« Windows LAPS » : différence entre les versions

De NCad Wiki
Aller à la navigation Aller à la recherche
 
(16 versions intermédiaires par le même utilisateur non affichées)
Ligne 2 : Ligne 2 :


__TOC__
__TOC__
{{ Box Construction | article }}


{{ Box Information | objet=Depuis le 11 avril 2023, Windows LAPS est intégré dans Windows Server 2019 avec l’installation de la [https://support.microsoft.com/fr-fr/topic/11-avril-2023-kb5025229-build-du-syst%C3%A8me-d-exploitation-17763-4252-e8ead788-2cd3-4c9b-8c77-d677e2d8744f KB5025229]. }}
{{ Box Information | objet=Depuis le 11 avril 2023, Windows LAPS est intégré dans Windows Server 2019 avec l’installation de la [https://support.microsoft.com/fr-fr/topic/11-avril-2023-kb5025229-build-du-syst%C3%A8me-d-exploitation-17763-4252-e8ead788-2cd3-4c9b-8c77-d677e2d8744f KB5025229]. }}
Ligne 9 : Ligne 7 :
== Installation ==
== Installation ==


* Mettre à jour le schéma de l'annuaire LDAP pour intégrer les attributs 
{{ Box Attention | objet=Cette opération nécessite l'utilisation d'un '''compte privilégié''' membre du groupe '''Administrateurs du schéma'''. }}
LAPS :
 
{{ Box Console | objet=Update-LapsADSchema }}
 
* Procéder au redémarrage du Contrôleur de Domaine pour la bonne prise en charge des modifications.
 
* Pour vérifier la bonne installation du module et la mise à jour du schéma :
*# Ouvrir le '''Centre d’administration Active Directory''' avec un compte de privilèges '''Administrateurs du domaine'''.
*# Basculer sur la vue '''Arborescence''' en cliquant sur l’onglet '''liste'''.
*# Accéder aux '''Propriétés''' d'un objet de type '''Ordinateur'''
*# Depuis la section '''Extensions''' cliquer sur l'onglet '''Editeur d'attributs''' puis vérifier la présence des attributs préfixés '''msLAPS'''.<br />[[Image:CAAD_COMPUTER_PROPERTY_ATTRIBUTS_msLAPS_VIEW.png]]


* Autoriser l'ensemble des '''Ordinateurs''' du domaine - contenu dans l'OU '''NCAD.FR''' - à pouvoir mettre à jour le mot de passe du compte '''administrateur local''' :
# '''Mettre à jour''' le schéma de l''''annuaire LDAP''' pour intégrer les '''attributs LAPS''' :<br />{{Commande|Update-LapsADSchema}}
 
# Procéder au redémarrage du '''Contrôleur de Domaine''' pour la bonne prise en charge des modifications.
{{ Box Console | objet=Set-LapsADComputerSelfPermission -Identity "OU=NCAD.FR,DC=ncad,DC=fr" }}
# Pour vérifier la bonne installation du module et la mise à jour du schéma :
## Ouvrir le '''Centre d’administration Active Directory''' avec un compte de privilèges '''Administrateurs du domaine'''.
## Basculer sur la vue '''Arborescence''' en cliquant sur l’onglet '''liste'''.
## Accéder aux '''Propriétés''' d'un objet de type '''Ordinateur'''
## Depuis la section '''Extensions''' cliquer sur l'onglet '''Editeur d'attributs''' puis vérifier la présence des attributs préfixés '''msLAPS'''.<br />[[Image:CAAD_COMPUTER_PROPERTY_ATTRIBUTS_msLAPS_VIEW.png]]
# Autoriser l'ensemble des '''Ordinateurs''' du domaine - contenu dans l'OU '''NCAD.FR''' - à pouvoir mettre à jour le mot de passe du compte '''administrateur local''' :<br />{{Commande|Set-LapsADComputerSelfPermission -Identity "OU&#61;NCAD.FR,DC&#61;ncad,DC&#61;fr" }}


== Déploiement par GPO ==
== Déploiement par GPO ==


=== Création d'un groupe de sécurité spécifique ===
=== Création d'un groupe de sécurité spécifique ===
# Ouvrir le '''Centre d’administration Active Directory''' avec un compte de privilèges '''Administrateurs du domaine'''.
# Basculer sur la vue '''Arborescence''' en cliquant sur l’onglet '''liste'''.
# Se rendre dans l'Unité d'Organisation '''Permissions''' située dans '''NCAD.FR-ADM''' / '''Groupes'''.
# Créer le groupe de sécurité '''LOG-LAPS-UNCRYPT'''.


=== Paramétrage de la GPO ===
=== Paramétrage de la GPO ===
Ligne 53 : Ligne 50 :
## Cliquer sur le bouton {{Bouton|OK}} pour sauvegarder les paramètres.
## Cliquer sur le bouton {{Bouton|OK}} pour sauvegarder les paramètres.


== Validation du un poste ==
== Validation d'un ordinateur ==


=== Forcer la mise à jour du mot de passe ===
=== Forcer la mise à jour du mot de passe ===
Ligne 66 : Ligne 63 :


* Les '''journaux d'évènement''' du module '''Windows LAPS''' sont accessible depuis la console '''Observateur d'évènements''' à l'emplacement '''Journaux des applications''' / '''Microsoft''' / '''Windows''' / '''LAPS'''.
* Les '''journaux d'évènement''' du module '''Windows LAPS''' sont accessible depuis la console '''Observateur d'évènements''' à l'emplacement '''Journaux des applications''' / '''Microsoft''' / '''Windows''' / '''LAPS'''.
* Ces journaux sont enregistrés aussi bien sur le '''contrôleur de domaine''' interrogé pour mettre à jour le mot de passe que sur l''''ordinateur''' exécutant le renouvellement du mot de passe du compte administrateur local.
* Ces journaux sont enregistrés aussi bien sur le '''contrôleur de domaine''' interrogé pour mettre à jour le mot de passe que sur l''''ordinateur''' exécutant le renouvellement du mot de passe du '''compte administrateur local'''.
* Si le renouvellement du mot de passe s'est bien déroulé, un évènement #10004 doit apparaître pour signifier le succès de l'opération.<br />[[Image:OBSEVENT_LAPS_10004.png]]
* Si le renouvellement du mot de passe s'est bien déroulé, un '''évènement #10004''' doit apparaître pour signifier le '''succès de l'opération'''.<br />[[Image:OBSEVENT_LAPS_10004.png]]


=== Récupération du mot de passe ===
=== Récupération du mot de passe ===
==== Depuis PowerShell ====


* Depuis un compte autorisé ''(dans notre cas, membre du groupe '''LOG-LAPS-UNCRYPT''')'', exécuter la commande '''PowerShell''' suivante :
* Depuis un compte autorisé ''(dans notre cas, membre du groupe '''LOG-LAPS-UNCRYPT''')'', exécuter la commande '''PowerShell''' suivante :
Ligne 79 : Ligne 78 :
[[Image:PWSHELL_GETLAPSADPASSWD_SUCCESS.png]]
[[Image:PWSHELL_GETLAPSADPASSWD_SUCCESS.png]]


* Le cas échéant, la ligne password est vide :
{{ Box Information | objet=Si LAPS a été configuré pour '''crypter''' les mots de passes stockés en base, alors c'est la chaîne de caractères '''System.Security.SecureString''' qui sera affichée. Il faudra alors utiliser le '''Centre d'administration Active Directory''' pour pouvoir déchiffrer le mot de passe. }}
 
* Le cas échéant, les lignes '''account''' et '''password''' sont vides :


[[Image:PWSHELL_GETLAPSADPASSWD_FAIL.png]]
[[Image:PWSHELL_GETLAPSADPASSWD_FAIL.png]]
==== Depuis le Centre d’administration Active Directory ====
# Ouvrir le '''Centre d’administration Active Directory''' avec un compte de privilèges '''Administrateurs du domaine'''.
# Basculer sur la vue '''Arborescence''' en cliquant sur l’onglet '''liste'''.
# Accéder aux '''Propriétés''' d'un objet de type '''Ordinateur'''.
# Depuis la section '''Extensions''' cliquer sur l'onglet '''LAPS'''.
#* Pour afficher le mot de passe en clair, cliquer sur le bouton {{Bouton|Afficher le mot de passe}}.<br />[[Image:CAAD_COMPUTER_PROPERTY_LAPS.png]]
[[Category:Active Directory]]

Dernière version du 15 juillet 2024 à 15:56

Rôles Active Directory

Installation du rôle ADCS | Gestion des certificats | Authentification par cartes à puce

Installation du rôle ADDS | Sécuriser son environnement Active Directory | Windows LAPS | gMSA


Archives : Contrôleur de domaine Windows Server 2003 | Intégration Client Ubuntu sur AD Windows Server 2003 | Windows Server 2008

Depuis le 11 avril 2023, Windows LAPS est intégré dans Windows Server 2019 avec l’installation de la KB5025229.

Installation

Cette opération nécessite l'utilisation d'un compte privilégié membre du groupe Administrateurs du schéma.

  1. Mettre à jour le schéma de l'annuaire LDAP pour intégrer les attributs LAPS :
    Update-LapsADSchema
  2. Procéder au redémarrage du Contrôleur de Domaine pour la bonne prise en charge des modifications.
  3. Pour vérifier la bonne installation du module et la mise à jour du schéma :
    1. Ouvrir le Centre d’administration Active Directory avec un compte de privilèges Administrateurs du domaine.
    2. Basculer sur la vue Arborescence en cliquant sur l’onglet liste.
    3. Accéder aux Propriétés d'un objet de type Ordinateur
    4. Depuis la section Extensions cliquer sur l'onglet Editeur d'attributs puis vérifier la présence des attributs préfixés msLAPS.
      CAAD COMPUTER PROPERTY ATTRIBUTS msLAPS VIEW.png
  4. Autoriser l'ensemble des Ordinateurs du domaine - contenu dans l'OU NCAD.FR - à pouvoir mettre à jour le mot de passe du compte administrateur local :
    Set-LapsADComputerSelfPermission -Identity "OU=NCAD.FR,DC=ncad,DC=fr"

Déploiement par GPO

Création d'un groupe de sécurité spécifique

  1. Ouvrir le Centre d’administration Active Directory avec un compte de privilèges Administrateurs du domaine.
  2. Basculer sur la vue Arborescence en cliquant sur l’onglet liste.
  3. Se rendre dans l'Unité d'Organisation Permissions située dans NCAD.FR-ADM / Groupes.
  4. Créer le groupe de sécurité LOG-LAPS-UNCRYPT.

Paramétrage de la GPO

  1. Ouvrir le Tableau de bord du Gestionnaire de serveur puis depuis le menu Outils, cliquer sur Gestions des stratégies de groupe.
  2. Faire un clic droit l'objet NCAD.FR puis Créer un objet GPO dans ce domaine, et le lier ici... .
  3. Nommer la GPO O_WINDOWS_LAPS puis cliquer sur le bouton OK.
    MMCGPO NEWOBJECT O WINDOWS LAPS.png
  4. Modifier la GPO puis accéder à la stratégie Configuration ordinateur / Stratégies / Modèles d’administration / Système / LAPS, puis accéder aux Propriétés de la stratégie Configurer les déchiffreurs de mot de passe autorisés.
    1. Sélectionner l'option Activé.
    2. Dans le champ Déchiffreur de mot de passe autorisé, saisir NCAD\LOG-LAPS-UNCRYPT.
      MMCGPO NEWOBJECT O WINDOWS LAPS ALLOW UNCRYPT PASSWORD.png
    3. Cliquer sur le bouton OK pour sauvegarder les paramètres.
  5. Accéder à la stratégie Configuration ordinateur / Stratégies / Modèles d’administration / Système / LAPS, puis accéder aux Propriétés de la stratégie Configurer le répertoire de sauvegarde de mot de passe.
    1. Sélectionner l'option Activé.
    2. Dans le menu de sélection Répertoire de sauvegarde, choisir la valeur Active Directory.
      MMCGPO NEWOBJECT O WINDOWS LAPS BACKUP PASSWORD SETTINGS.png
    3. Cliquer sur le bouton OK pour sauvegarder les paramètres.
  6. Accéder à la stratégie Configuration ordinateur / Stratégies / Modèles d’administration / Système / LAPS, puis accéder aux Propriétés de la stratégie Activer le chiffrement du mot de passe.
    1. Sélectionner l'option Activé.
      MMCGPO NEWOBJECT O WINDOWS LAPS PASSWORD ENCRYPT SETTINGS.png
    2. Cliquer sur le bouton OK pour sauvegarder les paramètres.
  7. Accéder à la stratégie Configuration ordinateur / Stratégies / Modèles d’administration / Système / LAPS, puis accéder aux Propriétés de la stratégie Paramètres du mot de passe.
    1. Sélectionner l'option Activé.
    2. Depuis le menu de sélection Complexité du mot de passe, choisir la valeur Lettres majuscules + lettres minuscules + chiffres + spéciaux.
    3. Dans le champ Longueur du mot de passe, saisir la valeur 15.
    4. Dans le champs Âge du mot de passe, saisir la valeur 7.
      MMCGPO NEWOBJECT O WINDOWS LAPS PASSWORD SETTINGS.png
    5. Cliquer sur le bouton OK pour sauvegarder les paramètres.

Validation d'un ordinateur

Forcer la mise à jour du mot de passe

  • Depuis l'ordinateur, avec un compte du domaine, exécuter la commande suivante :

gpupdate /force

  • Redémarrer ensuite l'ordinateur.

Consultation des journaux d'évènements

  • Les journaux d'évènement du module Windows LAPS sont accessible depuis la console Observateur d'évènements à l'emplacement Journaux des applications / Microsoft / Windows / LAPS.
  • Ces journaux sont enregistrés aussi bien sur le contrôleur de domaine interrogé pour mettre à jour le mot de passe que sur l'ordinateur exécutant le renouvellement du mot de passe du compte administrateur local.
  • Si le renouvellement du mot de passe s'est bien déroulé, un évènement #10004 doit apparaître pour signifier le succès de l'opération.
    OBSEVENT LAPS 10004.png

Récupération du mot de passe

Depuis PowerShell

  • Depuis un compte autorisé (dans notre cas, membre du groupe LOG-LAPS-UNCRYPT), exécuter la commande PowerShell suivante :

Get-LapsADPassword -Identity "<COMPUTER_NAME>"

  • Si le compte est autorisé, le mot de passe est alors communiqué :

PWSHELL GETLAPSADPASSWD SUCCESS.png

Si LAPS a été configuré pour crypter les mots de passes stockés en base, alors c'est la chaîne de caractères System.Security.SecureString qui sera affichée. Il faudra alors utiliser le Centre d'administration Active Directory pour pouvoir déchiffrer le mot de passe.

  • Le cas échéant, les lignes account et password sont vides :

PWSHELL GETLAPSADPASSWD FAIL.png

Depuis le Centre d’administration Active Directory

  1. Ouvrir le Centre d’administration Active Directory avec un compte de privilèges Administrateurs du domaine.
  2. Basculer sur la vue Arborescence en cliquant sur l’onglet liste.
  3. Accéder aux Propriétés d'un objet de type Ordinateur.
  4. Depuis la section Extensions cliquer sur l'onglet LAPS.
    • Pour afficher le mot de passe en clair, cliquer sur le bouton Afficher le mot de passe.
      CAAD COMPUTER PROPERTY LAPS.png