Si vous rencontrez l’acronyme « LAPS », pour la première fois, vous ignorez peut-être qu’il signifie « Local Administrator Password Solution », c’est-à-dire solution de mot de passe administrateur local. Le principe de LAPS est de permettre à un logiciel de générer un mot de passe pour l’administrateur local, puis de le stocker sous forme de texte brut dans un attribut Active Directory (AD).
Stocker des mots de passe sous forme de texte brut peut sembler contraire à toutes les bonnes pratiques de sécurité, mais comme LAPS utilise les autorisations Active Directory, ceux-ci ne peuvent être affichés que par les utilisateurs ou les membres d’un groupe autorisés à les voir.
Le principal scénario d’utilisation présenté ici montre que vous pouvez librement procurer le mot de passe d’administrateur local à un collaborateur en déplacement susceptible de rencontrer des difficultés à se connecter avec les informations d’identification en cache. LAPS peut ensuite demander un nouveau mot de passe la prochaine fois que cette personne souhaitera communiquer avec un AD sur site via un VPN.
Cet outil est également utile pour les applications disposant d’une fonction de connexion automatique. Le récent Windows Admin Center en est un excellent exemple :
Vous devrez effectuer quelques opérations pour configurer LAPS et le faire fonctionner correctement.
- Télécharger le fichier MSI de LAPS
- Changer de schéma
- Installer les fichiers de stratégie de groupe LAPS
- Affecter des autorisations aux groupes
- Installer la DLL de LAPS
Télécharger LAPS
LAPS se présente sous forme de fichier MSI à télécharger et installer sur un ordinateur client. Vous le trouverez sur le site de Microsoft.
Changer de schéma
LAPS doit ajouter deux attributs à Active Directory : le mot de passe de l’administrateur et le délai d’expiration. Modifier le schéma nécessite l’installation du composant LAPS PowerShell. Une fois l’installation effectuée, lancez PowerShell et exécutez les commandes suivantes :
Import-module AdmPwd.PS
Update-AdmPwdADSchema
You need to run these commands while logged in to the network as a schema admin.
Vous devez exécuter ces commandes en étant connecté au réseau en tant qu’administrateur de schéma.
Installer les fichiers de stratégie de groupe LAPS
La stratégie de groupe doit être installée sur vos serveurs AD. Le fichier *.admx va dans le dossier « windows\policydefintions » et le fichier * .adml, dans « \windows\policydefinitions\[langue] ».
Une fois l’installation terminée, la section LAPS devrait s’afficher dans la console GPMC, sous Configuration ordinateur -> Stratégies -> Modèles d’administration -> LAPS
Les quatre options sont les suivantes :
Password settings/Paramètres de mot de passe — Vous permet de définir la complexité du mot de passe et la fréquence à laquelle il doit être modifié.
Name of administrator account to manage/Nom du compte administrateur à gérer — Requis uniquement si vous renommez l’administrateur. Si vous ne renommez pas l’administrateur local, laissez-le non configuré.
Do not allow password expiration time longer than required by policy/Ne pas autoriser un délai d’expiration du mot de passe plus long que requis par la stratégie — Dans certains cas (machine distante par ex.), le périphérique peut se trouver en dehors du réseau lorsque le délai d’expiration du mot de passe est écoulé. LAPS attend alors pour changer le mot de passe. Si vous paramétrez cette option sur FALSE, le mot de passe sera modifié indépendamment de la possibilité ou de l’impossibilité de communiquer avec AD.
Enable local password management/Activer la gestion des mots de passe locaux — Active l’objet de stratégie de groupe (GPO) et permet à l’ordinateur de transférer le mot de passe vers Active Directory.
La seule option à ne pas laisser non configurée est « Enable local password management/Activer la gestion des mots de passe locaux » afin d’activer la stratégie LAPS. Sans ce paramètre, vous pouvez déployer un objet de stratégie de groupe LAPS sur un ordinateur client, mais il ne fonctionnera pas.
Affecter des autorisations aux groupes
Maintenant que le schéma a été étendu, il faut configurer la stratégie de groupe LAPS et affecter les autorisations. Je le fais en configurant une unité d’organisation (OU) dans laquelle les ordinateurs obtiendront la stratégie LAPS ainsi qu’un groupe en lecture seule et un groupe en lecture/écriture.
Étant donné que LAPS est un processus de type push (parce que le client LAPS de l’ordinateur définit le mot de passe et le transmet à AD), l’objet SELF de l’ordinateur dans AD doit être autorisé à y écrire.
La commande PowerShell pour cela est la suivante :
Set-AdmPwdComputerSelfPermission -OrgUnit <name of the OU to delegate permissions>
Pour permettre aux administrateurs du support technique de lire les mots de passe définis par LAPS, nous devons affecter cette autorisation à un groupe. Je configure toujours un groupe « LAPS Password Readers » dans AD pour faciliter l’administration. Je le fais au moyen de cette commande PowerShell :
Set-AdmPwdReadPasswordPermission -OrgUnit <name of the OU to delegate permissions> -AllowedPrincipals <users or groups>
Le dernier groupe que je configure est « LAPS Admins ». Ce groupe peut demander à LAPS de réinitialiser un mot de passe lors de la prochaine connexion de l’ordinateur à AD. Cela s’effectue avec la commande PowerShell suivante :
Set-AdmPwdResetPasswordPermission -OrgUnit <name of the OU to delegate permissions> -AllowedPrincipals <users or groups>
Une fois les autorisations nécessaires configurées, vous pouvez déplacer les ordinateurs dans l’OU activée au niveau de LAPS et installer la DLL de LAPS sur ces machines.
DLL de LAPS
Lorsque l’OU et les autorisations ont été configurées, le fichier admpwd.dll doit être installé sur toutes les machines de l’OU auxquelles le GPO LAPS a été affecté. Il existe deux manières de procéder. Tout d’abord, vous pouvez simplement sélectionner l’extension admpwd dll dans le fichier MSI de LAPS.
Ou vous pouvez copier la DLL (admpwd.dll) vers un emplacement du chemin d’accès tel que « %windir%\system32 », puis exécuter une commande regsvr32.exe AdmPwd.dll. Ce processus peut également faire partie d’un script de démarrage GPO ou d’une image de référence pour les déploiements futurs.
Après avoir installé la DLL sur le client, un gpupdate /force devrait permettre à la DLL locale de faire son travail et de transférer le mot de passe vers AD pour récupération ultérieure.
La récupération des mots de passe est simple. Si l’utilisateur concerné dispose au moins de l’autorisation de lecture LAPS, il peut se servir de l’interface graphique de LAPS pour récupérer le mot de passe.
L’interface graphique de LAPS peut être installée en exécutant l’assistant et en vérifiant que le paramètre « Fat Client UI » est sélectionné. Une fois installée, elle peut être exécutée en lançant simplement « LAPS UI ». Il vous suffit alors de saisir le nom de l’ordinateur sur lequel vous souhaitez utiliser le mot de passe d’administrateur local. Si les autorisations sont définies correctement, celui-ci s’affiche.
Sinon, vérifiez que l’objet de stratégie de groupe est appliqué et que les autorisations sont définies pour l’OU pour laquelle le compte d’utilisateur est configuré.
Dépannage
Comme tout système, LAPS peut provoquer quelques bizarreries. Les deux plus courantes concernent les mots de passe qui ne sont pas visibles pour les collaborateurs disposant des autorisations et les ordinateurs clients qui ne mettent pas à jour le mot de passe comme requis.
Première chose à vérifier :le fichier admpwd.dll a-t-il été installé et enregistré. Ensuite, vérifiez que le GPO est appliqué au serveur dont vous essayez de modifier le mot de passe d’administrateur local à l’aide de la commande gpresult /r. J’ai pour habitude d’attribuer aux applications telles que LAPS leur propre GPO pour faciliter ce type de dépannage.
Ensuite, vérifiez que le GPO est bien activé. LAPS présente la particularité suivante : alors qu’il est parfaitement possible de tout définir dans le GPO et d’affecter celui-ci à une OU, il ne se passera rien si l’option « Enable local password management/Activer la gestion des mots de passe locaux » n’est pas activée.
Si les problèmes persistent, vérifiez l’affectation des autorisations. LAPS ne renvoie pas de message d’erreur, mais son interface graphique affiche simplement un blanc à la place du mot de passe. Cela peut signifier que le mot de passe n’a pas été défini ou que les autorisations n’ont pas été définies correctement.
Vous pouvez vérifier celles-ci dans la section des attributs étendus des autorisations Windows. Vous pouvez y accéder en lançant Utilisateurs et ordinateurs Active Directory -> Rechercher l’objet ordinateur -> Propriétés -> Sécurité -> Avancé
Effectuez un double clic sur l’élément de sécurité :
Faites défiler et vérifiez que les paramètres Read ms-Mcs-AdmPwd et Write ms-Mcs-admpwd sont cochés.
En résumé, LAPS fonctionne très bien et c’est un excellent outil de déploiement sur les serveurs, en particulier les ordinateurs portables. Il peut être un peu délicat à mettre en place, mais il mérite certainement le temps que vous y consacrerez.
Plus d’informations
- Visionnez notre webinar sur les bases d’Active Directory.
- Découvrez comment administrer AD en utilisant PowerShell et l’interface utilisateur dans notre webinar sur Active Directory et la virtualisation.
- Découvrez comment sauvegarder, restaurer et déployer automatiquement AD dans notre webinar sur Active Directory et la sauvegarde.
