes | Yes |
| ADPasswordEncryptionEnabled | No | Yes |
| ADPasswordEncryptionPrincipal | No | Yes |
| ADEncryptedPasswordHistorySize | No | Yes |
| ADBackupDSRMPassword | No | Yes |
| PasswordExpirationProtectionEnabled | No | Yes |
| AutomaticAccountManagementEnabled | Yes | Yes |
| AutomaticAccountManagementTarget | Yes | Yes |
| AutomaticAccountManagementNameOrPrefix | Yes | Yes |
| AutomaticAccountManagementEnableAccount | Yes | Yes |
| AutomaticAccountManagementRandomizeName | Yes | Yes |
Si BackupDirectory está establecido en Deshabilitado, se omiten todas las demás configuraciones.
Puede administrar casi todas las opciones mediante cualquier mecanismo de administración de directivas. El proveedor de servicios en la nube (CSP) de Windows LAPS tiene dos excepciones a esta regla. El CSP de Windows LAPS admite dos opciones que no están en la tabla anterior: ResetPassword y ResetPasswordStatus. Además, CSP de Windows LAPS no admite la opción ADBackupDSRMPassword (los controladores de dominio nunca se administran a través de CSP). Para obtener más información, consulte la documentación de CSP de LAPS.
Directiva de grupo de Windows LAPS
Windows LAPS incluye un nuevo objeto directiva de grupo que puede usar para administrar las opciones de directiva en dispositivos unidos a un dominio de Active Directory. Para acceder a la directiva de grupo de Windows LAPS, en el Editor de administración de directivas de grupo, vaya a Configuración> del equipoPlantillas> administrativasSistema>LAPS. La ilustración siguiente muestra un ejemplo:
La plantilla de este nuevo objeto de directiva de grupo se instala como parte de Windows en %windir%\PolicyDefinitions\LAPS.admx.
Almacén central de objetos directiva de grupo
Important
Los archivos de plantilla de GPO de Windows LAPS no se copian automáticamente en el almacén central de GPO como parte de una operación de aplicación de revisiones de Windows Update, suponiendo que implementó ese enfoque. En su lugar, debe copiar manualmente LAPS.admx en la ubicación del almacén central del GPO. Consulta Crear y administrar el Almacén central.
CSP de Windows LAPS
Windows LAPS incluye un CSP concreto que puede usar para administrar la configuración de directiva en dispositivos unidos Microsoft Entra. Administre el CSP de Windows LAPS mediante el Microsoft Intune.
Aplicar opciones de directiva
En las secciones siguientes se describe cómo usar y aplicar distintas opciones de directiva para Windows LAPS.
BackupDirectory
Use esta opción para controlar en qué directorio se realiza la copia de seguridad de la contraseña de la cuenta administrada.
| Value | Descripción de la opción |
|---|---|
| 0 | Deshabilitada (no se realizan copias de seguridad de la contraseña) |
| 1 | Copia de seguridad de la contraseña solo en Microsoft Entra |
| 2 | Solo se realiza la copia de seguridad de la contraseña en Windows Server Active Directory |
Si no se especifica, esta configuración tiene como valor predeterminado 0 (Deshabilitado).
AdministratorAccountName
Use esta opción para configurar el nombre de la cuenta de administrador local administrada.
Si no se especifica, esta opción tiene como valor predeterminado administrar la cuenta de administrador local integrada.
Important
No especifique esta opción a menos que desee administrar una cuenta distinta de la cuenta de administrador local integrada. La cuenta de administrador local se identifica automáticamente a través de su identificador relativo conocido (RID).
Important
Puedes configurar la cuenta especificada (integrada o personalizada) como habilitada o deshabilitada. Windows LAPS administra la contraseña de esa cuenta en cualquier estado. Sin embargo, si se deja en un estado deshabilitado, la cuenta debe estar habilitada en primer lugar para poder usarse.
Important
Si configura Windows LAPS para administrar una cuenta de administrador local personalizada, debe asegurarse de que se crea la cuenta. Windows LAPS no crea la cuenta.
Important
Se ignora la configuración cuando AutomaticAccountManagementEnabled está habilitado.
PasswordAgeDays
Esta configuración controla la antigüedad máxima de la contraseña de la cuenta de administrador local administrada. Los valores admitidos son:
- Mínimo: un día (cuando el directorio de copia de seguridad está configurado para que sea id. de Microsoft Entra, el mínimo es de siete días).
- Máximo: 365 días
Si no se especifica, esta opción tiene como valor predeterminado 30 días.
Important
Los cambios realizados en la configuración de la directiva PasswordAgeDays no tienen ningún efecto en la hora de expiración de la contraseña actual. De forma similar, los cambios en la PasswordAgeDays configuración de directiva no hacen que el dispositivo administrado inicie una rotación de contraseñas.
PasswordLength
Use esta opción para configurar la longitud de la contraseña de la cuenta de administrador local administrada. Los valores admitidos son:
- Mínimo: 8 caracteres
- Máximo: 64 caracteres
Si no se especifica, esta opción tiene como valor predeterminado 14 caracteres.
Important
No configure PasswordLength en un valor incompatible con la directiva de contraseña local del dispositivo administrado. Si lo hace, Windows LAPS no puede crear una nueva contraseña compatible. (Busque un evento 10027 en el registro de eventos de Windows LAP).
El parámetro PasswordLength se ignora a menos que PasswordComplexity esté configurado con una de las opciones de contraseña.
PassphraseLength
Use esta opción para configurar el número de palabras de la frase de contraseña de la cuenta de administrador local administrada. Los valores admitidos son:
- Mínimo: 3 palabras
- Máximo: 10 palabras
Si no se especifica, esta opción tiene como valor predeterminado 6 palabras.
El parámetro PassphraseLength se ignora a menos que PasswordComplexity esté configurado con una de las opciones de frase de contraseña.
Important
El valor 11 de PassphraseLength solo se admite en Windows 11 24H2, Windows Server 2025 y versiones posteriores.
PasswordComplexity
Use esta opción para configurar la complejidad de contraseña requerida de la cuenta de administrador local administrada, o para especificar que se cree una frase de contraseña.
| Value | Descripción de la opción |
|---|---|
| 1 | Letras grandes |
| 2 | Letras mayúsculas + letras minúsculas |
| 3 | Letras mayúsculas + letras minúsculas + números |
| 4 | Letras mayúsculas + letras minúsculas + números + caracteres especiales |
| 5 | Letras mayúsculas + minúsculas + números + caracteres especiales (legibilidad mejorada) |
| 6 | Frase de contraseña (palabras largas) |
| 7 | Frase de contraseña (palabras cortas) |
| 8 | Frase de contraseña (palabras cortas con prefijos únicos) |
Si no se especifica, esta configuración tiene como valor predeterminado 4.
Important
Windows admite la configuración de complejidad de contraseñas más baja (1, 2 y 3) solo para que sea compatible con versiones anteriores de Microsoft LAPS heredado. Se recomienda configurar siempre esta opción en 4 (o un valor superior si se admite).
Important
No configure PasswordComplexity en una configuración incompatible con la directiva de contraseña local del dispositivo administrado. Si lo hace, Windows LAPS no puede crear una nueva contraseña compatible. (Busque un evento 10027 en el registro de eventos de Windows LAPS).
Important
Los valores PasswordComplexity de 5 a 8 solo se admiten en Windows 11 24H2, Windows Server 2025 y versiones posteriores.
PasswordExpirationProtectionEnabled
Use esta opción para configurar la aplicación de la antigüedad máxima de contraseña en la cuenta de administrador local administrada.
Los valores admitidos son 1 (True) o 0 (False).
Si no se especifica, esta configuración tiene como valor predeterminado 1 (True).
Tip
En el modo LAPS heredado de Microsoft, esta configuración tiene como valor predeterminado False para la compatibilidad con versiones anteriores.
ADPasswordEncryptionEnabled
Use esta opción para habilitar el cifrado de contraseñas en Active Directory.
Los valores admitidos son 1 (True) o 0 (False).
Important
Para habilitar esta opción, es necesario que el dominio de Active Directory se ejecute en el nivel funcional de dominio 2016 o posterior.
ADPasswordEncryptionPrincipal
Utiliza esta opción para configurar el nombre o el identificador de seguridad (SID) de un usuario o grupo que pueda descifrar la contraseña almacenada en Active Directory.
Esta configuración se omite si la contraseña está almacenada actualmente en Azure.
Si no se especifica esta configuración, solo los miembros del grupo Administradores de dominio del dominio del dispositivo pueden descifrar la contraseña.
Si se especifica esta configuración, el usuario o grupo especificados puede descifrar la contraseña almacenada en Active Directory.
Important
La cadena almacenada en esta configuración es un SID en forma de cadena o el nombre completo de un usuario o grupo. A continuación encontrará algunos ejemplos:
S-1-5-21-2127521184-1604012920-1887927527-35197contoso\LAPSAdminslapsadmins@contoso.com
La entidad de seguridad identificada (ya sea por SID o por nombre de usuario o grupo) debe existir y poder resolverla el dispositivo.
Los datos especificados en esta configuración se ingresan as-is; por ejemplo, no agregue comillas ni paréntesis.
Esta configuración se omite a menos que ADPasswordEncryptionEnabled se configure en True y se cumplen todos los demás requisitos previos.
Esta opción se omite cuando se realiza una copia de seguridad de las contraseñas de cuenta del Modo de reparación de servicios de directorio (DSRM) en un controlador de dominios. En ese escenario, esta opción siempre se establece de forma predeterminada en el grupo Administradores de dominio del dominio del controlador de dominios.
ADEncryptedPasswordHistorySize
Use esta opción para configurar cuántas contraseñas cifradas anteriores se recuerdan en Active Directory. Los valores admitidos son:
- Mínimo : 0 contraseñas
- Máximo: 12 contraseñas
Si no se especifica, esta opción tiene como valor predeterminado 0 (está deshabilitada).
Important
Esta opción se omite a menos que ADPasswordEncryptionEnabled esté configurado en Verdadero y se cumplan todos los demás requisitos previos.
Esta opción también surte efecto en los controladores de dominios que hacen una copia de seguridad de sus contraseñas DSRM.
ADBackupDSRMPassword
Use esta opción para habilitar la copia de seguridad de la contraseña de la cuenta DSRM en controladores de dominios de Windows Server Active Directory.
Los valores admitidos son 1 (True) o 0 (False).
Esta configuración tiene como valor predeterminado 0 (False).
Important
Esta opción se omite a menos que ADPasswordEncryptionEnabled esté configurado en Verdadero y se cumplan todos los demás requisitos previos.
PostAuthenticationResetDelay
Use esta configuración para especificar la cantidad de tiempo (en horas) que debe esperar después de una autenticación antes de ejecutar las acciones posteriores a la autenticación especificadas (consulte PostAuthenticationActions). Los valores admitidos son:
- Mínimo : 0 horas (establecer este valor en 0 deshabilita todas las acciones posteriores a la autenticación)
- Máximo: 24 horas
Si no se especifica, esta opción tiene como valor predeterminado 24 horas.
PostAuthenticationActions
Use esta opción para especificar las acciones que se deben realizar tras la expiración del periodo de gracia configurado (consulte PostAuthenticationResetDelay).
Esta opción admite cualquiera de los valores siguientes:
| Value | Name | Acciones realizadas cuando expira el periodo de gracia | Comments |
|---|---|---|---|
| 1 | Restablecimiento de contraseña | Se restablece la contraseña de la cuenta administrada. | |
| 3 | Restablecer la contraseña y cerrar la sesión | Se restablece la contraseña de la cuenta administrada, se finalizan las sesiones de inicio de sesión interactivas que usan la cuenta administrada y se eliminan las sesiones SMB que usan la cuenta administrada. | Las sesiones de inicio de sesión interactivas reciben una advertencia de dos minutos (que no se puede configurar) para guardar su trabajo y cerrar sesión. |
| 5 | Restablecer contraseña y reiniciar | La contraseña de la cuenta administrada se restablece y se reinicia el dispositivo administrado. | El dispositivo administrado se reinicia después de un retraso de un minuto que no se puede configurar. |
| 11 | Restablecer la contraseña y cerrar la sesión | Se restablece la contraseña de la cuenta administrada, se finalizan las sesiones de inicio de sesión interactivas que utilizan la cuenta administrada, se eliminan las sesiones SMB que utilizan la cuenta administrada y se finaliza cualquier proceso restante que se ejecute bajo la identidad de la cuenta administrada. | Las sesiones de inicio de sesión interactivas reciben una advertencia de dos minutos (que no se puede configurar) para guardar su trabajo y cerrar sesión. |
Si no se especifica, esta configuración tiene como valor predeterminado 3.
Important
Las acciones permitidas posteriores a la autenticación están diseñadas para ayudar a limitar la cantidad de tiempo que se puede usar una contraseña de Windows LAPS antes de que esta se restablezca. Cerrar la sesión en la cuenta administrada o reiniciar el dispositivo son opciones que ayudan a garantizar que el tiempo sea limitado. La finalización abrupta de las sesiones de inicio de sesión o el reinicio del dispositivo puede causar la pérdida de datos.
Desde una perspectiva de seguridad, un usuario malintencionado que adquiere privilegios administrativos en un dispositivo mediante una contraseña válida de Windows LAPS tiene la capacidad en última instancia de evitar o eludir estos mecanismos.
Important
PostAuthenticationActions El valor 11 solo se admite en Windows 11 24H2, Windows Server 2025 y versiones posteriores.
AutomaticAccountManagementEnabled
Use esta opción para activar la administración automática de cuentas.
Los valores admitidos son 1 (True) o 0 (False).
Esta configuración tiene como valor predeterminado 0 (False).
Important
El valor 11 de AutomaticAccountManagementEnabled solo se admite en Windows 11 24H2, Windows Server 2025 y versiones posteriores.
AutomaticAccountManagementTarget
Use esta configuración para especificar si la cuenta de administrador integrada o una nueva cuenta personalizada se administra automáticamente.
| Value | Descripción de la opción |
|---|---|
| 0 | Administrar automáticamente la cuenta predefinida de administrador |
| 1 | Administrar automáticamente una nueva cuenta personalizada |
Esta configuración tiene como valor predeterminado 1.
Se ignora la configuración a menos que AutomaticAccountManagementEnabled esté habilitado.
Important
El valor 11 de AutomaticAccountManagementTarget solo se admite en Windows 11 24H2, Windows Server 2025 y versiones posteriores.
AutomaticAccountManagementNameOrPrefix
Use esta opción para especificar el nombre o el prefijo del nombre de la cuenta administrada automáticamente.
Esta configuración tiene como valor predeterminado WLapsAdmin.
Esta configuración se trata como un nombre si AutomaticAccountManagementRandomizeName es 0 (False).
Esta configuración se trata como un prefijo de nombre si AutomaticAccountManagementRandomizeName es 1 (True).
Se ignora la configuración a menos que AutomaticAccountManagementEnabled esté habilitado.
Important
El valor 11 de AutomaticAccountManagementNameOrPrefix solo se admite en Windows 11 24H2, Windows Server 2025 y versiones posteriores.
AutomaticAccountManagementEnableAccount
Use esta opción para activar o desactivar la cuenta administrada automáticamente.
| Value | Descripción de la opción |
|---|---|
| 0 | Deshabilitar la cuenta administrada automáticamente |
| 1 | Habilitación de la cuenta administrada automáticamente |
Esta configuración tiene como valor predeterminado 0.
Se ignora la configuración a menos que AutomaticAccountManagementEnabled esté habilitado.
Important
El valor 11 de AutomaticAccountManagementEnableAccount solo se admite en Windows 11 24H2, Windows Server 2025 y versiones posteriores.
AutomaticAccountManagementRandomizeName
Use esta opción para activar la aleatorización del nombre de la cuenta administrada automáticamente.
Cuando esta opción está habilitada, al nombre de la cuenta administrada (determinado por la opción AutomaticAccountManagementNameOrPrefix) se le agrega un sufijo aleatorio de seis dígitos cada vez que se rota la contraseña.
Los nombres de las cuentas locales de Windows tienen una longitud máxima de 20 caracteres, lo que significa que el componente del nombre debe tener 14 caracteres como máximo para que haya espacio suficiente para el sufijo aleatorio. Los nombres de cuenta especificados por AutomaticAccountManagementNameOrPrefix que tengan más de 14 caracteres se truncan.
| Value | Descripción de la opción |
|---|---|
| 0 | No aleatorizar el nombre de la cuenta administrada automáticamente |
| 1 | Aleatorizar el nombre de la cuenta administrada automáticamente |
Esta configuración tiene como valor predeterminado 0.
Se ignora la configuración a menos que AutomaticAccountManagementEnabled esté habilitado.
Important
El valor 11 de AutomaticAccountManagementRandomizeName solo se admite en Windows 11 24H2, Windows Server 2025 y versiones posteriores.
Valores de directiva predeterminados de Windows LAPS
Todas las configuraciones de directiva de Windows LAPS tienen un valor predeterminado. El valor predeterminado se aplica siempre que un administrador no configura un valor determinado. El valor predeterminado también se aplica cada vez que un administrador configura una configuración determinada con un valor no admitido.
| Nombre de configuración | Valor predeterminado |
|---|---|
| BackupDirectory | Disabled |
| AdministratorAccountName | Null\empty |
| PasswordAgeDays | 30 |
| PasswordLength | 14 |
| PassphraseLength | 6 |
| PasswordComplexity | 4 |
| PostAuthenticationResetDelay | 24 |
| PostAuthenticationActions | 3 (Restablecer la contraseña y cerrar la sesión) |
| ADPasswordEncryptionEnabled | True |
| ADPasswordEncryptionPrincipal | Administradores de dominio |
| ADEncryptedPasswordHistorySize | 0 |
| ADBackupDSRMPassword | False |
| PasswordExpirationProtectionEnabled | True |
| AutomaticAccountManagementEnabled | False |
| AutomaticAccountManagementTarget | Yes |
| AutomaticAccountManagementNameOrPrefix | Yes |
| AutomaticAccountManagementEnableAccount | False |
| AutomaticAccountManagementRandomizeName | False |
Important
ADPasswordEncryptionPrincipal es una excepción a la regla de configuración mal configurada. Esta configuración se establece de forma predeterminada en "Administradores de dominio" solo cuando la configuración no está configurada. Cuando se especifica un nombre de usuario o grupo no válido, se produce un error de procesamiento de directivas y no se realiza una copia de seguridad de la contraseña de la cuenta administrada.
Tenga en cuenta estos valores predeterminados al configurar nuevas características de Windows LAPS, por ejemplo, compatibilidad con frase de contraseña. Si configura una directiva con un valor passwordComplexity de 6 (frases de contraseña de palabra larga) y, a continuación, aplica esa directiva a un sistema operativo anterior que no admite ese valor, el sistema operativo de destino usa el valor predeterminado de 4. Para evitar este resultado, cree dos directivas diferentes: una para el sistema operativo anterior y otra para el sistema operativo más reciente.