Configuration de LAPS
Ajout des autorisations dans l’Active Directory
La configuration de LAPS se fait par OU au niveau de l’Active Directory. Dans ce tutoriel, nous allons appliquer la stratégie de mot de passe sur l’OU Computers 1 qui se trouve dans l’OU LAB.
Avant de configurer la stratégie de groupe, il faut donner les droits aux objects de type Ordinateur de pouvoir modifier leurs attributs. Ouvrir une invite de commande PowerShell.
Charger le module :
Import-Module AdmPwd.PS
Cas 1 : il y a une seule OU portant de le nom Computers :
Set-AdmPwdComputerSelfPermission -OrgUnit "Computers"
Cas 2 : plusieurs OU s’appellent Computers :
Set-AdmPwdComputerSelfPermission -OrgUnit "OU=Computers,OU=LAB,DC=lab,DC=intra"
Résultat de la commande :
Name DistinguishedName Status ---- ----------------- ------ Computers OU=Computers,OU=LAB,DC=lab,DC=intra Delegated
Si plusieurs OU ont le même nom et que vous appliquez la commande du cas 1, la délégation sera appliquée à l’ensemble des OU. La commande retournera également une erreur.
GPO pour appliquer les paramètres aux ordinateurs
Maintenant que les ordinateurs peuvent modifier leurs attributs, il faut créer une stratégie de groupe. Ouvrir la console Gestion de stratégie de groupe, faire un clic droit sur OU 1 où sera appliqué et cliquer sur Créer un objet GPO dans ce domaine, et le lier ici 2.
Nommer la stratégie 1 et cliquer sur OK 2.
Maintenant que la stratégie est créée, on va la configurer, faire un clic droit dessus 1 et cliquer sur Modifier 2.
Aller sur Configuration ordinateur / Stratégies / Modèles d’administration / LAPS 1. Dans cet emplacement se trouve les différents paramètres de configuration. Ouvrir Password Settings 2 pour configurer le mot de passe.
Activer 1 le paramètres puis configurer la complexité du mot de passe 2 à l’aide des différents paramètres. Cliquer sur Appliquer 3 et sur OK 4.
Ouvrir la paramètre Enable local admin password management, activer le 1 puis cliquer sur Appliquer 2 et OK 3. Il est nécessaire d’activer ce paramètre pour activer la gestion du mot de passe.
Dans le cas où vous auriez changéle compte administrateur local et que vous en auriez créé un nouveau, il est possible de l’indiquer avec le paramètre Name of administrator account to manage.
Résumé des paramètres de la stratégie de groupe :
Maintenant que la stratégie de groupe est prête, forcer la mise à jour de celle-ci afin que les ordinateurs récupèrent les paramètres et génère un mot de passe pour le compte administrateur local.
Bonjour,
Très bon article!
Je me demandais s’il était possible de mettre en place LAPS pour tous les comptes admin locaux builtin d’un parc de machine (pour que les techs puissent intervenir dessus facilement en plus de la sécu) et en même temps de laisser certains utilisateurs particuliers avoir un compte admin local (non builtin, vu qu’il serait bloqué).
Est-ce possible ou est-ce que LAPS bloquera cet état de fait.
Merci