Installation de LAPS

7 janvier 2020 Non Par Rached CHADER

Mise à jour du schéma active directory :

1
2
3
import-module admPwd.PS

Update-AdmPwdADSchema

 Configurer les permissions requises :

Avant de commencer, il est important de vérifier qu’aucun compte non autorisé ne possède déjà le droit sur les attributs confidentiels.

Donc, il faut vérifier dans les paramètres de sécurité de l’OU en question que l’option « Tous les droits étendus » (Extended rights) est bien décochée sur les utilisateurs non autorisés :

  • Lancer la commande ci-dessous, pour donner le droit à chaque machine de réinitialiser le mot de passe du compte administrateur local :
1
Set-AdmPwdComputerSelfPermission -OrgUnit LAPS

 

  • Lancer la commande ci-dessous pour autoriser un groupe de lire les mots de passe des machines sous l’OU nommé LAPS
1
Set-AdmPwdReadPasswordPermission -OrgUnit LAPS -AllowedPrincipals "Domain Admins" | ft Name, DistinguishedName, Status

 

  • Lancer la commande ci-dessous pour autoriser un groupe de réinitialiser le mot de passe :
1
Set-AdmPwdResetPasswordPermission -OrgUnit LAPS -AllowedPrincipals "Domain Admins"
  • Lancer la commande ci-dessous pour vérifier qui a le droit sur les attributs confidentiels :
1
Find-AdmPwdExtendedRights -Identity LAPS | Format-Table ExtendedRightHolders

Déployer LAPS sur les machines clientes via GPO:

  • Passoword settings: Ce paramètre permet d’activer la complexité , définir la longueur et la durée de vie du mot de passe.
  • Name of administrator account to manage: Pour gérer un autre compte via LAPS , il est possible de le spécifier dans cette option. Sinon c’est le compte administrateur avec SID-500 créé par défaut qui sera géré via LAPS.
  • Do not allow password expiration time than required by policy: Ce paramètre permet de ne pas autoriser un mot de passe expiré selon la valeur déjà définit via GPO.
  • Enable local admin password management: Ce paramètre permet d’activer ou désactiver LAPS.

 

Installation du client LAPS

Il existe plusieurs solutions pour le déploiement du client sur LAPS sur les postes :

  • Installation manuelle.
  • Installation par un outil de déploiement.
  • Installation par GPO.
  • Installation par script

Nous allons prendre l’installation via GPO :

  • Crée une GPO et donner lui un nom
  • Aller dans Computer Configuration => Policies => Software Settings
  • Cliquez avec le bouton droit sur Installation du logiciel et cliquez sur Nouveau => Package
  • Parcourez le chemin où se trouvent le fichier, sélectionnez le logiciel LAPS.Choisissez la méthode de déploiement comme Attribuée et cliquez sur OK. « L’installable doit être accessible depuis le réseaux »

Comment récupérer le mot de passe local

  • Via l’éditeur d’attributs :
  • Via LAPS GUI en mode admin :

Views: 33544