Partager via


Conseils de résolution des problèmes windows LAPS

Ce guide fournit les concepts fondamentaux à utiliser lors de la résolution des problèmes liés à la solution de mot de passe d’administrateur local Windows (Windows LAPS).

Windows LAPS est une fonctionnalité Windows qui gère et sauvegarde automatiquement le mot de passe d’un compte d’administrateur local sur vos appareils Microsoft Entra joints ou joints Windows Server Active Directory. Vous pouvez également utiliser Windows LAPS pour gérer et sauvegarder automatiquement le mot de passe du compte DSRM (Directory Services Repair Mode) sur vos contrôleurs de domaine Windows Server Active Directory. Un administrateur autorisé peut récupérer le mot de passe DSRM et l’utiliser. Pour plus d’informations, consultez Qu’est-ce que Windows LAPS ?

Remarque

  • Cet article s’adresse à Windows LAPS (la nouvelle fonctionnalité), et non à la version laps héritée ou à l’ancienne version de LAPS.
  • Cet article répertorie uniquement quelques-unes des principales causes racines possibles. D’autres causes peuvent également exister mais ne sont pas découvertes.
  • La liste suivante contient les ID d’événement les plus courants et peut ne pas inclure tous les événements Windows LAPS.

Résolution des problèmes liés à Windows LAPS à l’aide d’événements Windows

Pour afficher les événements Windows LAPS, accédez à Journaux >des applications et des servicesMicrosoft> Windows >LAPS>Opérationnel dans observateur d'événements.

Remarque

  • Le traitement Windows LAPS commence par l’ID d’événement 10003 et se termine par l’ID d’événement 10004.
  • Si le traitement du cycle actuel échoue pour une raison quelconque, l’ID d’événement 10005 est enregistré.

Windows LAPS a deux scénarios :

  • Windows LAPS Active Directory

    Les ordinateurs clients sont configurés pour stocker le mot de passe dans Active Directory.

  • Windows LAPS Azure Microsoft Entra ID

    Les ordinateurs clients sont configurés pour stocker le mot de passe dans Microsoft Entra ID.

Le tableau suivant répertorie les ID d’événement qui sont enregistrés dans différents scénarios :

ID d’événement Scénario
10006 Windows LAPS Active Directory
10011 Windows LAPS Active Directory
10012 Windows LAPS Active Directory
10013 Windows LAPS Active Directory et Microsoft Entra ID
10017 Windows LAPS Active Directory
10019 Windows LAPS Active Directory et Microsoft Entra ID
10025 Microsoft Entra ID Windows LAPS
10026 Microsoft Entra ID Windows LAPS
10027 Windows LAPS Active Directory et Microsoft Entra ID
10028 Microsoft Entra ID Windows LAPS
10032 Microsoft Entra ID Windows LAPS
10034 Windows LAPS Active Directory
10035 Windows LAPS Active Directory
10048 Windows LAPS Active Directory et Microsoft Entra ID
10049 Windows LAPS Active Directory et Microsoft Entra ID
10056 Windows LAPS Active Directory
10057 Windows LAPS Active Directory
10059 Microsoft Entra ID Windows LAPS
10065 Windows LAPS Active Directory

ID d’événement 10006

LAPS password encryption is required but the Active Directory domain is not yet at 2016 domain functional level. The password was not updated and no changes will be made until this is corrected

Par défaut, Windows LAPS chiffre le mot de passe du compte managé sur l’ordinateur client. Pour prendre en charge le chiffrement, le niveau fonctionnel du domaine doit être Windows Server 2016.

Résolution

  1. Augmentez le niveau fonctionnel du domaine si nécessaire.
  2. Désactivez l’stratégie de groupe Activer le chiffrement de mot de passe pour les ordinateurs clients.

    Remarque

    Nous vous déconseillons de désactiver le chiffrement de mot de passe stocké sur le contrôleur de domaine.

ID d’événement 10011

LAPS failed when querying Active Directory for the current computer state

Windows LAPS interroge régulièrement (toutes les heures) Active Directory pour connaître l’état de l’ordinateur, et l’ordinateur client utilise le service Netlogon pour y découvrir un contrôleur de domaine.

Résolution

Si vous êtes dans un environnement où vous disposez d’une connectivité uniquement à un contrôleur de domaine accessible en écriture, ouvrez les ports réseau entre l’ordinateur client et le contrôleur de domaine.

Pour plus d’informations, consultez Vue d’ensemble du service et configuration requise des ports réseau pour Windows.

ID d’événement 10012

The Active Directory schema has not been updated with the necessary LAPS attributes

Pour introduire Windows LAPS, vous devez étendre le schéma avec des attributs Windows LAPS. Ou, si vous utilisez Windows LAPS en mode d’émulation LAPS hérité, vous devez étendre le schéma avec les attributs LAPS hérités. Ce problème se produit pour l’une des raisons suivantes :

  • Cause racine 1

    Le schéma n’a pas été étendu avec les nouveaux attributs Windows LAPS.

  • Cause racine 2

    Une réplication Active Directory temporaire existe entre le contrôleur de domaine local (DC) et le contrôleur de domaine principal (PDC).

  • Cause racine 3

    Problème de réplication Active Directory sur le contrôleur de domaine local.

Résolution de la cause racine 1

Exécutez l’applet Update-LapsADSchema de commande PowerShell pour mettre à jour le schéma Active Directory à l’aide des privilèges de Administration de schéma.

Si vous utilisez l’émulation LAPS héritée, étendez le schéma avec l’applet Update-AdmPwdADSchema de commande PowerShell (cette action nécessite d’abord l’installation du produit LAPS hérité).

Résolution de la cause racine 2

En raison de la latence de réplication, les attributs de schéma n’ont pas été répliqués sur le contrôleur de domaine local. Vous pouvez utiliser le composant logiciel enfichable LDP ou ADSIEDIT pour identifier si les attributs de schéma Windows LAPS ont été répliqués. Forcez la réplication Active Directory de la partition de schéma avec le schéma master à l’aide de la commande suivante :

repadmin /replicate DC2.contoso.com PDC.contoso.com CN=Schema,CN=Configuration,DC=contoso,dc=com /force

Remarque

  • Remplacez par DC2.contoso.com le nom du contrôleur de domaine identifié par l’ID d’événement 10055 dans les journaux des événements Windows LAPS.
  • Remplacez par PDC.contoso.com le nom du contrôleur de domaine principal dans votre environnement. Vous pouvez identifier le contrôleur de domaine principal à l’aide de la nltest /dsgetdc:contoso.com /pdc /force commande .

Résolution de la cause racine 3

Il existe un problème de réplication Active Directory entre le contrôleur de domaine local et d’autres contrôleurs de domaine dans le domaine. Vous pouvez afficher l’ID d’événement 10055 dans les journaux des événements Windows LAPS pour vérifier le nom du contrôleur de domaine et exécuter la repadmin /showreps commande pour identifier les erreurs de réplication.

Pour plus d’informations, consultez Résolution des problèmes de réplication Active Directory.

ID d’événement 10013

LAPS failed to find the currently configured local administrator account

Windows LAPS lit le nom de l’administrateur local à partir de stratégie de groupe ou du paramètre Intune Nom du compte d’administrateur à gérer. Si ce paramètre n’est pas configuré, il recherche le compte local avec un identificateur de sécurité (SID) se terminant par 500 (administrateur). Si Windows LAPS ne trouve pas le compte, l’ID d’événement 10013 est journalisé.

Dans la version actuelle de Windows LAPS, il n’existe aucune fonctionnalité permettant de créer l’utilisateur géré.

Résolution

Vérifiez et vérifiez que l’utilisateur géré est présent dans les utilisateurs locaux à l’aide de l’une des méthodes suivantes :

  • Utilisez lusrmgr.msc pour ouvrir utilisateurs et groupes locaux.
  • Exécutez la commande net user.

    Remarque

    Assurez-vous qu’il n’y a pas d’espaces de fin au début et à la fin du compte.

ID d’événement 10017

LAPS failed to update Active Directory with the new password. The current password has not been modified

Il s’agit d’un événement status à la fin d’un cycle de traitement Windows LAPS. Cet événement n’a pas de cause racine. Vous devez donc passer en revue le traitement antérieur des événements où Windows LAPS a rencontré un problème.

Résolution

  1. Ouvrez une invite de commandes PowerShell avec élévation de privilèges et exécutez l’applet de Invoke-lapsPolicyProcessing commande .
  2. Ouvrez observateur d'événements et accédezà Journaux >des applications et des servicesMicrosoft >Windows>LAPS>Opérationnel.
  3. Filtrez le dernier traitement des événements à partir de l’ID d’événement 10003 jusqu’à l’ID d’événement 10005.
  4. Corrigez les erreurs antérieures à l’ID d’événement 10017.

ID d’événement 10019

LAPS failed to update the local admin account with the new password

Windows LAPS ne peut pas mettre à jour le mot de passe du compte d’utilisateur géré localement sur l’ordinateur local. Windows LAPS a trouvé l’utilisateur géré, mais a eu des difficultés à modifier le mot de passe.

Résolution

  • Identifiez s’il existe un problème de ressource tel qu’une fuite de mémoire ou un problème de mémoire insuffisante. Redémarrez l’ordinateur pour vérifier si vous observez une erreur similaire.
  • Une application tierce ou un pilote de filtre qui gère le même utilisateur géré n’autorise pas Windows LAPS à gérer le mot de passe.

ID d’événement 10025

Azure discovery failed

L’appareil (Microsoft Entra joint ou hybride) configuré avec Windows LAPS pour stocker les mots de passe dans Microsoft Entra ID doit découvrir le point de terminaison d’inscription d’entreprise.

Résolution

  1. Vérifiez que vous pouvez vous connecter correctement au point de terminaison d’inscription (https://enterpriseregistration.windows.net). Si vous ouvrez Microsoft Edge ou Google Chrome et que vous vous connectez au point de terminaison d’inscription (https://enterpriseregistration.windows.net), vous recevez un message « Point de terminaison introuvable ». Ce message signifie que vous pouvez vous connecter au point de terminaison d’inscription d’entreprise.
  2. Si vous utilisez un serveur proxy, vérifiez que votre proxy est configuré sous le contexte système. Vous pouvez ouvrir une invite de commandes avec élévation de privilèges et exécuter la netsh winhttp show proxy commande pour afficher le proxy.

ID d’événement 10026

LAPS was unable to authenticate to Azure using the device identity

Ce problème se produit en cas de problème avec le jeton d’actualisation principal (PRT) de l’appareil.

Résolution

  1. Vérifiez que vous avez activé la fonctionnalité Windows LAPS dans votre locataire Azure.
  2. Vérifiez que la machine n’est pas supprimée ou désactivée dans votre locataire Azure.
  3. Ouvrez une invite de commandes, exécutez la dsregcmd /status commande et case activée les sections suivantes pour toutes les erreurs :
    • Device status
    • SSO data
    • Diagnostic data
  4. Vérifiez le message d’erreur à l’aide de la commande dsregcmd et résolvez le problème.
  5. Résolvez les problèmes Microsoft Entra appareils joints hybrides à l’aide de La résolution des problèmes Microsoft Entra appareils joints hybrides.
  6. Utilisez l’outil Résolution des problèmes d’inscription d’appareil pour identifier et résoudre les problèmes d’inscription d’appareil.
  7. Si vous recevez un message d’erreur, consultez Microsoft Entra codes d’erreur d’authentification et d’autorisation pour la description de l’erreur et la résolution des problèmes supplémentaires.

ID d’événement 10027

LAPS was unable to create an acceptable new password. Please verify that the LAPS password length and complexity policy is compatible with the domain and local password policy settings

Windows LAPS ne peut pas mettre à jour le mot de passe du compte d’utilisateur géré localement sur l’ordinateur local. Windows LAPS a trouvé l’utilisateur géré, mais a eu des difficultés à modifier le mot de passe.

Résolution

  1. Vérifiez la stratégie de mot de passe sur l’ordinateur en exécutant la net accounts commande dans une invite de commandes. Validez l’une des stratégies de mot de passe si elles ne répondent pas aux critères de la stratégie de mot de passe configurée par Windows LAPS, comme la complexité du mot de passe, la longueur du mot de passe ou l’âge du mot de passe.

  2. Identifiez si le paramètre est appliqué via un objet de stratégie de groupe (GPO) local, un objet de stratégie de groupe de domaine ou des paramètres de sécurité locaux en exécutant la GPRESULT /h commande . Modifiez l’objet de stratégie de groupe ou les paramètres de sécurité pour qu’ils correspondent aux paramètres de mot de passe de l’objet de stratégie de groupe Windows LAPS. Les paramètres sont configurés via le paramètre Paramètres de mot de passe dans gPO ou Intune (GPM).

    Remarque

    Vos stratégies de mot de passe configurées dans Active Directory, l’objet de stratégie de groupe local ou les paramètres de sécurité doivent correspondre aux paramètres de mot de passe Windows LAPS ou contenir des paramètres inférieurs à ceux de la configuration des paramètres de mot de passe Windows LAPS.

  3. Vérifiez si des filtres de mot de passe tiers peuvent bloquer la définition du mot de passe.

    1. Télécharger le Explorer de processus.

    2. Extrayez et exécutez process Explorer en tant qu’administrateur.

    3. Sélectionnez le processus LSASS.exe dans le volet gauche.

    4. Sélectionnez Afficher>afficher le volet inférieur.

    5. Sélectionnez Afficher les> DLLd’affichage> du voletinférieur.

      Capture d’écran de l’Explorer de processus avec des dll ou des modules chargés.

  4. Le volet inférieur affiche les DLL ou modules chargés. Identifiez s’il existe des modules tiers à l’aide du champ Nom de la société (tous les modules autres que Microsoft).

    Passez en revue la liste des DLL pour déterminer si le nom de la DLL tierce (module) contient des mots clés tels que « sécurité », « mot de passe » ou « stratégies ». Désinstallez ou arrêtez l’application ou le service qui peut utiliser cette DLL.

Machine jointe à Microsoft Entra ID

Les appareils Microsoft Entra ID ou joints hybrides peuvent être gérés à l’aide de la gestion des appareils mobiles (GPM) (Intune), d’objets de stratégie de groupe locaux ou de tout autre logiciel tiers similaire.

  1. Vérifiez la stratégie de mot de passe sur l’ordinateur en exécutant la net accounts commande dans une invite de commandes. Validez l’une des stratégies de mot de passe si elles ne répondent pas aux critères de la stratégie de mot de passe configurée par Windows LAPS, comme la complexité du mot de passe, la longueur du mot de passe ou l’âge du mot de passe.
  2. Identifiez si la stratégie en conflit est appliquée via Intune, un objet de stratégie de groupe local ou un logiciel tiers similaire comme Intune pour gérer les stratégies de mot de passe sur l’ordinateur.

ID d’événement 10028

LAPS failed to update Azure Active Directory with the new password

L’ordinateur client Windows LAPS met régulièrement à jour les mots de passe. Cet événement s’affiche si l’ordinateur client configuré avec Windows LAPS ne peut pas mettre à jour le mot de passe pour Microsoft Entra ID.

Résolution

  1. Vérifiez que vous avez activé la fonctionnalité Windows LAPS dans votre locataire Azure.
  2. Vérifiez que la machine n’est pas supprimée ou désactivée dans votre locataire Azure.
  3. Ouvrez une invite de commandes et exécutez la dsregcmd /status commande pour case activée les sections suivantes en cas d’erreur :
    • Device status
    • SSO data
    • Diagnostic data
  4. Vérifiez le message d’erreur à l’aide de la commande dsregcmd et résolvez le problème.
  5. Utilisez Résoudre les problèmes Microsoft Entra appareils joints hybrides pour résoudre les problèmes Microsoft Entra appareils joints hybrides.
  6. Utilisez l’outil Résolution des problèmes d’inscription d’appareil pour identifier et résoudre les problèmes d’inscription d’appareil.
  7. Si vous recevez un message d’erreur, consultez Microsoft Entra codes d’erreur d’authentification et d’autorisation pour la description de l’erreur et la résolution des problèmes supplémentaires.

ID d’événement 10032

LAPS was unable to authenticate to Azure using the device identity

Il peut y avoir des problèmes liés à l’authentification Microsoft Entra lors de l’utilisation du PRT d’appareil.

Résolution

  1. Vérifiez que vous avez activé la fonctionnalité Windows LAPS dans votre locataire Azure.
  2. Vérifiez que la machine n’est pas supprimée ou désactivée dans votre locataire Azure.
  3. Ouvrez une invite de commandes et exécutez la dsregcmd /status commande pour case activée les sections suivantes en cas d’erreur :
    • Device status
    • SSO data
    • Diagnostic data
  4. Vérifiez le message d’erreur à l’aide de la commande dsregcmd et résolvez le problème.
  5. Utilisez Résoudre les problèmes Microsoft Entra appareils joints hybrides pour résoudre les problèmes Microsoft Entra appareils joints hybrides.
  6. Utilisez l’outil Résolution des problèmes d’inscription d’appareil pour identifier et résoudre les problèmes d’inscription d’appareil.
  7. Si vous recevez un message d’erreur, consultez Microsoft Entra codes d’erreur d’authentification et d’autorisation pour la description de l’erreur et la résolution des problèmes supplémentaires.

ID d’événement 10034

The configured encryption principal is an isolated (ambiguous) name. This must be corrected before the configured account's password can be managed. Please specify the name in either user@domain.com or domain\user format.

Le principal de chiffrement est configuré via le paramètre Configurer les déchiffreurs de mot de passe autorisés à l’aide d’un objet de stratégie de groupe ou gPM (Intune). Il semble que le paramètre n’est pas configuré correctement.

Résolution

Corrigez la configuration du Intune ou de l’objet de stratégie de groupe. Ce paramètre accepte deux valeurs :

  • SID d’un groupe de domaines ou d’un utilisateur
  • Nom du groupe dans <Nom> de domaine\<Nom du> groupe, <Nom de> domaine\<Nom> d’utilisateur ou <Nom> d’utilisateur@<Nom de domaine>

Remarque

Vérifiez qu’il n’y a pas d’espaces de fin au début et à la fin du paramètre.

ID d’événement 10035

The configured encryption principal name could not be mapped to a known account. This must be corrected before the configured account's password can be managed.

Le principal de chiffrement est configuré via le paramètre Configurer les déchiffreurs de mot de passe autorisés à l’aide d’un objet de stratégie de groupe ou gPM (Intune). Le paramètre accepte un SID ou un nom de groupe de domaine dans <nom> de domaine\<nom de> groupe, <nom de> domaine\<nom> d’utilisateur ou <nom> d’utilisateur@<nom> de domaine. L’erreur se produit lorsque le client Windows LAPS ne peut pas résoudre un SID en un nom ou un nom en SID.

Résolution

  1. Vérifiez que le groupe de domaines existe dans Active Directory et qu’il n’a pas été supprimé.
  2. Si le groupe vient d’être créé, attendez que la réplication Active Directory converge vers le contrôleur de domaine local de l’ordinateur client.
  3. Utilisez l’outil Sysinternal PsGetSid pour résoudre manuellement le SID ou le nom.
    1. Téléchargez PsGetSid.
    2. Extrayez le fichier téléchargé et ouvrez une invite de commandes avec élévation de privilèges sur l’ordinateur client où vous rencontrez le problème.
    3. Exécutez la commande psgetsid -accepteula <SID> or <Name>. Utilisez le SID ou le nom mentionné dans l’ID d’événement 10035.
  4. Vérifiez s’il existe des erreurs de réplication Active Directory dans la forêt et résolvez-les. Pour plus d’informations, consultez Résolution des problèmes de réplication Active Directory.

ID d’événement 10048

The currently pending post-authentication reset timer has been retried the maximum allowed number attempts and will no longer be scheduled

La nouvelle tentative post-authentification correspond au nombre d’opérations de nouvelle tentative tentées de réinitialiser le mot de passe avec le répertoire approprié (Microsoft Entra ID ou Active Directory). Si ce nombre dépasse le maximum de 100 lors d’un démarrage, cet événement est déclenché.

Résolution

  1. Identité en cas de problème de connexion à l’annuaire approprié, tel qu’Active Directory ou Microsoft Entra ID.
  2. Résolvez les autres erreurs pendant le traitement des événements Windows LAPS.

ID d’événement 10049

LAPS attempted to reboot the machine as a post-authentication action but the operation failed

Windows LAPS peut être configuré pour une action de post-authentification à l’aide du paramètre Actions de post-authentification avec gPO ou GPM (Intune). Dans ce scénario, le paramètre est configuré pour redémarrer l’ordinateur s’il détecte une action post-authentification. Cet événement indique que l’ordinateur ne peut pas redémarrer.

Résolution

  1. Identifiez si une application bloque l’arrêt de la machine.
  2. Identifiez si vous disposez des privilèges nécessaires pour arrêter la machine.

ID d’événement 10056

LAPS failed to locate a writable domain controller

Le client Windows LAPS utilise l’opération de modification LDAP (Lightweight Directory Access Protocol) pour écrire des mots de passe dans Active Directory à partir du client Windows LAPS. Windows LAPS doit découvrir un contrôleur de domaine accessible en écriture dans le domaine pour écrire le mot de passe du compte managé.

Résolution

  1. Ouvrez une invite de commandes sur l’ordinateur client et exécutez la commande :

    nltest /dsgetdc:<Domain Name> /force /writable
    

    Si vous obtenez l’erreur 1355 (le contrôleur de domaine pour le domaine est introuvable), cela signifie que vous devez résoudre le problème de découverte de contrôleur de domaine accessible en écriture.

  2. Si vous êtes dans un environnement où vous disposez d’une connectivité uniquement à un contrôleur de domaine accessible en écriture, ouvrez les ports réseau entre l’ordinateur client et le contrôleur de domaine. Pour plus d’informations, consultez Vue d’ensemble du service et configuration requise des ports réseau pour Windows.

ID d’événement 10057

LAPS was unable to bind over LDAP to the domain controller with an <Error Code>:

Pendant un traitement en arrière-plan planifié, Windows LAPS doit se connecter à un contrôleur de domaine. Ce traitement est effectué à l’aide du contexte de l’ordinateur. Cette erreur s’affiche en cas de problème d’authentification Active Directory entre l’ordinateur client et le contrôleur de domaine.

Résolution

  1. Vérifiez que le compte d’ordinateur n’est pas supprimé dans Active Directory.

  2. Validez les éventuels problèmes de canal sécurisé entre le client et le contrôleur de domaine en exécutant une commande avec élévation de privilèges :

    nltest /sc_query:<Domain Name>
    
  3. Rejoignez la machine au domaine.

    Remarque

    Vérifiez que vous connaissez le mot de passe de l’administrateur local.

ID d’événement 10059

Azure returned a failure code

L’événement contient également une erreur HTTP. L’erreur se produit lors de la connexion, de l’authentification ou de la mise à jour du mot de passe pour Microsoft Entra ID.

Résolution

  1. Vérifiez que vous pouvez vous connecter au point de terminaison d’inscription Microsoft Entra (https://enterpriseregistration.windows.net).
  2. Vérifiez que vous avez activé la fonctionnalité Windows LAPS dans votre locataire Azure.
  3. Vérifiez que la machine n’est pas supprimée ou désactivée dans votre locataire Azure.
  4. Ouvrez une invite de commandes et exécutez la dsregcmd /status commande pour case activée les sections suivantes en cas d’erreur :
    • Device status
    • SSO data
    • Diagnostic data
  5. Vérifiez le message d’erreur à l’aide de la commande dsregcmd et résolvez le problème.
  6. Utilisez Résoudre les problèmes Microsoft Entra appareils joints hybrides pour résoudre les problèmes Microsoft Entra appareils joints hybrides.
  7. Utilisez l’outil Résolution des problèmes d’inscription d’appareil pour identifier et résoudre les problèmes d’inscription d’appareil.
  8. Si vous recevez un message d’erreur, consultez Microsoft Entra codes d’erreur d’authentification et d’autorisation pour la description de l’erreur et la résolution des problèmes supplémentaires.

ID d’événement 10065

LAPS received an LDAP_INSUFFICIENT_RIGHTS error trying to update the password using the legacy LAPS password attribute. You should update the permissions on this computer's container using the Update-AdmPwdComputerSelfPermission cmdlet, for example:

Cette erreur se produit car l’ordinateur client Windows LAPS doit écrire les mots de passe de l’utilisateur géré.

Ce problème peut également se produire si vous déplacez l’ordinateur vers une autre unité d’organisation (UO) et que l’unité d’organisation de destination ne dispose pas de l’auto-autorisation sur l’ordinateur.

Résolution

  1. Si vous n’avez pas exécuté l’applet de commande Windows LAPS PowerShell pour attribuer l’autorisation d’auto-autorisation au compte d’ordinateur, exécutez l’applet de commande suivante :

    Set-LapsADComputerSelfPermission -identity <OU Name>
    

    Par exemple :

    Set-LapsADComputerSelfPermission -Identity LAPSOU
    Set-LapsADComputerSelfPermission -Identity OU=LAPSOU,DC=contoso,DC=Com
    

    Remarque

    Vous pouvez utiliser un nom unique (DN) si vous avez le même nom pour l’unité d’organisation, mais dans des hiérarchies différentes.

  2. Vérifiez que le compte d’ordinateur dispose de l’autorisation self sur l’unité d’organisation où se trouve le compte d’ordinateur.

Connexion à un contrôleur de domaine avec un privilège d’administrateur de domaine

  1. Ouvrez LDP.exe.

  2. Sélectionnez Connexion>et configurez le serveur et le port comme suit :

    Capture d’écran de l’outil LDP avec la fenêtre Connexion ouverte.

  3. Sélectionnez Liaison de connexion>, configurez les paramètres suivants, puis sélectionnez OK.

    Capture d’écran de l’outil LDP avec la fenêtre Lier ouverte.

  4. Sélectionnez Arborescence d’affichage>. Ensuite, dans la liste déroulante baseDN, sélectionnez le domaine où se trouve votre ordinateur client.

    Capture d’écran de l’outil LDP avec la fenêtre Arborescence ouverte.

  5. Parcourez l’arborescence de domaine pour identifier l’unité d’organisation où se trouvent les ordinateurs clients. Cliquez avec le bouton droit sur l’unité d’organisation, puis sélectionnezModifier le descripteur> de sécurité.

    Capture d’écran de l’outil LDP avec l’arborescence de domaine dans le volet gauche.

  6. Triez la colonne Trustee et recherchez les droits d’utilisateur suivants pour NT AUTHORITY\SELF les autorisations pour l’attribut msLAPS-Password . Capture d’écran de l’outil LDP avec la fenêtre de descripteur de sécurité ouverte et triée par la colonne Trustee.