Microsoft LAPS – Sécurisation des comptes Administrateur Local

Voir le mot de passe généré par LAPS

Maintenant que nos ordinateurs ont un mot de passe différent, nous allons voir comment récupérer le mot de passe.

Depuis l’Active Directory

L’affichage des fonctionnalités avancées doit être activé.

Avec la console Utilisateurs et ordinateurs Active Directory, ouvrir les propriétés de l’ordinateur, aller sur l’onglet  Éditeur d’attributs 1 et rechercher l’attribut ms-Mcs-AdmPwd 2.

Get password

Avec le client LAPS

Lors de l’installation de LAPS sur le serveur, l’ensemble des composants a été installé. Un client est disponible par le menu Démarrer. Une fois celui-ci lancé, entrer le nom de l’ordinateur 1 puis cliquer Search 2 pour afficher le mot de passe 3 ainsi que la date d’expiration 4.

LAPS Client UI

Il est possible de modifier la date d’expiration du mot de passe, une fois celle-ci configurée, cliquer sur Set. Le changement de mot de passe sera effective lors de l’application des stratégies de groupe sur l’ordinateur.

Autoriser la visualisation du mot de passe à un groupe AD

Par défaut, le groupe Admins du domaine peut voir l’attribut qui contient le mot de passe du compte Administrateur Local du poste. Il peut être nécessaire de donner la possibilité du mot de passe à d’autre personne comment par exemple les personnes de l’équipe du support s’ils n’ont pas membre du groupe Admins du domaine.

La partie client de LAPS devra être installé sur leur ordinateur pour voir le mot de passe.

Sur le contrôleur de domaine, ouvrir la console Modification ADSI, faire un clic droit sur Modification ADSI 1 et cliquer sur Connexion 2.

ADSI editor

Choisir Contexte d’attribution de par défaut 1 et cliquer sur OK 2.

Connection

Une fois connecté, ouvrir les propriétés de l’OU où LAPS a été configuré.

OU properties

Aller sur l’onglet Sécurité 1 et cliquer sur le bouton Avancé 2.

Security tab

Cliquer sur Ajouter 1.

Add

Sélectionner le groupe 1, type : Autoriser 2. Cocher l’autorisation Tous les droits étendus 3 et valider en cliquant sur OK 4.

permissions configuration

Les autorisations ont été ajoutées à l’unité d’organisation, cliquer sur Appliquer 1 puis OK 2 pour valider. Fermer ensuite les fenêtres.

Il est possible de faire la même chose en PowerShell à l’aide de la commande suivante :

Set-AdmPwdReadPasswordPermission -OrgUnit Computers -AllowedPrincipals SupportSI

Il est possible de vérifier en PowerShell les accès à l’aide de la commande suivante :

Import-Module AdmPwd.PS
Find-AdmPwdExtendedRights -Identity Computers | Format-Table ExtendedRightHolders

ExtendedRightHolders
--------------------
{AUTORITE NT\Système, LAB\Admins du domaine, LAB\SupportSI}

Les utilisateurs dans le groupe SupportSI ont maintenant la possibilité de voir le mot de passe du compte Administrateur Local.

Pour donner l’autorisation au groupe SupportSI de modifier la date d’expiration du mot de passe entrer la commande PowerShell suivante :

Set-AdmPwdResetPasswordPermission -OrgUnit Computers -AllowedPrincipals SupportSI



Laisser un commentaire