Dans ce tutoriel, je vais vous expliquer comment utiliser Windows LAPS pour stocker les mots de passe administrateur local des ordinateurs dans votre annuaire Active Directory.
Avant de commencer ce tutoriel, je vais vous expliquer qu’est ce que Windows LAPS ? Si vous connaissez Microsoft LAPS, c’est plus ou moins la même chose, on peut considère Windows LAPS comme une mise à jour ou une nouvelle version de Microsoft LAPS.
La grande nouveauté de Windows LAPS, c’est que celle-ci est maintenant intégré à Windows et qu’il n’y a plus besoin d’installer la partie serveur et client.
Cette intégration native est disponible depuis la mise à jour d’avril 2023 pour les systèmes suivants :
- Windows 10 – Mise à jour du 11 avril 2023
- Windows 11 21H2 / Windows 11 22h2 – Mise à jour du 11 avril 2023
- Windows Server 2019 / Windows Server 2022 – Mise à jour du 11 avril 2023
Si vous avez des versions antérieures de Windows, il faudra continuer d’utiliser Microsoft LAPS.
Si vous ne connaissez pas LAPS (Local Administrator Password Solution), c’est une solution qui permet de gérer le mot de passe local du compte administrateur des ordinateurs dans un domaine Active Directory.
Pour faire simple, LAPS va générer un mot de passe aléatoire (en fonction d’une stratégie) pour le compte administrateur local de l’ordinateur et le stocker dans l’objet de l’ordinateur dans l’Active Directory. Il est ensuite possible de consulter le mot de passe depuis la console Utilisateurs et ordinateur Active Directory en cas de besoin. Il est aussi possible d’agir dessus comme forcer le changement.
Windows LAPS permet d’augmenter la niveau de sécurité en ayant un mot de passe différent pour le compte Administrateur local de chaque ordinateur.
Pour les équipes support, cela permet aussi par exemple de fournir ce mot de passe de façon temporaire à un utilisateur qui aurait besoin des droits administrateur sur son ordinateur pour installer un logiciel par exemple.
Rentrons dans le vif du sujet !
Ce tutoriel a été réalisé en Mai 2023 ou la fonctionnalité est encore « nouvelle ».
Ce tutoriel traite le cas où Microsoft LAPS n’est pas utilisé, un tutoriel sur la migration et la cohabitation des deux solutions sera disponible prochainement …
- Prérequis pour utiliser Windows LAPS
- Vérification nécessaire pour configurer Windows LAPS
- Préparation du schéma Active Directory
- Autoriser les ordinateurs à mettre à jour leur mot de passe dans l'annuaire Active Directory
- Création de la stratégie de groupe pour Windows LAPS
- Vérifier le fonctionne de Windows LAPS
- Problèmes rencontrés
Prérequis pour utiliser Windows LAPS
- Un environnement Active Directory composé au minimum de contrôleur de domaine sous Windows Server 2019 avec la mise à jour d’Avril 2023.
- Ordinateur Windows 10/11 et Windows Server 2019/2022 également avec la mise à jour d’Avril 2023.
Vous l’aurez remarquer mais au moment de la sortie et donc de l’écriture de ce tutoriel, il faut avoir un parc récent, ce qui est un peu déconnecter de la réaliser si vous souhaitez mettre en place cette solution.
Vérification nécessaire pour configurer Windows LAPS
Ce qui suit est valable certainement au moment de la rédaction de ce tutoriel (en espérant que cela soit corrigé).
Le cas de figure ci-dessous est vrai pour Windows Server 2019.
Windows LDAP s’appuie sur les stratégies de groupe pour le déploiement de la stratégie des mots de passe sur les ordinateurs, la mise à jour d’Avril 2023, ajoute bien sur les contrôleurs de domaine le fichier LAPS.admx dans le dossier C:\Windows\PolicyDefinitions comme on peut le voir sur la capture ci-dessous :
Par contre le fichier LAPS.adml dans le dossier des traductions est absent :
Sans le fichier de traduction, lors du chargement de l’éditeur de stratégie de groupe, vous aurez une erreur indiquant qu’une ressource est introuvable :
Un fichier de ressource approprié est introuvable pour le fichier C:\Windows\PolicyDefinition\LAPS.admx (erreur = 2): Le fichier spécifié est introuvable.
Pour résoudre ce problème, j’ai récupéré sur un ordinateur Windows 11 avec la mise à jour d’Avril 2023, le fichier LAPS.adml dans le dossier C:\Windows\PolicyDefinition\<xx-yy>\LAPS.adml que j’ai copié sur mon contrôleur de domaine.
GPO : magasin central à mettre à jour
Si vous utilisez le magasin central pour les définitions, penser à le mettre à jour pour avoir les paramètres Windows LAPS.
Préparation du schéma Active Directory
Une modification du schéma Active Directory est nécessaire afin de pouvoir stocker les mots de passe dans l’objet Ordinateur.
Pour faire la modification, vous devez être membre du compte Administrateurs du schéma.
Si vous venez de vous ajouter au groupe, fermer et puis ouvrir de nouveau votre session sur le contrôleur de domaine.
Lancer une invite PowerShell en administrateur et entrer la commande suivante :
Update-LapsADSchema
Confirmer l’ajout des attribut :
Le schéma est à jour.
Pour des raisons de sécurité, retirer votre utilisateur du groupe Administrateurs du schéma.
Autoriser les ordinateurs à mettre à jour leur mot de passe dans l’annuaire Active Directory
Il faut donner le droits aux ordinateurs de modifier leur objet pour stocker le mot de passe.
Dans le tutoriel, je vais donner le droits aux ordinateurs dans l’OU Servers de stocker leur mot de passe avec Windows LAPS.
Pour cela dans un invite PowerShell en administrateur, entrer la commande ci-dessous :
Set-LapsADComputerSelfPermission -Identity Servers
Si vous avez plusieurs OU avec le même nom, il faut indiquer le DistinguishedNamed au paramètre Identity.
Répéter cette opération sur toutes les OU qui contient des ordinateurs où vous souhaitez utiliser Windows LAPS.
Création de la stratégie de groupe pour Windows LAPS
On va maintenant créer une stratégie de groupe pour passer la configuration de LAPS aux ordinateurs.
Ouvrir la console Gestion de stratégie de groupe et aller sur le dossier Objets de stratégie de groupe 1.
Dans la zone centrale, faire un clic droit et cliquer sur Nouveau 1.
Nommer l’objet 1 et cliquer sur OK 2 pour le créer.
L’objet GPO est créé, faire un clic droit dessus et cliquer sur Modifier 1.
Aller à l’emplacement suivant pour accéder aux paramètres de Windows LAP : Configuration ordinateurs / Stratégies / Modèles d'administration / Système / LAPS.
Le premier paramètre à configurer est Configurer le répertoire de sauvegarde de mot de passe 1, faire un double clic dessus pour l’ouvrir.
Sélectionner Activé 1 et choisir le Répertoire de sauvegarde : Active Directory 2. Valider la configuration en cliquant sur Appliquer 3 puis OK 4 pour fermer la fenêtre
Il est aussi possible de sauvegarder les mots de passe Administrateur dans Azure Active Directory si vous avez un abonnement.
Maintenant, ouvrir : Paramètres du mot de passe 1.
Ici, nous allons configurer la complexité du mot de passe, choisir Activé 1 puis configurer les options de la complexité du mot de passe 2 en fonction de votre politique de sécurité. Appliquer 3 les paramètres et cliquer sur OK 4.
Nous avons configurer les deux paramètres nécessaires pour faire fonctionner Windows LAPS.
Je vous invite à lire les autres paramètres de Windows LAPS et de les configurer en fonction de ce que vous souhaitez.
je vous conseille d’activer le chiffrement du mot de passe afin qu’ils soient pas stocker en clair dans l’Active Direcrtory.
Fermer l’éditeur de gestion des stratégies de groupe.
De retour sur la console : Gestion de stratégie de groupe, nous allons maintenant lier l’objet stratégie de groupe que nous venons de configurer à l’Unité d’Organisation où nous souhaitons appliquer les paramètres de Windows LAPS.
Faire un clic droit sur l’OU et cliquer sur Lier un objet de stratégie de groupe existant 1.
Choisir la stratégie de groupe 1 que l’on vient de configurer puis cliquer sur le bouton OK 2.
La stratégie de groupe est liée.
Vérifier le fonctionne de Windows LAPS
Sur un serveur où la stratégie s’applique, forcer la mise à jour des stratégies de groupe à l’aide la commande gpupdate.
Vérifier l’application de la stratégie de groupe à l’aide de la commande gpresult /r.
Comment on peut le voir, la stratégie de groupe est bien appliquée.
Retourner sur la console Utilisateurs et ordinateurs Active Directory, ouvrir les propriétés de l’objet Ordinateur, aller sur l’onglet LAPS. On peut voir que celui-ci contient les informations concernant le mot de passe du compte administrateur local de l’ordinateur.
Depuis l’onglet, on peut consulter le mot de passe, voir la date d’expiration de celui-ci et forcer son expiration pour qu’il soit changé.
Si vous utilisez le mot de passe administrateur local, c’est à dire que vous ouvrez une session, celui-ci sera automatiquement changer dans les 24 heures.
Sur les ordinateurs, vous trouverez les journaux de Windows LAPS dans l’observateur d’événement à cet emplacement : Journaux des applications et services / Microsoft / Windows / LAPS / Operational.
Vous trouverez ici les différents codes d’évenement de Windows LAPS.
Problèmes rencontrés
Au moment de la rédaction de ce tutoriel, la fonctionnalité étant récente, des problèmes connus et inconnus peuvent être rencontrés, je vous conseille donc d’être prudent avec Windows LAPS.
Pour ma part, j’ai rencontré un problème avec Windows LDAPS, qui génère une erreur au niveau du processus lsass.exe et qui entraine un redémarrage immédiat de l’ordinateur et cela en boucle à un intervalle de 30 à 60 minutes.
Vous savez maintenant comment déployer Windows LAPS pour stocker les mots de passe des compte administrateurs locaux.