lunes, 13 de abril de 2026

WINDOWS. LAPS. Check PCs


Propósito

A veces, viendo que en nuestro AD nuestros PCs tienen asignada una contraseña de LAPS creemos erróneamente que todo está funcionando bien. Hay que verificar alguna cosas más. que aquí explicaré, para tener más control
 
Vamos a planificar un script que no solo compruebe si un PC tiene contraseña de LAPS en el AD, sino que esta contraseña esté rotando cada 30 días como marca la GPO.

Pasos

La ejecución será sencilla, el resultado lo enviará por email.

 

Nos llegará un email con este formato:

 

No solo pone en el cuerpo del email los PCs encontrados, sino que los envía en un fichero adjunto para poder manipularlo. Es recomendable ejecutarlo entre 15 días y un mes, para ver si salen algún caso, tal como muestro en los pantallazos. Es evidente que si el PC no se enciende o no contacta con el AD, no se le puede cambiar la contraseña.

 

El código: 

<#
.DESCRIPCION
Script de auditoria LAPS en Active Directory.
Detecta equipos con LAPS activo cuya contrasena local no se ha rotado
en mas de 30 dias. El resultado se muestra en el cuerpo del email en
formato HTML  y se adjunta en CSV.

.DISENO
Entorno enterprise, solo lectura, sin impacto.
#>

Write-Host "=== AUDITORIA LAPS ===" -ForegroundColor Cyan

# ==========================
#  VARIABLES DEL USUARIO
# ==========================
$SMTPServer = "smtp.midominio.com"
$SMTPPort   = 25
$From       = "HD@midominio.com"
$To         = "Infra@midominio.com"
$Subject    = ""

# ==========================
#  RUTAS Y FECHAS
# ==========================
$scriptPath = Split-Path -Parent $MyInvocation.MyCommand.Path
$timestamp  = Get-Date -Format "yyyyMMdd_HHmm"
$csvFile    = "$scriptPath\LAPS_Auditoria_$timestamp.csv"

# ==========================
#  OBTENER EQUIPOS AD
# ==========================
$computers = Get-ADComputer -Filter * -Properties `
    msLAPS-PasswordExpirationTime,
    LastLogonDate,
    DistinguishedName,
    Enabled

$results = @()

foreach ($pc in $computers) {

    if (-not $pc."msLAPS-PasswordExpirationTime") { continue }

    $exp = [DateTime]::FromFileTimeUtc($pc."msLAPS-PasswordExpirationTime")
    $dias = (New-TimeSpan -Start $exp -End (Get-Date)).Days
    if ($dias -le 30) { continue }

    $ou = ($pc.DistinguishedName -split ",",2)[1]
    $estado = if ($pc.Enabled) { "Habilitado" } else { "Deshabilitado" }

    $results += [PSCustomObject]@{
        Equipo             = $pc.Name
        OU                 = $ou
        Equipo_Habilitado  = $estado
        LAPS_Activo        = "Si"
        Ultima_Rotacion    = $exp
        Dias_Sin_Cambiar   = $dias
        Ultima_Conexion    = $pc.LastLogonDate
    }
}

$resultsSorted = $results | Sort-Object Dias_Sin_Cambiar -Descending
$TotalEquipos = $resultsSorted.Count

# ==========================
#  EXPORTAR CSV
# ==========================
$resultsSorted | Export-Csv -Path $csvFile -NoTypeInformation -Encoding UTF8

# ==========================
#  GENERAR TABLA HTML
# ==========================
$HtmlRows = ""

foreach ($r in $resultsSorted) {

    $FechaRotacionHtml = if ($r.Ultima_Rotacion) {
        $r.Ultima_Rotacion.ToString("dd/MM/yyyy")
    } else {
        "N/D"
    }

    $FechaConexionHtml = if ($r.Ultima_Conexion) {
        $r.Ultima_Conexion.ToString("dd/MM/yyyy")
    } else {
        "Nunca"
    }

    $HtmlRows += "<tr>
        <td>$($r.Equipo)</td>
        <td>$($r.Equipo_Habilitado)</td>
        <td>$($r.Dias_Sin_Cambiar)</td>
        <td>$FechaRotacionHtml</td>
        <td>$FechaConexionHtml</td>
        <td>$($r.OU)</td>
    </tr>"
}

# ==========================
#  EMAIL HTML
# ==========================
$Subject = "$(Get-Date -Format 'yyyy-MM-dd - HHmm') - Listado equipos LAPS sin rotacion ($TotalEquipos)"

$Body = @"
<html>
<head>
<style>
body { font-family: Arial; font-size: 12px; }
table { border-collapse: collapse; width: 100%; }
th, td { border: 1px solid #999; padding: 5px; }
th { background-color: #eeeeee; }
</style>
</head>
<body>

<h2>Auditoria LAPS Active Directory</h2>

<p>
Equipos con LAPS activo y mas de 30 dias sin cambio de contrasena local.
</p>

<ul>
<li>Total equipos listados: <b>$TotalEquipos</b></li>
<li>Fecha ejecucion: <b>$(Get-Date -Format "dd/MM/yyyy")</b></li>
</ul>

<table>
<tr>
<th>Equipo</th>
<th>Estado</th>
<th>Dias sin cambiar</th>
<th>Ultima rotacion</th>
<th>Ultima conexion</th>
<th>OU</th>
</tr>
$HtmlRows
</table>

<p>
Se adjunta el fichero CSV con el detalle completo.
</p>

</body>
</html>
"@

Send-MailMessage `
    -From $From `
    -To $To `
    -Subject $Subject `
    -Body $Body `
    -BodyAsHtml `
    -SmtpServer $SMTPServer `
    -Port $SMTPPort `
    -Attachments $csvFile

Write-Host "Email enviado correctamente" -ForegroundColor Green
Write-Host "=== FIN DE AUDITORIA ===" -ForegroundColor Cyan 
 
 
by GoN | Published: April 2026 | Last Updated:
 
Publicado por en No hay comentarios:
Etiquetas: , ,

sábado, 14 de marzo de 2026

WINDOWS. PS. Hosts sin conectar al dominio.

 Propósito

Una opción más para mantener nuestro Active Directory al día es asegurarnos de que no existan equipos que ya no estén en uso. Deberíamos procurar que los PCs estén lo más actualizados posible: últimas actualizaciones, parches, configuraciones de seguridad (GPOs), patrones de antivirus, etc. Además, un equipo que no se conecta o que ya no está activo sigue consumiendo licencias innecesariamente.

Para tener un control mínimo, he preparado este script que se ejecuta una vez por semana y informa de los equipos que llevan más de 30 y 60 días sin contactar con nuestro AD.

Pasos

# ==========================

#  VARIABLES DEL USUARIO

# ==========================

$SMTPServer = "smtp.com"

$SMTPPort   = 25

$From       = "HelpDesk@Miempresa.com"

$To         = "alertas@Miempresa.com"

$Subject    = "OU Computers que llevan tiempo sin conectar"

 # ==========================

#  CONFIGURACIÓN

# ==========================

Import-Module ActiveDirectory

 

$Hoy = (Get-Date)

$Dias30 = $Hoy.AddDays(-30)

$Dias60 = $Hoy.AddDays(-60)

 # ==========================

#  OBTENER EQUIPOS AD

# ==========================

$Equipos = Get-ADComputer -Filter * -Properties Description, LastLogonTimestamp, CanonicalName |

    Select-Object Name,

                  Description,

                  @{Name="OU";Expression={($_.CanonicalName -replace "^[^/]+/","")}},

                  @{Name="LastLogon";Expression={[DateTime]::FromFileTime($_.LastLogonTimestamp)}}

 # ==========================

#  FILTRADOS

# ==========================

$Entre30y60 = $Equipos | Where-Object { $_.LastLogon -le $Dias30 -and $_.LastLogon -gt $Dias60 }

$Mas60      = $Equipos | Where-Object { $_.LastLogon -le $Dias60 }

 # ==========================

#  GENERAR TABLAS HTML

# ==========================

function Convert-ToHtmlTable {

    param($Data, $Titulo)

 

    if ($Data.Count -eq 0) {

        return "<h3>$Titulo</h3><p>No hay equipos en este rango.</p>"

    }

 

    $Data | Select-Object Name, Description, OU, LastLogon |

        ConvertTo-Html -Fragment -PreContent "<h3>$Titulo</h3>"

}

 $Html30_60 = Convert-ToHtmlTable -Data $Entre30y60 -Titulo "Equipos sin conectar entre 30 y 60 dias"

$Html60    = Convert-ToHtmlTable -Data $Mas60 -Titulo "Equipos sin conectar mas de 60 dias"

 # ==========================

#  EMAIL HTML

# ==========================

$Body = @"

<html>

<head>

<style>

table { border-collapse: collapse; width: 100%; }

th, td { border: 1px solid #999; padding: 6px; text-align: left; }

th { background-color: #f2f2f2; }

h3 { font-family: Arial; }

</style>

</head>

<body>

<h2>Informe de equipos que llevan tiempo sin conectar</h2>

<p>Generado desde SRVDC04 $(Get-Date -Format "dd/MM/yyyy HH:mm")</p>

 

$Html30_60

<br>

$Html60

 

</body>

</html>

"@

 # ==========================

#  ENVÍO DEL EMAIL

# ==========================

Send-MailMessage -From $From -To $To -Subject $Subject -Body $Body -BodyAsHtml `

    -SmtpServer $SMTPServer -Port $SMTPPort

El resultado vendría a ser un email así: 



by GoN | Published: Mar 2026 | Last Updated:

 

Publicado por en No hay comentarios:
Etiquetas: , , ,

martes, 3 de marzo de 2026

WINDOWS. GPO. Reinicio rapido de Windows.

Propósito

Qué hace realmente el Inicio rápido y por qué afecta a las GPO
Cuando el Inicio rápido está activado, Windows no realiza un apagado completo. En su lugar:
  • Cierra la sesión del usuario.
  • Hiberna el kernel y los drivers.
  • Guarda el estado en hiberfil.sys.
  • Al encender, no ejecuta un arranque completo, sino una restauración parcial.
Esto implica:
  • No se procesan todas las GPO de equipo.
  • No se ejecutan scripts de Startup.
  • No se reinician servicios críticos.
  • No se aplican extensiones de GPO que requieren arranque completo (por ejemplo, ciertas configuraciones de seguridad, firewall, drivers, etc.).
En cambio, un reinicio sí hace un arranque completo y aplica todas las GPO.

Por eso, si lo que queremos es apagar/encender = reiniciar, debemos desactivar el Inicio rápido.

Pasos

Crear una GPO "FastStartup_Disable"




                                                                                        by GoN | Published: Mar 2026 | Last Updated:

Publicado por en No hay comentarios:
Etiquetas: , ,
Suscribirse a: Comentarios (Atom)