LAPS – Sécurisation des comptes Administrateur Local

LAPS (Local Administrator Password Solution) est une solution gratuite fournie par Microsoft qui permet la sécurisation des postes de travail.

LAPS permet pour chaque ordinateur présent dans OU de générer de façon aléatoire un mot de passe pour le compte Administrateur local et de l’enregistrer dans un attribut Active Directory (ms-Mcs-AdmPwd). Il ‘s’appuie sur SID du compte qui est structuré de la même manière sur n’importe quel poste, ce qui permet d’appliquer LAPS à n’importe quelle langue de Windows ou même de renommer le compte administrateur.

Il est également possible de configurer une date d’expiration du mot de passe (ms-Mcs-AdmPwdExpirationTime), qui forcera un nouveau mot de passe pour le compte Administrateur Local.

LAPS se présente sous la forme « client/serveur », il nécessite l’installation d’une partie sur le(s) serveur(s) contrôleur de domaine et l’enregistrement d’une DLL sur les postes clients.

Prérequis :

  • Minimum serveur : Windows 2003 SP1.
  • Minimum poste : Windows 8.1.

Si vous êtes dans un environnement avec plusieurs contrôleurs de domaines, il faut installer la définition des stratégies de groupes sur l’ensemble des serveurs ou utiliser un magasin central. Dans le second cas, il faut copier après l’installation les fichiers (%WINDIR%\PolicyDefinitions\AdmPwd.admx et %WINDIR%\PolicyDefinitions\en-US\AdmPwd.adml) dans le magasin central.





Related Posts


GPO : redirection des dossiers – paramètres avancés

SommaireIntroductionPréparation de l'environnementCréation de la stratégie de groupe pour la redirection des dossiersTest de la stratégie de groupe Introduction Dans un tutoriel précédent : GPO : redi

Active Directory : relation d’approbation entre deux forets / domaines

PrésentationPré-requisConfigurer la relation d'approbationTester la relation d'approbationOuverture de session sur un poste d'un autre domaineRendre membre d'un groupe du domaine approuvé Présentation

Active directory : mise en place d’un domaine enfant

Dans ce tutoriel, nous allons voir comment mettre un domaine enfant dans un arbre Active Directory. Un domaine enfant est un sous-domaine de l’un des domaines composants votre forêt Active Directory.