« Windows LAPS » : différence entre les versions
Aller à la navigation
Aller à la recherche
Installation du rôle ADCS | Gestion des certificats | Authentification par cartes à puce
| Ligne 52 : | Ligne 52 : | ||
## Dans le champs '''Âge du mot de passe''', saisir la valeur '''7'''.<br />[[Image:MMCGPO NEWOBJECT O WINDOWS LAPS_PASSWORD_SETTINGS.png]] | ## Dans le champs '''Âge du mot de passe''', saisir la valeur '''7'''.<br />[[Image:MMCGPO NEWOBJECT O WINDOWS LAPS_PASSWORD_SETTINGS.png]] | ||
## Cliquer sur le bouton {{Bouton|OK}} pour sauvegarder les paramètres. | ## Cliquer sur le bouton {{Bouton|OK}} pour sauvegarder les paramètres. | ||
== Validation du un poste == | |||
=== Forcer la mise à jour du mot de passe === | |||
* Depuis l'ordinateur, avec un compte du domaine, exécuter la commande suivante : | |||
{{ Box Console | objet=gpupdate /force }} | |||
* Redémarrer ensuite l'ordinateur. | |||
=== Consultation des journaux d'évènements === | |||
* Les '''journaux d'évènement''' du module '''Windows LAPS''' sont accessible depuis la console '''Observateur d'évènements''' à l'emplacement '''Journaux des applications''' / '''Microsoft''' / '''Windows''' / '''LAPS'''. | |||
* Ces journaux sont enregistrés aussi bien sur le '''contrôleur de domaine''' interrogé pour mettre à jour le mot de passe que sur l''''ordinateur''' exécutant le renouvellement du mot de passe du compte administrateur local. | |||
* Si le renouvellement du mot de passe s'est bien déroulé, un évènement #10004 doit apparaître pour signifier le succès de l'opération.<br />[[Image:OBSEVENT_LAPS_10004.png]] | |||
=== Récupération du mot de passe === | |||
Version du 11 juillet 2024 à 20:54
Installation du rôle ADDS | Sécuriser son environnement Active Directory | Windows LAPS | gMSA
Archives : Contrôleur de domaine Windows Server 2003 | Intégration Client Ubuntu sur AD Windows Server 2003 | Windows Server 2008
|
|
Cet article est en cours de rédaction. |
|
|
Depuis le 11 avril 2023, Windows LAPS est intégré dans Windows Server 2019 avec l’installation de la KB5025229. |
Installation
- Mettre à jour le schéma de l'annuaire LDAP pour intégrer les attributs
LAPS :
|
|
|
- Procéder au redémarrage du Contrôleur de Domaine pour la bonne prise en charge des modifications.
- Pour vérifier la bonne installation du module et la mise à jour du schéma :
- Ouvrir le Centre d’administration Active Directory avec un compte de privilèges Administrateurs du domaine.
- Basculer sur la vue Arborescence en cliquant sur l’onglet liste.
- Accéder aux Propriétés d'un objet de type Ordinateur
- Depuis la section Extensions cliquer sur l'onglet Editeur d'attributs puis vérifier la présence des attributs préfixés msLAPS.
- Autoriser l'ensemble des Ordinateurs du domaine - contenu dans l'OU NCAD.FR - à pouvoir mettre à jour le mot de passe du compte administrateur local :
|
|
|
Déploiement par GPO
Création d'un groupe de sécurité spécifique
Paramétrage de la GPO
- Ouvrir le Tableau de bord du Gestionnaire de serveur puis depuis le menu Outils, cliquer sur Gestions des stratégies de groupe.
- Faire un clic droit l'objet NCAD.FR puis Créer un objet GPO dans ce domaine, et le lier ici... .
- Nommer la GPO O_WINDOWS_LAPS puis cliquer sur le bouton OK.
- Modifier la GPO puis accéder à la stratégie Configuration ordinateur / Stratégies / Modèles d’administration / Système / LAPS, puis accéder aux Propriétés de la stratégie Configurer les déchiffreurs de mot de passe autorisés.
- Sélectionner l'option Activé.
- Dans le champ Déchiffreur de mot de passe autorisé, saisir NCAD\LOG-LAPS-UNCRYPT.
- Cliquer sur le bouton OK pour sauvegarder les paramètres.
- Accéder à la stratégie Configuration ordinateur / Stratégies / Modèles d’administration / Système / LAPS, puis accéder aux Propriétés de la stratégie Configurer le répertoire de sauvegarde de mot de passe.
- Sélectionner l'option Activé.
- Dans le menu de sélection Répertoire de sauvegarde, choisir la valeur Active Directory.
- Cliquer sur le bouton OK pour sauvegarder les paramètres.
- Accéder à la stratégie Configuration ordinateur / Stratégies / Modèles d’administration / Système / LAPS, puis accéder aux Propriétés de la stratégie Activer le chiffrement du mot de passe.
- Sélectionner l'option Activé.
- Cliquer sur le bouton OK pour sauvegarder les paramètres.
- Sélectionner l'option Activé.
- Accéder à la stratégie Configuration ordinateur / Stratégies / Modèles d’administration / Système / LAPS, puis accéder aux Propriétés de la stratégie Paramètres du mot de passe.
- Sélectionner l'option Activé.
- Depuis le menu de sélection Complexité du mot de passe, choisir la valeur Lettres majuscules + lettres minuscules + chiffres + spéciaux.
- Dans le champ Longueur du mot de passe, saisir la valeur 15.
- Dans le champs Âge du mot de passe, saisir la valeur 7.
- Cliquer sur le bouton OK pour sauvegarder les paramètres.
Validation du un poste
Forcer la mise à jour du mot de passe
- Depuis l'ordinateur, avec un compte du domaine, exécuter la commande suivante :
|
|
|
- Redémarrer ensuite l'ordinateur.
Consultation des journaux d'évènements
- Les journaux d'évènement du module Windows LAPS sont accessible depuis la console Observateur d'évènements à l'emplacement Journaux des applications / Microsoft / Windows / LAPS.
- Ces journaux sont enregistrés aussi bien sur le contrôleur de domaine interrogé pour mettre à jour le mot de passe que sur l'ordinateur exécutant le renouvellement du mot de passe du compte administrateur local.
- Si le renouvellement du mot de passe s'est bien déroulé, un évènement #10004 doit apparaître pour signifier le succès de l'opération.
