Autoriser la visualisation du mot de passe à un groupe AD
Sommaire
Par défaut, le groupe Admins du domaine peut voir l’attribut qui contient le mot de passe du compte Administrateur Local du poste. Il peut être nécessaire de donner la possibilité du mot de passe à d’autre personne comment par exemple les personnes de l’équipe du support s’ils n’ont pas membre du groupe Admins du domaine.
La partie client de LAPS devra être installé sur leur ordinateur pour voir le mot de passe.
Sur le contrôleur de domaine, ouvrir la console Modification ADSI, faire un clic droit sur Modification ADSI 1 et cliquer sur Connexion 2.
Choisir Contexte d’attribution de par défaut 1 et cliquer sur OK 2.
Une fois connecté, ouvrir les propriétés de l’OU où LAPS a été configuré.
Aller sur l’onglet Sécurité 1 et cliquer sur le bouton Avancé 2.
Cliquer sur Ajouter 1.
Sélectionner le groupe 1, type : Autoriser 2. Cocher l’autorisation Tous les droits étendus 3 et valider en cliquant sur OK 4.
Les autorisations ont été ajoutées à l’unité d’organisation, cliquer sur Appliquer 1 puis OK 2 pour valider. Fermer ensuite les fenêtres.
Il est possible de faire la même chose en PowerShell à l’aide de la commande suivante :
Set-AdmPwdReadPasswordPermission -OrgUnit Computers -AllowedPrincipals SupportSI
Il est possible de vérifier en PowerShell les accès à l’aide de la commande suivante :
Import-Module AdmPwd.PS
Find-AdmPwdExtendedRights -Identity Computers | Format-Table ExtendedRightHolders
ExtendedRightHolders
--------------------
{AUTORITE NT\Système, LAB\Admins du domaine, LAB\SupportSI}Les utilisateurs dans le groupe SupportSI ont maintenant la possibilité de voir le mot de passe du compte Administrateur Local.
Pour donner l’autorisation au groupe SupportSI de modifier la date d’expiration du mot de passe entrer la commande PowerShell suivante :
Set-AdmPwdResetPasswordPermission -OrgUnit Computers -AllowedPrincipals SupportSI