LAPS CSP
La empresa usa el proveedor de servicios de configuración de solución de contraseñas de administrador local (LAPS) para administrar la copia de seguridad de contraseñas de cuenta de administrador local. Windows admite un objeto de directiva de grupo LAPS totalmente independiente del CSP de LAPS. Muchas de las distintas configuraciones son comunes tanto en el GPO de LAPS como en el CSP (GPO no admite ninguna de las configuraciones relacionadas con la acción). Siempre que se configure al menos una configuración de LAPS a través de CSP, se omitirá cualquier configuración configurada por GPO. Consulte también Configuración de las opciones de directiva para Windows LAPS.
Nota
Para obtener más información sobre las actualizaciones específicas del sistema operativo necesarias para usar el CSP de LAPS de Windows y las características asociadas, además del estado actual del escenario Microsoft Entra LAPS, consulta Disponibilidad de LAPS de Windows y Microsoft Entra estado de versión preliminar pública de LAPS.
Sugerencia
En este artículo se tratan los detalles técnicos específicos del CSP de LAPS. Para obtener más información sobre los escenarios en los que se usaría el CSP de LAPS, consulte Solución de contraseñas de administrador local de Windows.
En la lista siguiente se muestran los nodos del proveedor de servicios de configuración de LAPS:
- ./Device/Vendor/MSFT/LAPS
- Acciones
-
Directivas
- ADEncryptedPasswordHistorySize
- AdministratorAccountName
- ADPasswordEncryptionEnabled
- ADPasswordEncryptionPrincipal
- AutomaticAccountManagementEnableAccount
- AutomaticAccountManagementEnabled
- AutomaticAccountManagementNameOrPrefix
- AutomaticAccountManagementRandomizeName
- AutomaticAccountManagementTarget
- BackupDirectory
- Frase de contraseñaLength
- PasswordAgeDays
- PasswordComplexity
- PasswordExpirationProtectionEnabled
- PasswordLength
- PostAuthenticationActions
- PostAuthenticationResetDelay
Acciones
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ [10.0.20348.1663] y versiones posteriores ✅ [10.0.25145] y versiones posteriores ✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores ✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores ✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores |
./Device/Vendor/MSFT/LAPS/Actions
Define el nodo interior primario para toda la configuración relacionada con la acción en el CSP de LAPS.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | node |
| Tipo de acceso | Obtener |
Actions/ResetPassword
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ [10.0.20348.1663] y versiones posteriores ✅ [10.0.25145] y versiones posteriores ✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores ✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores ✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores |
./Device/Vendor/MSFT/LAPS/Actions/ResetPassword
Use esta configuración para indicar al CSP que genere y almacene inmediatamente una nueva contraseña para la cuenta de administrador local administrada.
Esta acción invoca un restablecimiento inmediato de la contraseña de la cuenta de administrador local, omitiendo las restricciones normales, como PasswordLengthDays, etc.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | null |
| Tipo de acceso | Exec |
Actions/ResetPasswordStatus
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ [10.0.20348.1663] y versiones posteriores ✅ [10.0.25145] y versiones posteriores ✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores ✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores ✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores |
./Device/Vendor/MSFT/LAPS/Actions/ResetPasswordStatus
Use esta configuración para consultar el estado de la última acción de ejecución ResetPassword enviada.
El valor devuelto es un código HRESULT:
- S_OK (0x0): la última acción ResetPassword enviada se realizó correctamente.
- E_PENDING (0x8000000): la última acción ResetPassword enviada sigue ejecutándose.
- Otro: La última acción ResetPassword enviada encontró el error devuelto.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Obtener |
| Valor predeterminado | 0 |
Directivas
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ [10.0.20348.1663] y versiones posteriores ✅ [10.0.25145] y versiones posteriores ✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores ✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores ✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores |
./Device/Vendor/MSFT/LAPS/Policies
Nodo raíz para directivas LAPS.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | node |
| Tipo de acceso | Obtener |
| Atomic Required | Verdadero |
Policies/ADEncryptedPasswordHistorySize
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ [10.0.20348.1663] y versiones posteriores ✅ [10.0.25145] y versiones posteriores ✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores ✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores ✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores |
./Device/Vendor/MSFT/LAPS/Policies/ADEncryptedPasswordHistorySize
Use esta opción para configurar cuántas contraseñas cifradas anteriores se recordarán en Active Directory.
Si no se especifica, esta configuración tendrá como valor predeterminado 0 contraseñas (deshabilitadas).
Esta configuración tiene un valor mínimo permitido de 0 contraseñas.
Esta configuración tiene un valor máximo permitido de 12 contraseñas.
Importante
Esta configuración se omite a menos que ADPasswordEncryptionEnabled esté configurado como True y se cumplan todos los demás requisitos previos.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | Gama: [0-12] |
| Valor predeterminado | 0 |
| Dependencia [BackupDirectory] | Tipo de dependencia: DependsOn URI de dependencia: Vendor/MSFT/LAPS/Policies/BackupDirectory Valor permitido de dependencia: 2 Tipo de valor permitido de dependencia: ENUM |
Policies/AdministratorAccountName
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ [10.0.20348.1663] y versiones posteriores ✅ [10.0.25145] y versiones posteriores ✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores ✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores ✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores |
./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName
Use esta opción para configurar el nombre de la cuenta de administrador local administrada.
Si no se especifica, la cuenta de administrador local integrada predeterminada se ubicará mediante un SID conocido (incluso si se cambia el nombre).
Si se especifica, se administrará la contraseña de la cuenta especificada.
Tenga en cuenta que si se especifica un nombre de cuenta de administrador local administrado personalizado en esta configuración, esa cuenta debe crearse a través de otros medios. La especificación de un nombre en esta configuración no hará que se cree la cuenta.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato |
chr (cadena) |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Policies/ADPasswordEncryptionEnabled
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ [10.0.20348.1663] y versiones posteriores ✅ [10.0.25145] y versiones posteriores ✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores ✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores ✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores |
./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionEnabled
Use esta opción para configurar si la contraseña está cifrada antes de almacenarse en Active Directory.
Esta configuración se omite si la contraseña se está almacenando actualmente en Microsoft Entra ID.
Esta configuración solo se respeta cuando el dominio de Active Directory está en Windows Server 2016 nivel funcional de dominio o superior.
Si esta configuración está habilitada y el dominio de Active Directory cumple el requisito previo de DFL, la contraseña se cifrará antes de almacenarse en Active Directory.
Si esta configuración está deshabilitada o el dominio de Active Directory no cumple el requisito previo de DFL, la contraseña se almacenará como texto no cifrado en Active Directory.
Si no se especifica, este valor predeterminado es True.
Importante
Esta configuración se omite a menos que BackupDirectory esté configurado para realizar una copia de seguridad de la contraseña en Active Directory y el dominio de Active Directory esté en Windows Server 2016 nivel funcional de dominio o superior.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | bool |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | Verdadero |
| Dependencia [BackupDirectory] | Tipo de dependencia: DependsOn URI de dependencia: Vendor/MSFT/LAPS/Policies/BackupDirectory Valor permitido de dependencia: 2 Tipo de valor permitido de dependencia: ENUM |
Valores permitidos:
| Valor | Descripción |
|---|---|
| false | Almacene la contraseña en forma de texto no cifrado en Active Directory. |
| true (valor predeterminado) | Almacene la contraseña en forma cifrada en Active Directory. |
Policies/ADPasswordEncryptionPrincipal
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ [10.0.20348.1663] y versiones posteriores ✅ [10.0.25145] y versiones posteriores ✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores ✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores ✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores |
./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionPrincipal
Use esta configuración para configurar el nombre o el SID de un usuario o grupo que puede descifrar la contraseña almacenada en Active Directory.
Esta configuración se omite si la contraseña se está almacenando actualmente en Microsoft Entra ID.
Si no se especifica, el grupo Administradores de dominio del dominio del dispositivo podrá descifrar la contraseña.
Si se especifica, el usuario o grupo especificado podrá descifrar la contraseña almacenada en Active Directory.
Si la cuenta de usuario o grupo especificada no es válida, el dispositivo se reservará para usar el grupo Administradores de dominio en el dominio del dispositivo.
Importante
Esta configuración se omite a menos que ADPasswordEncryptionEnabled esté configurado como True y se cumplan todos los demás requisitos previos. La cadena almacenada en esta configuración debe ser un SID en forma de cadena o el nombre completo de un usuario o grupo. Entre los ejemplos válidos se incluyen:
S-1-5-21-2127521184-1604012920-1887927527-35197contoso\LAPSAdminslapsadmins@contoso.com
La entidad de seguridad identificada (ya sea por SID o nombre de usuario o grupo) debe existir y el dispositivo puede resolverla.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato |
chr (cadena) |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Dependencia [BackupDirectory] | Tipo de dependencia: DependsOn URI de dependencia: Vendor/MSFT/LAPS/Policies/BackupDirectory Valor permitido de dependencia: 2 Tipo de valor permitido de dependencia: ENUM |
Policies/AutomaticAccountManagementEnableAccount
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnableAccount
Use esta opción para configurar si la cuenta administrada automáticamente está habilitada o deshabilitada.
Si esta configuración está habilitada, se habilitará la cuenta de destino.
Si esta configuración está deshabilitada, se deshabilitará la cuenta de destino.
Si no se especifica, este valor predeterminado es False.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | bool |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | Falso |
| Dependencia [AutomaticAccountManagementEnabled] | Tipo de dependencia: DependsOn URI de dependencia: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled Valor permitido de dependencia: true Tipo de valor permitido de dependencia: ENUM |
Valores permitidos:
| Valor | Descripción |
|---|---|
| False (valor predeterminado) | La cuenta de destino se deshabilitará. |
| Verdadero | Se habilitará la cuenta de destino. |
Policies/AutomaticAccountManagementEnabled
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled
Use esta configuración para especificar si la administración automática de cuentas está habilitada.
Si esta configuración está habilitada, la cuenta de destino se administrará automáticamente.
Si esta configuración está deshabilitada, la cuenta de destino no se administrará automáticamente.
Si no se especifica, este valor predeterminado es False.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | bool |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | Falso |
Valores permitidos:
| Valor | Descripción |
|---|---|
| false (valor predeterminado) | La cuenta de destino no se administrará automáticamente. |
| true | La cuenta de destino se administrará automáticamente. |
Policies/AutomaticAccountManagementNameOrPrefix
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementNameOrPrefix
Use esta opción para configurar el nombre o el prefijo de la cuenta de administrador local administrada.
Si se especifica, el valor se usará como nombre o prefijo de nombre de la cuenta administrada.
Si no se especifica, esta configuración tendrá como valor predeterminado "WLapsAdmin".
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato |
chr (cadena) |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Dependencia [AutomaticAccountManagementEnabled] | Tipo de dependencia: DependsOn URI de dependencia: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled Valor permitido de dependencia: true Tipo de valor permitido de dependencia: ENUM |
Policies/AutomaticAccountManagementRandomizeName
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementRandomizeName
Use esta configuración para configurar si el nombre de la cuenta administrada automáticamente usa un sufijo numérico aleatorio cada vez que se gira la contraseña.
Si esta configuración está habilitada, el nombre de la cuenta de destino usará un sufijo numérico aleatorio.
Si se desasombre esta configuración, el nombre de la cuenta de destino no usará un sufijo numérico aleatorio.
Si no se especifica, este valor predeterminado es False.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | bool |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | Falso |
| Dependencia [AutomaticAccountManagementEnabled] | Tipo de dependencia: DependsOn URI de dependencia: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled Valor permitido de dependencia: true Tipo de valor permitido de dependencia: ENUM |
Valores permitidos:
| Valor | Descripción |
|---|---|
| False (valor predeterminado) | El nombre de la cuenta de destino no usará un sufijo numérico aleatorio. |
| Verdadero | El nombre de la cuenta de destino usará un sufijo numérico aleatorio. |
Policies/AutomaticAccountManagementTarget
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementTarget
Use esta opción para configurar qué cuenta se administra automáticamente.
Los valores permitidos son:
0=Se administrará la cuenta de administrador integrada.
1=Se administrará una nueva cuenta creada por Windows LAPS.
Si no se especifica, esta configuración tendrá como valor predeterminado 1.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 1 |
| Dependencia [AutomaticAccountManagementEnabled] | Tipo de dependencia: DependsOn URI de dependencia: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled Valor permitido de dependencia: true Tipo de valor permitido de dependencia: ENUM |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 | Administre la cuenta de administrador integrada. |
| 1 (valor predeterminado) | Administrar una nueva cuenta de administrador personalizada. |
Directivas/BackupDirectory
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ [10.0.20348.1663] y versiones posteriores ✅ [10.0.25145] y versiones posteriores ✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores ✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores ✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores |
./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory
Use esta opción para configurar el directorio en el que se realiza la copia de seguridad de la contraseña de la cuenta de administrador local.
Los valores permitidos son:
0=Deshabilitado (no se realizará una copia de seguridad de la contraseña) 1=Copia de seguridad de la contraseña en Microsoft Entra ID solo 2=Copia de seguridad de la contraseña solo en Active Directory.
Si no se especifica, esta configuración tendrá como valor predeterminado 0.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Deshabilitado (no se realizará una copia de seguridad de la contraseña). |
| 1 | Haga una copia de seguridad de la contraseña solo en Microsoft Entra ID. |
| 2 | Haga una copia de seguridad de la contraseña solo en Active Directory. |
Directivas/frase de contraseñaLength
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores |
./Device/Vendor/MSFT/LAPS/Policies/PassphraseLength
Use esta opción para configurar el número de palabras de frase de contraseña.
Si no se especifica, esta configuración tendrá como valor predeterminado 6 palabras.
Esta configuración tiene un valor mínimo permitido de 3 palabras.
Esta configuración tiene un valor máximo permitido de 10 palabras.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | Gama: [3-10] |
| Valor predeterminado | 6 |
| Dependencia [PasswordComplexity] | Tipo de dependencia: DependsOn URI de dependencia: Vendor/MSFT/LAPS/Policies/PasswordComplexity Valor permitido de dependencia: [6-8] Tipo de valor permitido de dependencia: Range |
Directivas/PasswordAgeDays
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ [10.0.20348.1663] y versiones posteriores ✅ [10.0.25145] y versiones posteriores ✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores ✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores ✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores |
./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays
Use esta directiva para configurar la antigüedad máxima de contraseña de la cuenta de administrador local administrada.
Si no se especifica, esta configuración tendrá como valor predeterminado 30 días.
Esta configuración tiene un valor mínimo permitido de 1 día al hacer una copia de seguridad de la contraseña para Active Directory local y de 7 días al hacer una copia de seguridad de la contraseña para Microsoft Entra ID.
Esta configuración tiene un valor máximo permitido de 365 días.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | Gama: [1-365] |
| Valor predeterminado | 30 |
| Dependencia [BackupDirectoryAADMode BackupDirectoryADMode] | Tipo de dependencia: DependsOn DependsOn URI de dependencia: Vendor/MSFT/LAPS/Policies/BackupDirectory Vendor/MSFT/LAPS/Policies/BackupDirectory Valor permitido de dependencia: Tipo de valor permitido de dependencia: ENUM ENUM |
Directivas/PasswordComplexity
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ [10.0.20348.1663] y versiones posteriores ✅ [10.0.25145] y versiones posteriores ✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores ✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores ✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores |
./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity
Use esta opción para configurar la complejidad de la contraseña de la cuenta de administrador local administrada.
Los valores permitidos son:
1=Letras grandes 2=Letras grandes + letras pequeñas 3=Letras grandes + letras pequeñas + números 4=Letras grandes + letras pequeñas + números + caracteres especiales 5=Letras grandes + letras pequeñas + números + caracteres especiales (legibilidad mejorada) 6=Frase de contraseña (palabras largas) 7=Frase de contraseña (palabras cortas) 8=Frase de contraseña (palabras cortas con prefijos únicos)
Si no se especifica, esta configuración tendrá como valor predeterminado 4.
Lista de frase de contraseña tomada de "Deep Dive: New Wordlists for Random Passphrases" de Electronic Frontier Foundation, y se usa con una licencia de atribución CC-BY-3.0. Vea https://go.microsoft.com/fwlink/?linkid=2255471 para obtener más información.
Importante
Windows admite la configuración de complejidad de contraseña inferior (1, 2 y 3) solo para la compatibilidad con versiones anteriores de LAPS. Microsoft recomienda que esta configuración siempre esté configurada en 4.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 4 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 1 | Letras grandes. |
| 2 | Letras grandes + letras pequeñas. |
| 3 | Letras grandes + letras pequeñas + números. |
| 4 (valor predeterminado) | Letras grandes + letras pequeñas + números + caracteres especiales. |
| 5 | Letras grandes + letras pequeñas + números + caracteres especiales (legibilidad mejorada). |
| 6 | Frase de contraseña (palabras largas). |
| 7 | Frase de contraseña (palabras cortas). |
| 8 | Frase de contraseña (palabras cortas con prefijos únicos). |
Policies/PasswordExpirationProtectionEnabled
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ [10.0.20348.1663] y versiones posteriores ✅ [10.0.25145] y versiones posteriores ✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores ✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores ✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores |
./Device/Vendor/MSFT/LAPS/Policies/PasswordExpirationProtectionEnabled
Use esta opción para configurar la aplicación adicional de la antigüedad máxima de contraseña para la cuenta de administrador local administrada.
Cuando esta configuración está habilitada, no se permite la expiración planeada de contraseñas que daría lugar a una antigüedad de contraseña mayor que la dictada por la directiva "PasswordAgeDays". Cuando se detecta dicha expiración, la contraseña se cambia inmediatamente y la nueva fecha de expiración de la contraseña se establece según la directiva.
Si no se especifica, este valor predeterminado es True.
Importante
Esta configuración se omite a menos que BackupDirectory esté configurado para hacer una copia de seguridad de la contraseña en Active Directory.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | bool |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | Verdadero |
| Dependencia [BackupDirectory] | Tipo de dependencia: DependsOn URI de dependencia: Vendor/MSFT/LAPS/Policies/BackupDirectory Valor permitido de dependencia: 2 Tipo de valor permitido de dependencia: ENUM |
Valores permitidos:
| Valor | Descripción |
|---|---|
| false | Permitir que la marca de tiempo de expiración de contraseña configurada supere la antigüedad máxima de la contraseña. |
| true (valor predeterminado) | No permita que la marca de tiempo de expiración de contraseña configurada supere la antigüedad máxima de la contraseña. |
Policies/PasswordLength
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ [10.0.20348.1663] y versiones posteriores ✅ [10.0.25145] y versiones posteriores ✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores ✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores ✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores |
./Device/Vendor/MSFT/LAPS/Policies/PasswordLength
Use esta opción para configurar la longitud de la contraseña de la cuenta de administrador local administrada.
Si no se especifica, esta configuración tendrá como valor predeterminado 14 caracteres.
Esta configuración tiene un valor mínimo permitido de 8 caracteres.
Esta configuración tiene un valor máximo permitido de 64 caracteres.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | Gama: [8-64] |
| Valor predeterminado | 14 |
| Dependencia [PasswordComplexity] | Tipo de dependencia: DependsOn URI de dependencia: Vendor/MSFT/LAPS/Policies/PasswordComplexity Valor permitido de dependencia: [1-5] Tipo de valor permitido de dependencia: Range |
Policies/PostAuthenticationActions
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ [10.0.20348.1663] y versiones posteriores ✅ [10.0.25145] y versiones posteriores ✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores ✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores ✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores |
./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions
Use esta configuración para especificar las acciones que se realizarán tras la expiración del período de gracia configurado.
Si no se especifica, esta configuración tendrá como valor predeterminado 3 (Restablecer la contraseña y cerrar la sesión de la cuenta administrada).
Importante
Las acciones posteriores a la autenticación permitidas están diseñadas para ayudar a limitar la cantidad de tiempo que se puede usar una contraseña LAPS antes de restablecerse. El cierre de sesión de la cuenta administrada o el reinicio del dispositivo son opciones que ayudan a garantizar esto. La finalización abrupta de las sesiones de inicio de sesión o el reinicio del dispositivo pueden dar lugar a la pérdida de datos.
Importante
Desde una perspectiva de seguridad, un usuario malintencionado que adquiere privilegios administrativos en un dispositivo mediante una contraseña LAPS válida tiene la capacidad definitiva de evitar o eludir estos mecanismos.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 3 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 1 | Restablecer contraseña: al expirar el período de gracia, se restablecerá la contraseña de la cuenta administrada. |
| 3 (valor predeterminado) | Restablezca la contraseña y cierre la sesión de la cuenta administrada: al expirar el período de gracia, se restablecerá la contraseña de la cuenta administrada y se finalizarán las sesiones de inicio de sesión interactivas con la cuenta administrada. |
| 5 | Restablecer la contraseña y reiniciar: al expirar el período de gracia, se restablecerá la contraseña de la cuenta administrada y el dispositivo administrado se reiniciará inmediatamente. |
| 11 | Restablezca la contraseña, cierre la sesión de la cuenta administrada y finalice los procesos restantes: al expirar el período de gracia, se restablece la contraseña de la cuenta administrada, se cierran las sesiones de inicio de sesión interactivas con la cuenta administrada y se finalizan los procesos restantes. |
Policies/PostAuthenticationResetDelay
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ [10.0.20348.1663] y versiones posteriores ✅ [10.0.25145] y versiones posteriores ✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores ✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores ✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores |
./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay
Use esta configuración para especificar la cantidad de tiempo (en horas) para esperar después de una autenticación antes de ejecutar las acciones posteriores a la autenticación especificadas.
Si no se especifica, esta configuración tendrá un valor predeterminado de 24 horas.
Esta configuración tiene un valor mínimo permitido de 0 horas (esto deshabilita todas las acciones posteriores a la autenticación).
Esta configuración tiene un valor máximo permitido de 24 horas.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | Gama: [0-24] |
| Valor predeterminado | 24 |
Aplicabilidad de la configuración
El CSP de LAPS se puede usar para administrar dispositivos que están unidos a Microsoft Entra ID o unidos a Microsoft Entra ID y Active Directory (unidos a híbridos). El CSP de LAPS administra una combinación de configuraciones de solo Microsoft Entra y solo AD. La configuración de solo AD solo se aplica a los dispositivos unidos a híbridos y, a continuación, solo cuando BackupDirectory se establece en 2.
| Nombre del valor de configuración | Unido a Azure | Unido a híbridos |
|---|---|---|
| BackupDirectory | Sí | Sí |
| PasswordAgeDays | Sí | Sí |
| PasswordLength | Sí | Sí |
| PasswordComplexity | Sí | Sí |
| PasswordExpirationProtectionEnabled | No | Sí |
| AdministratorAccountName | Sí | Sí |
| ADPasswordEncryptionEnabled | No | Sí |
| ADPasswordEncryptionPrincipal | No | Sí |
| ADEncryptedPasswordHistorySize | No | Sí |
| PostAuthenticationResetDelay | Sí | Sí |
| PostAuthenticationActions | Sí | Sí |
| ResetPassword | Sí | Sí |
| ResetPasswordStatus | Sí | Sí |
Ejemplos de SyncML
Los ejemplos siguientes se proporcionan para mostrar el formato correcto y no deben considerarse como una recomendación.
Contraseña de copia de seguridad de dispositivos unidos a Azure hasta Microsoft Entra ID
En este ejemplo se muestra cómo configurar un dispositivo unido a Azure para realizar una copia de seguridad de su contraseña en Microsoft Entra ID:
<SyncMl xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Add>
<CmdId>1</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>1</Data>
</Item>
</Add>
<Add>
<CmdId>2</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>7</Data>
</Item>
</Add>
<Add>
<CmdId>3</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>4</Data>
</Item>
</Add>
<Add>
<CmdId>4</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordLength</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>32</Data>
</Item>
</Add>
<Add>
<CmdId>5</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
<Type>text/plain</Type>
</Meta>
<Data>ContosoLocalLapsAdmin</Data>
</Item>
</Add>
<Add>
<CmdId>6</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>8</Data>
</Item>
</Add>
<Add>
<CmdId>7</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>3</Data>
</Item>
</Add><Final/></SyncBody>
</SyncMl>
Contraseña de copia de seguridad de dispositivos unidos híbridos a Active Directory
En este ejemplo se muestra cómo configurar un dispositivo híbrido para realizar una copia de seguridad de su contraseña en Active Directory con el cifrado de contraseña habilitado:
<SyncMl xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Add>
<CmdId>1</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>2</Data>
</Item>
</Add>
<Add>
<CmdId>2</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>20</Data>
</Item>
</Add>
<Add>
<CmdId>3</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>3</Data>
</Item>
</Add>
<Add>
<CmdId>4</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordLength</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>14</Data>
</Item>
</Add>
<Add>
<CmdId>5</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
<Type>text/plain</Type>
</Meta>
<Data>ContosoLocalLapsAdmin</Data>
</Item>
</Add>
<Add>
<CmdId>6</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordExpirationProtectionEnabled</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
<Type>text/plain</Type>
</Meta>
<Data>True</Data>
</Item>
</Add>
<Add>
<CmdId>7</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionEnabled</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
<Type>text/plain</Type>
</Meta>
<Data>True</Data>
</Item>
</Add>
<Add>
<CmdId>8</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionPrincipal</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
<Type>text/plain</Type>
</Meta>
<Data>LAPSAdmins@contoso.com</Data>
</Item>
</Add>
<Add>
<CmdId>9</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADEncryptedPasswordHistorySize</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>6</Data>
</Item>
</Add>
<Add>
<CmdId>10</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>4</Data>
</Item>
</Add>
<Add>
<CmdId>11</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>5</Data>
</Item>
</Add><Final/></SyncBody>
</SyncMl>