WINDOWS. GPO. Grupo administradores locales

 Propósito

Hacer un GPO que se aplique en las estaciones de trabajo y que elimine/vacíe todos los usuarios y grupos  que hay en el grupo de administradores locales, y en este caso solo deje al usuario administrador local del PC. 

 

Yo tengo combinada esta GPO con el LAPS para reforzar su seguridad, junto con la GPO que los administradores de dominio no pueden hacer logon en los PCs.

Pasos

Las GPO se aplican cada 90 minutos, si alguien consiguiese añadirse al grupo de administradores locales del PC, a los 90 minutos se borraría.

by GoN | Published: April 2026 | Last Updated:

WINDOWS. GPO. Denegar logon y RDP a los administradores de dominio en las estaciones de trabajo

 

Siguiendo las BP, vamos a crear una GPO que bloquea el acceso de los administradores de dominio para que puedan hacer RDP o logon en los PCS, así evitamos movimientos laterales y que la contraseña de un administrador se pueda quedar en el cache de alguna estación de trabajo.

Como seguro, para evitar impactos no deseado, por si se mete en la OU un servidor o se asigna la GPO a una OU de Servidores, añado un filtro para que solo se aplique a estaciones de trabajo.

Con que combinarlo: Yo tengo LAPS en todos los PCs, es una red de unos 1000 PCs, el único usuario que tiene permisos de administrador en los PCs es el administrador local, si lo unimos a lo que comento en este artículo y los tenemos bien parcheados el nivel de protección en nuestros PCs se incrementa considerablemente.

by GoN | Published: April 2026 | Last Updated: 

WINDOWS. LAPS. Check PCs

Propósito

A veces, viendo que en nuestro AD nuestros PCs tienen asignada una contraseña de LAPS creemos erróneamente que todo está funcionando bien. Hay que verificar alguna cosas más. que aquí explicaré, para tener más control

 

Vamos a planificar un script que no solo compruebe si un PC tiene contraseña de LAPS en el AD, sino que esta contraseña esté rotando cada 30 días como marca la GPO.

Pasos

La ejecución será sencilla, el resultado lo enviará por email.

 

Nos llegará un email con este formato:

 

No solo pone en el cuerpo del email los PCs encontrados, sino que los envía en un fichero adjunto para poder manipularlo. Es recomendable ejecutarlo entre 15 días y un mes, para ver si salen algún caso, tal como muestro en los pantallazos. Es evidente que si el PC no se enciende o no contacta con el AD, no se le puede cambiar la contraseña.

 

El código: 

<# .DESCRIPCION Script de auditoria LAPS en Active Directory. Detecta equipos con LAPS activo cuya contrasena local no se ha rotado en mas de 30 dias. El resultado se muestra en el cuerpo del email en formato HTML  y se adjunta en CSV. .DISENO Entorno enterprise, solo lectura, sin impacto. #> Write-Host "=== AUDITORIA LAPS ===" -ForegroundColor Cyan # ========================== #  VARIABLES DEL USUARIO # ========================== $SMTPServer = "smtp.midominio.com" $SMTPPort   = 25 $From       = "HD@midominio.com" $To         = "Infra@midominio.com" $Subject    = "" # ========================== #  RUTAS Y FECHAS # ========================== $scriptPath = Split-Path -Parent $MyInvocation.MyCommand.Path $timestamp  = Get-Date -Format "yyyyMMdd_HHmm" $csvFile    = "$scriptPath\LAPS_Auditoria_$timestamp.csv" # ========================== #  OBTENER EQUIPOS AD # ========================== $computers = Get-ADComputer -Filter * -Properties `     msLAPS-PasswordExpirationTime,     LastLogonDate,     DistinguishedName,     Enabled $results = @() foreach ($pc in $computers) {     if (-not $pc."msLAPS-PasswordExpirationTime") { continue }     $exp = [DateTime]::FromFileTimeUtc($pc."msLAPS-PasswordExpirationTime")     $dias = (New-TimeSpan -Start $exp -End (Get-Date)).Days     if ($dias -le 30) { continue }     $ou = ($pc.DistinguishedName -split ",",2)[1]     $estado = if ($pc.Enabled) { "Habilitado" } else { "Deshabilitado" }     $results += [PSCustomObject]@{         Equipo             = $pc.Name         OU                 = $ou         Equipo_Habilitado  = $estado         LAPS_Activo        = "Si"         Ultima_Rotacion    = $exp         Dias_Sin_Cambiar   = $dias         Ultima_Conexion    = $pc.LastLogonDate     } } $resultsSorted = $results | Sort-Object Dias_Sin_Cambiar -Descending $TotalEquipos = $resultsSorted.Count # ========================== #  EXPORTAR CSV # ========================== $resultsSorted | Export-Csv -Path $csvFile -NoTypeInformation -Encoding UTF8 # ========================== #  GENERAR TABLA HTML # ========================== $HtmlRows = "" foreach ($r in $resultsSorted) {     $FechaRotacionHtml = if ($r.Ultima_Rotacion) {         $r.Ultima_Rotacion.ToString("dd/MM/yyyy")     } else {         "N/D"     }     $FechaConexionHtml = if ($r.Ultima_Conexion) {         $r.Ultima_Conexion.ToString("dd/MM/yyyy")     } else {         "Nunca"     }     $HtmlRows += "<tr>         <td>$($r.Equipo)</td>         <td>$($r.Equipo_Habilitado)</td>         <td>$($r.Dias_Sin_Cambiar)</td>         <td>$FechaRotacionHtml</td>         <td>$FechaConexionHtml</td>         <td>$($r.OU)</td>     </tr>" } # ========================== #  EMAIL HTML # ========================== $Subject = "$(Get-Date -Format 'yyyy-MM-dd - HHmm') - Listado equipos LAPS sin rotacion ($TotalEquipos)" $Body = @" <html> <head> <style> body { font-family: Arial; font-size: 12px; } table { border-collapse: collapse; width: 100%; } th, td { border: 1px solid #999; padding: 5px; } th { background-color: #eeeeee; } </style> </head> <body> <h2>Auditoria LAPS Active Directory</h2> <p> Equipos con LAPS activo y mas de 30 dias sin cambio de contrasena local. </p> <ul> <li>Total equipos listados: <b>$TotalEquipos</b></li> <li>Fecha ejecucion: <b>$(Get-Date -Format "dd/MM/yyyy")</b></li> </ul> <table> <tr> <th>Equipo</th> <th>Estado</th> <th>Dias sin cambiar</th> <th>Ultima rotacion</th> <th>Ultima conexion</th> <th>OU</th> </tr> $HtmlRows </table> <p> Se adjunta el fichero CSV con el detalle completo. </p> </body> </html> "@ Send-MailMessage `     -From $From `     -To $To `     -Subject $Subject `     -Body $Body `     -BodyAsHtml `     -SmtpServer $SMTPServer `     -Port $SMTPPort `     -Attachments $csvFile Write-Host "Email enviado correctamente" -ForegroundColor Green Write-Host "=== FIN DE AUDITORIA ===" -ForegroundColor Cyan      by GoN | Published: April 2026 | Last Updated: