Antes de extender el esquema:

• Asegurarse de estar logueado con un usuario miembro de Schema Admins y Enterprise Admins.
• Tener el módulo de PowerShell AdmPwd.PS disponible (se instala con el MSI o mediante RSAT).
• Contar con acceso al instalador MSI, por ejemplo:

\\mydomain.com\NETLOGON\LAPS\LAPS.x64.msi

Abrir PowerShell con privilegios de dominio y ejecutar:

Update-AdmPwdADSchema

Cada equipo debe poder escribir su propia contraseña en AD.

Esto se configura con:

Set-AdmPwdComputerSelfPermission -OrgUnit "OU=EstacionesDeTrabajo,DC=mydomain,DC=com" -ErrorAction Continue

Repetir para cada OU que contenga directamente objetos “computer”.

Por ejemplo:

Set-AdmPwdComputerSelfPermission -OrgUnit "OU=Portatiles,DC=mydomain,DC=com" -ErrorAction Continue

Versión automatizada En dominios con muchas OUs, se puede automatizar la asignación con:

Get-ADOrganizationalUnit -Filter * -SearchBase "DC=mydomain,DC=com" |
Where-Object { $_.Name -in @("EstacionesDeTrabajo","Portatiles") } |
ForEach-Object {
    Write-Host "Procesando $($_.DistinguishedName)"
    Set-AdmPwdComputerSelfPermission -OrgUnit $_.DistinguishedName -ErrorAction Continue
}

Nota: el operador -in no funciona dentro de -Filter, sólo dentro de Where-Object.

Para verificar qué grupos tienen permisos LAPS en una OU:

Find-AdmPwdExtendedRights -OrgUnit "OU=EstacionesDeTrabajo,DC=mydomain,DC=com" | ft

Crear grupos de seguridad dedicados, por ejemplo:

• LAPS_Admins_R → Lectura del password.
• LAPS_Admins_RW → Lectura + Reset del password.

Asignar permisos:

Set-AdmPwdReadPasswordPermission -OrgUnit "OU=EstacionesDeTrabajo,DC=mydomain,DC=com" -AllowedPrincipals "LAPS_Admins_R" -ErrorAction Continue
Set-AdmPwdResetPasswordPermission -OrgUnit "OU=EstacionesDeTrabajo,DC=mydomain,DC=com" -AllowedPrincipals "LAPS_Admins_RW" -ErrorAction Continue

• Crear una OU de prueba (por ejemplo, OU=Test).
• Crear un nuevo GPO, por ejemplo gpoInstall_LAPS.
• En el editor del GPO:
  • Ir a Computer Configuration → Policies → Software Settings → Software installation
  • Agregar un nuevo paquete apuntando al instalador MSI:

\\mydomain.com\NETLOGON\LAPS\LAPS.x64.msi

• Asignar como Assigned (no Published).
• Linkear el GPO a la OU Test.
• Colocar equipos en esa OU y reiniciar.
• Durante el arranque, el sistema instalará LAPS automáticamente si tiene acceso de lectura al recurso compartido.

Para ejecutar desde PowerShell:

msiexec /i \\mydomain.com\NETLOGON\LAPS\LAPS.x64.msi /qn

Ejemplo con filtro:

Get-ADComputer -Filter * -SearchBase "OU=EstacionesDeTrabajo,DC=mydomain,DC=com" | ForEach-Object {
    Invoke-Command -ComputerName $_.Name -ScriptBlock {
        msiexec /i \\mydomain.com\NETLOGON\LAPS\LAPS.x64.msi /qn
    } -ErrorAction Continue
}

Después del despliegue, comprobar desde un equipo:

Get-AdmPwdPassword -ComputerName "EquipoPrueba"

Y validar que en AD el objeto del equipo tenga los atributos:

• ms-Mcs-AdmPwd
• ms-Mcs-AdmPwdExpirationTime

• Update-AdmPwdADSchema – agrega los atributos necesarios al esquema.
• Set-AdmPwdComputerSelfPermission – permite que las computadoras actualicen sus contraseñas.
• Set-AdmPwdReadPasswordPermission – delega lectura.
• Set-AdmPwdResetPasswordPermission – delega reseteo.

• Ensure all DCs are patched to at least the April 11, 2023 update (Windows Server 2019/2022 or newer).
• Run Windows Update on *all* DCs before schema extension.

• Open PowerShell as Administrator on a supported DC.
• Import the LAPS module:

ipmo LAPS

• Verify module:

gcm -Module LAPS

• Extend schema:

Update-LapsADSchema

• Run again with verbose:

Update-LapsADSchema -Verbose

• Confirm attributes like msLAPS-Password, msLAPS-EncryptedPassword, etc. are present.

• Grant managed devices permission to update their own password:

Set-LapsADComputerSelfPermission -Identity "OU=Company,DC=domain,DC=local"

• Create a new GPO (e.g., C_LAPS).
• Navigate: Computer Configuration → Policies → Administrative Templates → System → LAPS.
• Enable and configure:
  1. Configure password backup directory → Active Directory or Entra ID
  2. Password Settings → complexity, length, expiration
  3. Name of administrator account to manage → leave *Not Configured* to manage built-in .\Administrator, or set to custom (e.g., lapsadmin)
  4. Configure authorized password decryptors → define who can read/reset passwords

• If using a custom account (e.g., lapsadmin), deploy it via GPO or script.
• Disable other local admin accounts for security.

• GUI: ADUC → Computer object → *LAPS tab* → Show Password
• PowerShell:

Get-LapsADPassword -Identity "PCNAME" -AsPlainText

• Sign in with the managed account and password.
• Reset manually if needed:

Reset-LapsPassword

• No MSI client install required — Windows LAPS is built into supported OS versions.
• Legacy LAPS UI does not work with Windows LAPS; use ADUC or PowerShell.
• Best practice: start with .\Administrator, later switch to a custom account if desired.

https://www.alitajran.com/windows-laps/#h-how-to-configure-windows-laps