Installation et configuration du LAPS

Microsoft Solution de mot de passe administrateur local (LAPS) solution dans le domaine Windows Il permet une gestion centralisée des mots de passe des administrateurs locaux des clients. LAPS génère des mots de passe uniques et aléatoires pour chaque client et renouvelle automatiquement ces mots de passe à intervalles réguliers.

Qu’est-ce que le LAPS ?

LAPS, chacun inclus dans le domaine Windows installé sur le client et SID-500 Il s'agit d'un module logiciel qui met à jour les mots de passe des comptes à intervalles réguliers. Ces mots de passe, Le tiering Active DirectoryAttributs des utilisateurs dans (Attribut) est écrit et géré à partir de là.

LAPS La chose la plus importante que vous devez savoir lors du déploiement est qu'il doit y avoir à la fois un module administrateur et un module client. LAPS pour trouver votre mot de passe PowerShell, Interface graphique des tours Veya Utilisateurs et ordinateurs Active Directory (ADUC) peut être utilisé.

Informations importantes sur l'installation de LAPS

Voici les points importants à considérer lors de l’installation de LAPS :

• Modules Administrateur et Client : LAPSPour une utilisation efficace du module d'administration (Interface utilisateur des tours) et le module client (Extension client LAPS) doit être établie.
• Accès par mot de passe : Mots de passe créés, PowerShell, LAPS interface utilisateur ou Utilisateurs et ordinateurs Active Directory (ADUC) est accessible via .

Configuration requise pour le système LAPS

Pour que LAPS fonctionne correctement, la configuration système suivante doit être remplie :

1. Adhésion au domaine : Tous les appareils à installer doivent être membres du domaine.
2. Compte local unique : LAPS ne gère les mots de passe que pour un seul compte local. Pour des raisons de sécurité, il est recommandé de désactiver les autres comptes locaux.
3. Extension du schéma Active Directory : Pour utiliser LAPS, le schéma AD doit être étendu. Ceci est obligatoire pour que LAPS puisse créer les attributs nécessaires dans AD.
4. Distribution à grande échelle : LAPS doit être installé dans tous les environnements appropriés pour garantir une application cohérente des politiques de sécurité.

Installation de LAPS sur le contrôleur de domaine

LAPS logiciel officiel Centre de téléchargement Microsoft Téléchargez via . Pour ça LAPS.msi Vous utiliserez le fichier . Une fois le téléchargement terminé, enregistrez le fichier dans un emplacement approprié sur votre contrôleur de domaine.

Dans cette étape contrôleur de domaine Nous prendrons toutes les mesures nécessaires. TOURS.x64 installation, Extension du schéma AD, les configurations d'autorisations et GPO Nous ferons les étapes de création.

• Téléchargez la solution de mot de passe d'administrateur local (LAPS) à partir du centre de téléchargement Microsoft officiel

contrôleur de domaine Üzerinde LAPS Lors de l'installation, vous devez vous assurer que vous sélectionnez les composants suivants.

• Module PowerShell : LAPS PowerShell Installez le module. Ce module LAPS Il vous permet d'exécuter des commandes liées à .
• Modèles d'éditeur de GPO : La stratégie de groupe Chargez des modèles pour les objets. Ce, LAPS Il vous permet de créer les GPO nécessaires pour gérer les paramètres.
• Interface utilisateur du gros client : LAPS Installez l'interface utilisateur. Cette interface LAPS Vous permet d'afficher les mots de passe gérés par.

Si l'installation de LAPS sur le contrôleur de domaine n'est pas effectuée correctement, LAPS ne fonctionnera pas.

Étapes d’expansion du schéma pour LAPS

LAPSrequis par Active Directory (AD) Pour apporter des modifications au schéma Administrateur de schéma Vous devez être connecté au rôle. Pour l'expansion du schéma, exécutez les commandes suivantes à l'aide de PowerShell :

Import-Module AdmPwd.ps
Update-AdmPwdADSchema

Ce processus Computer classer ms-MCS-AdmPwd ve ms-MCS-AdmPwdExpirationTime Ajoute deux nouveaux attributs appelés .

Autorisation pour LAPS

mots de passe Le tiering Active Directory Il est stocké en texte brut, une autorisation est requise ici pour des raisons de sécurité.

ms-MCS-AdmPwd değeri Tous les droits étendus Il peut être lu par tous les utilisateurs disposant d’autorisations.

Nous pouvons répertorier tous nos utilisateurs disposant de ces autorisations en utilisant la commande Find-AdmPwdExtendedRight. Le jeu de commandes à utiliser pour cela est le suivant :

Find-AdmPwdExtendedRights -Identity Desktops | Format-Table ExtendedRightHolders

LAPSAfin d'utiliser efficacement, les UO concernées (Unités organisationnelles), vous devez configurer les autorisations nécessaires. LAPSLes autorisations minimales requises pour que cela fonctionne correctement sont :

• sur les objets informatiques Write ms-MCS-AdmPwd, Write ms-MCS-AdmPwdExpirationTime ve Read all properties autorisations.
• Ces autorisations LAPSAppliquer à tous les utilisateurs ou groupes qui utiliseront

• ADSIEdit.mscOuvrez et connectez-vous au contexte de dénomination de domaine.

• Accédez à l'UO que vous souhaitez modifier, faites un clic droit et Properties Sélectionnez l'option.

• Security Cliquez sur l'onglet, puis Advanced Cliquez sur le bouton.
• Pendant que l'utilisateur ou le groupe que vous souhaitez restreindre est sélectionné, All Extended Rights désautoriser.

• Confirmez les modifications et fermez la fenêtre.

• ms-MCS-AdmPwd ve ms-MCS-AdmPwdExpirationTime Puisque leurs valeurs ont été modifiées, nous devons autoriser la modification des comptes informatiques. Pour ça Set-AdmPwdComputerSelfPermissioNous utiliserons le paramètre n.

Import-Module AdmPwd.ps
Set-AdmPwdComputerSelfPermission -OrgUnit "Servers"

Cette commande s'applique aux comptes d'ordinateurs dans l'UO « Serveurs ». ms-MCS-AdmPwd ve ms-MCS-AdmPwdExpirationTime Vous permet de modifier les attributs. S'il existe plusieurs unités d'organisation portant le même nom ou si vous souhaitez spécifier une unité d'organisation spécifique, vous devez utiliser le nom distinctif (DN) complet de l'unité d'organisation.

Dans certains cas, plus d'un homonyme OU ça pourrait être. Dans cette situation, DN Il est important que vous cibliez la bonne unité d'organisation en utilisant Par exemple:

Set-AdmPwdComputerSelfPermission -OrgUnit "OU=Servers,DC=example,DC=com"

Les informations LAPS ne sont pas disponibles sur le RODC.

L'autorisation de lecture du mot de passe permet à des utilisateurs ou des groupes spécifiques de lire les mots de passe gérés par LAPS. Vous pouvez définir des autorisations à l'aide de PowerShell :

Import-Module AdmPwd.ps

Set-AdmPwdReadPasswordPermission -OrgUnit "OU=Servers,DC=example,DC=com" -AllowedPrincipals "Cengiz"

Cette commande autorise l'utilisateur ou le groupe nommé « Cengiz » à lire les mots de passe des ordinateurs de l'UO « Serveurs », gérée par LAPS.

L'autorité de réinitialisation de mot de passe permet aux utilisateurs ou groupes désignés de réinitialiser les mots de passe gérés par LAPS. Cette autorisation doit être accordée avec précaution en fonction des exigences de sécurité :

Set-AdmPwdResetPasswordPermission -OrgUnit "OU=Servers,DC=example,DC=com" -AllowedPrincipals "Cengiz"

Cette commande autorise l'utilisateur ou le groupe nommé « Cengiz » à réinitialiser les mots de passe des ordinateurs de l'UO « Serveurs ».

RODC (Read-Only Domain Controller) : les valeurs LAPS ne sont pas disponibles sur RODC pour des raisons de sécurité. RODC aide à protéger les données sensibles et fournit un accès en écriture limité.

Utilisation du groupe de sécurité : lorsque vous accordez des privilèges de lecture et de réinitialisation de mot de passe, il est recommandé de créer un groupe de sécurité incluant ces privilèges. Ce groupe simplifie la gestion des privilèges et permet un contrôle de sécurité étendu.

Configuration de LAPS avec la stratégie de groupe

LAPS (Solution de mot de passe d'administrateur local) Certaines configurations sont requises pour activer la gestion des mots de passe administrateur via un objet de stratégie de groupe (GPO).

Il existe 4 paramètres personnalisables dans le module LAPS.

• Console de gestion de stratégie de groupeOuvrir .
• LAPS à appliquer UO (unité organisationnelle) clic droit dedans Nouvel objet de stratégie de groupe Cliquez et cliquez sur le GPO «Politique LAPSDonnez-lui un nom significatif comme « .
• Depuis le panneau de navigation Computer Configuration -> Policies -> Administrative Templates -> LAPS Suivez simplement les étapes.

Les options de stratégie que vous devez configurer pour LAPS sont les suivantes :

Paramètres de mot de passe

• Longueur du mot de passe: Définissez la longueur minimale du mot de passe (Recommandation : au moins 14 caractères).
• Âge du mot de passe (jours): Spécifiez le nombre de jours pour réinitialiser le mot de passe (Recommandation : 30 jours).

Nom du compte administrateur à gérer

• Saisissez le nom du compte administrateur local à gérer ; par défaut Administrator compte, mais vous pouvez utiliser un nom de compte différent.

Ne laissez pas le délai d'expiration du mot de passe plus long que nécessaire

• Assurez-vous que la durée du mot de passe ne dépasse pas la période spécifiée.

Activer la gestion des mots de passe de l'administrateur local

• Ce paramètre Activé Configurez pour que LAPS gère automatiquement les mots de passe des administrateurs locaux.

Une fois la configuration terminée, le GPO doit être installé sur les ordinateurs cibles pour qu'il prenne effet. gpupdate /force Vous pouvez faire en sorte que la stratégie prenne effet immédiatement en exécutant la commande.

Pour assurer le bon fonctionnement du LAPS Le tiering Active Directory Assurez-vous que votre schéma est mis à jour en conséquence.

Installation client pour LAPS

LAPS (Solution de mot de passe d'administrateur local) Le déployer sur vos clients vous permet de gérer en toute sécurité les mots de passe des administrateurs locaux.

LAPS.msi Nous avons téléchargé le fichier à partir du centre de téléchargement officiel de Microsoft. Nous pouvons également utiliser le fichier .MSI que nous avons téléchargé sur nos clients Windows membres du domaine.

Placez le fichier téléchargé dans un dossier partagé accessible à tous les clients du réseau, par exemple : yourdomainSYSVOLSoftwareLAPS.

• Console de gestion de stratégie de groupe Ouvert (GPMC).
• Créez un nouveau GPO ou modifiez un GPO existant en cliquant avec le bouton droit sur l'unité d'organisation sur laquelle vous souhaitez déployer LAPS.
• Computer Configuration -> Policies -> Software Settings -> Software installation suivez votre chemin.
• Clic droit New -> Package sélectionnez-le et cliquez sur le chemin du partage réseau LAPS.msi Sélectionnez le fichier.

• Sélectionnez « Attribué » comme type d'installation. Cela lui permettra de se charger automatiquement au redémarrage des ordinateurs.

Après avoir téléchargé le fichier MSI avec GPO, vous pouvez suivre l'ID d'événement 12 sur l'Observateur d'événements.

Si pour le client GPO Veya SCCM Si vous souhaitez installer manuellement au lieu d'utiliser Projet devrait être allumé LAPS Il suffira d'avoir les modules suivants :

• AExtension GPO dmPwd

Projet juste à côté CSE Il suffit d'avoir un dossier.

Affichage du mot de passe sur LAPS

LAPS UI (interface utilisateur de la solution de mot de passe de l'administrateur local) L'utilisation du serveur Exchange ou de tout serveur membre du domaine pour gérer le mot de passe du compte administrateur local est simple et sécurisée via une interface visuelle.

Si vous n'avez pas encore installé LAPS UI, téléchargez d'abord le package LAPS depuis le centre de téléchargement officiel de Microsoft et installez le module LAPS UI qui y est inclus.

• Depuis le menu Démarrer Interface utilisateur des tours Recherchez et exécutez le programme.

• Dans l'interface utilisateur LAPS qui s'ouvre, saisissez le nom du serveur dont vous souhaitez gérer le mot de passe ou saisissez-le pour le trouver. Rechercher Utilisez le bouton.
• Après avoir trouvé le serveur, les informations de l'interface seront mises à jour et le mot de passe du compte administrateur local actuel sera affiché à l'écran.

Après ces configurations et installation dans notre environnement Domaine Vous pouvez gérer le mot de passe du compte local de tous les clients qui en sont membres. Vous pouvez effectuer cette opération via Powershell ou GUI.

• Ouvrez l'outil Utilisateurs et ordinateurs Active Directory (ADUC).
• Faites un clic droit sur le compte d'ordinateur concerné et PropriétésAller à .
• Éditeur d'attributs Ouvrez l'onglet.
• ms-Mcs-AdmPwd (mot de passe géré par LAPS) et ms-Mcs-AdmPwdExpirationTime Vérifiez les attributs (durée de validité du mot de passe).

Nous avons centralisé la gestion des mots de passe locaux avec une installation LAPS détaillée. Vous pouvez consulter les liens ci-dessous pour nos autres articles sur Active Directory.

• Microsoft KB5020276 Modifications de renforcement des jointures de domaine Netjoin – Cengiz YILMAZ
• Qu'est-ce que GMSA (Group Managed Service Accounts) et comment le configurer ? – Cengiz YILMAZ

Articles similaires – Installation et configuration de LAPS

• Microsoft Azure Arc : gestion hybride et multi-cloud
• Licences basées sur le groupe Microsoft 365
• Windows Server RDS Temp Nous ne pouvons pas nous connecter à votre compte
• La prise en charge des appareils Linux a commencé à être déployée dans Microsoft Intune