Aunque en el mercado de consumo no es habitual habilitar la cuenta Administrador integrada en Windows, es una práctica común en empresas. De hecho, Microsoft recomienda esta configuración siempre y cuando se utilice LAPS (Local Administrator Password Solution).
La recomendación de Microsoft es que cada cosa tenga su administrador. Los dominios on-premise tienen que tener su administrador, Entra ID debe tener el suyo (con Azure PIM si es posible) y los endpoints deben tener el suyo diferente. La idea es que cada capa de la arquitectura se «administre» por separado.
Antes de desplegar LAPS, debemos haber habilitado la cuenta Administrador local integrada en Windows. Además, es recomendable cambiar el nombre y no dejar el que viene por defecto (hay que ponérselo difícil a los malos 😉). Por ello, en este artículo vamos a ver los pasos a seguir, que son bastante sencillos.
Pasos para habilitar y renombrar la cuenta Administrador local de Windows 10/11 con un perfil de configuración
En el Centro de administración de Microsoft Intune, vamos a Dispositivos > Windows > Perfiles de configuración. Pulsamos en Crear perfil.
Como plataforma elegimos «Windows 10 y versiones posteriores» y tipo de perfil Catálogo de configuración.
Le damos un nombre al perfil de configuración y escribimos la descripción.
Es importante dar una descripción a los perfiles de configuración para saber la finalidad de cada uno.
Ahora, pulsamos en «Agregar configuración» y en selector hacemos clic en «Opciones de seguridad de directivas locales». Cuando aparezcan todas las configuraciones disponibles, marcamos las casillas «Cuentas, cambiar el nombre de la cuenta administrador» y «Cuentas, habilitar el estado de la cuenta administrador».
Habilitamos la primera opción de «Habilitar el estado de la cuenta de administrador» y en el segundo cuadro escribimos el nombre de la cuenta que vamos a elegir. En mi caso, he elegido «JTI_Admin».
Pulsamos Siguiente, elegimos las etiquetas de ámbito si las tenemos y asignamos el perfil de configuración a los grupos que decidamos.
Finalmente, revisamos las opciones elegidas y pulsamos en «Crear».
Nota: En mi experiencia es necesario que el usuario reinicie el equipo un par de veces para que el cambio se aplique completamente. Normalmente, en el primer reinicio habilita la cuenta Administrador y, en el segundo, la renombra.