Embedded Files
Coté serveur
Coté serveur
Pour fonctionner correctement, LAPS à besoin de modifier le schéma Active Directory pour ajouter deux attributs aux ordinateurs. Avant cette maj du schéma, il faut installer LAPS qui contient, entre autres, le module Powershell permettant cette update du schéma AD.
Voici les deux attributs aux ordinateurs :
- ms-MCS-AdmPwd : Stocke le mot de passe en clair
- ms-MCS-AdmPwdExpirationTime : Stocke la date d’expiration du mot de passe
Sur le contrôleur de domaine où il a été installé, ouvrir une invite de commande PowerShell avec les droits Administrateur.
Charger le module PowerShell
Charger le module PowerShell
Import-Module AdmPwd.PS
Mettre à jour le schéma
Mettre à jour le schéma
Update-AdmPwdADSchema
J’ai dû me mettre les droits Administrateurs du schéma pour pouvoir réaliser l’opération.
Ajout des droits sur l’Active Directory
Ajout des droits sur l’Active Directory
Set-AdmPwdComputerSelfPermission
Cette commande permet aux computers de l’OU être en mesure de mettre à jour les attributs ms-MCS-AdmPwdExpirationTime et ms-MCS-AdmPwd dans l’annuaire Active Directory, notamment pour indiquer la date d’expiration à venir et de mettre à jour les mots de passe.
Pour nos tests, nous allons utiliser l'OU "OU=TEST,OU=Ordinateurs,OU=societe,OU=Organisation,DC=societe,DC=local"
Set-AdmPwdComputerSelfPermission -Orgunit "OU=TEST,OU=Ordinateurs,OU=societe,OU=Organisation,DC=societe,DC=local"
Set-AdmPwdReadPasswordPermission
La commande ci dessous permet de donner l’autorisation au groupe "Admins du domaine" de visualiser les mots de passe des ordinateurs administrés et situés dans l’OU "OU=TEST,OU=Ordinateurs,OU=societe,OU=Organisation,DC=societe,DC=local".
Set-AdmPwdReadPasswordPermission -OrgUnit "OU=TEST,OU=Ordinateurs,OU=societe,OU=Organisation,DC=societe,DC=local" -AllowedPrincipals "Admins du domaine" | ft Name, DistinguishedName, Status
Set-AdmPwdResetPasswordPermission
La commande ci-dessous permet au groupe Admin du domaine de pourvoir réinitialiser le mot de passe.
Set-AdmPwdResetPasswordPermission -OrgUnit "OU=TEST,OU=Ordinateurs,OU=societe,OU=Organisation,DC=societe,DC=local" -AllowedPrincipals "Admins du domaine"
A voir sur d'autres OU où il y a des objets ordinateurs.
Pour la gestion des accès, seuls l’admin du domaine peut voir le mdp admin local généré. A voir si on crée des groupes pour affiner les droits (groupe lecture et groupe réinitialisation password).
GPO
GPO
L’installation de LAPS sur le serveur a permis l’ajout du fichier admx AdmPwd.admx dans le dossier C:\Windows\PolicyDefinitions et le fichier adml AdmPwd.adml, dans C:\Windows\PolicyDefinitions\en-US.
J’ai mis en place un magasin central via la création du dossier PolicyDefinitions dans \\societe.local\SYSVOL\societe.local\Policies. Cela permet une synchronisation des fichiers ADMX et ADML entre les 2 DC, pour la gestion des GPO.
Les deux fichiers, précédemment cités, ont été copiés dans ce magasin central.
Coté GPO, la catégorie LAPS apparaîtra :
4 paramètres proposés :
Password Settings
Password Settings
Définir la complexité du mot de passe, sa longueur et sa durée de vie.
Name of administrator account to manage
Name of administrator account to manage
Définir un compte administrateur à configurer autre que le compte Administrateur intégré à Windows. En effet, le compte Administrateur BUILT-IN est automatiquement détecté, grâce au SID (Identifiant de sécurité unique) même s’il est renommé.
Il faudra, du coup, paramétrer pour mettre adminlaps pour nos tests (et non administrateur par défaut)
Do not allow password expiration longer than required by policy
Do not allow password expiration longer than required by policy
Ne pas autoriser une expiration du mot de passe plus longue que le permet la stratégie. Pour nos tests, je l’ai désactivé car la plupart des pc ne sont pas connectés au domaine.
Enable local admin password management
Enable local admin password management
Activer ou désactiver la gestion du mot de passe administrateur avec LAPS. Il faut donc activer pour mettre en place cette solution.
Coté client
Coté client
Installation via script : msiexec /i \\mdt\DeploymentShare$\Applications\LAPS\LAPS.x64.msi /quiet
Possible via GPO, chocolatey ou wapt. Ou bien à la main :)
Le mot de passe est stocké dans l’AD. Pour le visualiser, plusieurs méthodes.
Test via le computer LTFR022
LAPS UI
LAPS UI
(lancer en tant qu’admin)
Commande Powershell AdmPwdpassword
Commande Powershell AdmPwdpassword
Get-AdmPwdpassword -ComputerName LTFR022 | fl
Dans les propriétés de l’objet AD de l’ordinateur
Dans les propriétés de l’objet AD de l’ordinateur
Dès que le mot de passe adminlaps expire, il est encore possible de se connecter avec celui-ci (car via la GPO LAPS et le paramétrage “Do not allow password expiration longer than required by policy” désactivé).
Pour changer le mot de passe, il suffit de cliquer sur SET et changer la date d’expiration.
Puis de forcer la GPO sur le poste client.
On vérifie sur LAPS UI.
Le mot de passe a bien été changé.
Page updated
Report abuse