Modes de gestion des comptes Windows LAPS
Découvrez les différents modes de gestion des comptes pris en charge par la solution de mot de passe d'administrateur local (Windows LAPS).
Important
La fonctionnalité de gestion automatique des comptes Windows LAPS est supportée dans Windows Server 2025 et les versions ultérieures.
Vue d’ensemble
L'objectif principal de Windows LAPS est de faire pivoter régulièrement le mot de passe d'un compte Windows local. Ce compte peut être le compte Administrateur intégré ou un nouveau compte personnalisé. L'administrateur informatique a deux modes différents à choisir pour configurer et gérer le compte cible : manuel et automatique. Ces deux modes présentent des avantages et des inconvénients.
Il existe deux modes différents disponibles afin de gérer le compte cible.
Le mode manuel de gestion des comptes est le mode par défaut. En mode manuel, l'administrateur informatique est responsable de la configuration de tous les aspects du compte managé, à l'exception du mot de passe, que Windows LAPS gère et contrôle.
Le mode de gestion automatique des comptes est un mode facultatif. En mode automatique, Windows LAPS est responsable de la configuration de tous les aspects du compte managé, y compris la création et la suppression d'un compte de base en fonction des besoins, ainsi que le mot de passe du compte.
Mode manuel de gestion des comptes
Le mode manuel est le mode par défaut. L'administrateur informatique a le choix entre cibler le compte Administrateur intégré ou un nouveau compte personnalisé. Ce choix est configuré via le paramètre de stratégie AdministratorAccountName. Si le paramètre AdministratorAccountName est vide, le compte Administrateur intégré est géré ; sinon, le paramètre AdministratorAccountName spécifie le nom d'un compte local personnalisé.
Lorsqu'un compte local personnalisé est spécifié, l'administrateur informatique est chargé de créer ce compte avant d'activer Windows LAPS - Windows LAPS ne crée pas le compte dans ce mode.
Dans cet mode, le mot de passe du compte cible est protégé contre les falsifications accidentelles ou insouciantes. Toutes les autres modifications de configuration de compte sont autorisées.
Mode de gestion automatique des comptes
La mode automatique est un mode désactivé par défaut. Une fois activé, l'administrateur informatique peut choisir parmi les détails de configuration suivants :
- Indique s'il faut cibler le compte Administrateur intégré ou un nouveau compte personnalisé
- Le nom du compte
- Indication d'activer ou de désactiver le compte
- Indication de rendre aléatoire le nom du compte
Détails de la configuration automatique du compte
Lorsque le mode automatique est activé, le compte managé est configuré comme suit :
- Le compte devient membre du groupe Administrateurs local
- Le paramètre mot de passe non obligatoire est désactivé
- L'indicateur mot de passe n'expire jamais est désactivé
- La description du compte est modifiée pour indiquer que Windows LAPS contrôle le compte
Intégration avec les stratégies de gestion des comptes locaux
Windows prend en charge plusieurs stratégies pour gérer l'abonnement aux groupes locaux Windows :
- Stratégie RestrictedGroups CSP
- Stratégie LocalUsersAndGroups CSP
- Utilisateurs et groupes locaux (Stratégie de groupe)
- Groupes restreints (Stratégie de groupe)
Chacune des stratégies ci-dessus prend en charge un mode de configuration qui peut être utilisé pour forcer la suppression de tous les membres d'un groupe local spécifié. Les stratégies ci-dessus ignorent désormais toute tentative de suppression du compte managé automatiquement windows LAPS du groupe Administrateurs local.
Protection contre la falsification de compte
La protection contre la falsification de compte est développée en mode automatique. Windows LAPS contrôle tous les aspects de configuration d'un compte managé automatiquement. Les tentatives externes de modification du compte managé sont bloquées. Les administrateurs informatiques ne doivent pas créer de stratégies ou de scripts qui tentent de modifier le compte managé.
Windows LAPS rejette les tentatives inattendues de modification du compte avec une erreur STATUS_POLICY_CONTROLLED_ACCOUNT (0xC000A08B) ou ERROR_POLICY_CONTROLLED_ACCOUNT (0x21CE\8654). Chaque rejet a un événement associé dans le canal du journal des événements Windows LAPS. Les événements 10101-10104 sont enregistrés, correspondant au type de modification demandé (modification de base, modification du descripteur de sécurité, suppression ou suppression du groupe Administrateurs local).
Choix d'un mode
Le mode manuel est le meilleur choix pour les situations qui nécessitent une configuration unique et\ou détaillée du compte cible.
Le mode automatique est le meilleur choix pour les situations avec des exigences moins détaillées, par exemple, vous n'avez besoin que du compte managé pour être disponible et prêt à être utilisé dans une configuration de base avec des privilèges administratifs. La mode automatique prend également en charge la création d'un nouveau compte personnalisé.
| Fonctionnalité | Mode manuel | Mode automatique |
|---|---|---|
| Mot de passe contrôlé par Windows LAPS | Oui | Oui |
| L'administrateur informatique peut personnaliser le compte | Oui | Non |
| Prend en charge la création automatique d'un compte | Non | Oui |
| Prend en charge le nommage automatique de compte | Non | Oui |
| Prend en charge l'activation/désactivation automatique du compte | Non | Oui |
| Prend en charge la randomisation du nom de compte automatique | Non | Oui |
| Prend en charge l'intégration avec les stratégies de compte local | Non | Oui |
Gestion des comptes en mode réparation des services d'annuaire
Windows LAPS prend en charge la gestion du mot de passe du compte en mode de réparation des services d'annuaire (DSRM) sur les contrôleurs de domaine. Les modes manuels et automatiques de gestion des comptes décrits dans cet article ne s'appliquent pas au compte DSRM.
Voir aussi
Étapes suivantes
Maintenant que vous comprenez les différents modes de gestion des comptes, examinez ces autres sections.