Cet article fournit des réponses à de nombreuses questions fréquemment posées sur la solution de mot de passe d’administrateur local Windows (Windows LAPS).
Généralités
Est-il pris en charge pour exécuter des produits de gestionnaire de mots de passe de compte local tiers côte à côte avec Windows LAPS ?
Oui, ce scénario est pris en charge avec la condition suivante. Vous devez prendre soin de configurer Windows LAPS et le produit tiers pour gérer différents comptes locaux. Si vous configurez par erreur les deux pour gérer le même compte, Windows LAPS rejette les tentatives du produit tiers pour modifier le mot de passe du compte. Consultez protection contre la falsification de mot de passe du compte.
Pourquoi ne puis-je pas modifier le mot de passe d’un compte d’administrateur local actuellement géré par Windows LAPS ?
Windows LAPS empêche les modifications accidentelles ou néfastes apportées au mot de passe du compte managé. Cette protection permet d’éviter une situation d’état déchiré où le mot de passe stocké dans le répertoire ne correspond pas au mot de passe stocké localement sur l’appareil. Consultez protection contre la falsification de mot de passe du compte.
Pourquoi le module Windows LAPS PowerShell n’est-il pas hébergé sur GitHub, PowerShell Gallery ou similaire ?
Le module Windows LAPS PowerShell fait partie de Windows et n’est pas disponible en dehors du système d’exploitation.
Comment puis-je copier le module Windows LAPS PowerShell vers un système d’exploitation plus ancien ?
Ce scénario n’est pas pris en charge.
Comment puis-je envoyer des questions non répondues ou des demandes de fonctionnalités ?
Consultez Envoyer des commentaires.
Je vois des erreurs dans mon journal des événements Windows LAPS - comment les corriger ?
Microsoft promeut une stratégie et une direction sans mot de passe. Pourquoi une fonctionnalité basée sur un mot de passe telle que Windows LAPS a-t-elle été ajoutée à Windows ?
Tous les scénarios LAPS Windows impliquent la gestion du mot de passe d’un compte local Windows à utiliser avec des tâches de support technique, la récupération d’appareil et d’autres scénarios. Étant donné que Windows prend uniquement en charge l’authentification par mot de passe pour les comptes locaux, la gestion des mots de passe est nécessaire.
Windows LAPS et Active Directory
Puis-je déployer et utiliser Windows LAPS même si mon domaine exécute des contrôleurs de domaine plus anciens ?
Oui, avec certaines limitations. Consultez conditions requises en matière de version du contrôleur de domaine et du niveau fonctionnel du domaine.
Puis-je déployer et utiliser Windows LAPS même si mon domaine n’est pas encore au niveau fonctionnel du domaine Windows Server 2016 ?
Oui, avec certaines limitations. Consultez conditions requises en matière de version du contrôleur de domaine et du niveau fonctionnel du domaine.
Dois-je déployer un contrôleur de domaine Windows Server 2022 ou 2019 pour étendre le schéma de ma forêt avec les extensions de schéma Windows LAPS ?
Non : vous pouvez exécuter l’applet de commande Update-LapsADSchema à partir de n’importe quel système d’exploitation mis à jour avec la fonctionnalité Windows LAPS. La seule exigence est que les informations d’identification du client sont autorisées à modifier le schéma Active Directory. Consultez Mettre à jour le schéma Windows Server Active Directory.
Comment copier le composant logiciel enfichable Utilisateur et ordinateurs Active Directory avec Windows LAPS dans un système d’exploitation plus ancien ?
Ce scénario n’est pas pris en charge.
J’ai installé RSAT et je ne vois toujours pas le nouveau composant logiciel enfichable Utilisateur et ordinateurs Active Directory compatible AVEC LAPS ?
Le nouveau composant logiciel enfichable est disponible uniquement dans les versions windows in-box de RSAT sur les plateformes Windows LAPS prises en charge. Consultez de disponibilité du composant logiciel enfichable Windows LAPS.
Pourquoi ne vois-je pas la nouvelle stratégie Windows LAPS dans mon magasin central d’objets de stratégie de groupe ?
La nouvelle stratégie WINDOWS LAPS n’est pas installée automatiquement dans le cadre du magasin central d’objets de stratégie de groupe. Consultez magasin central d’objets de stratégie de groupe.
Les mots de passe Windows LAPS sont-ils disponibles lors d’un scénario de sinistre AD catastrophique ?
Oui, en supposant que les sauvegardes de base de données du contrôleur de domaine AD sont régulièrement effectuées et gérées. Pour plus d’informations, consultez Récupération des mots de passe pendant les scénarios de récupération d’urgence AD
Est-il pris en charge pour exécuter microsoft LAPS hérité côte à côte avec Windows LAPS ?
Oui, ce scénario est pris en charge avec les conditions suivantes. Une nouvelle stratégie LAPS Windows doit être configurée et vous devez vous occuper de configurer Windows LAPS et le laPS hérité pour gérer différents comptes locaux.
Que se passe-t-il si je configure accidentellement un paramètre de stratégie Windows LAPS avec une valeur non prise en charge ?
Consultez valeurs de stratégie PAR défaut Windows LAPS.
Comment puis-je activer les phrases secrètes, qui ne sont disponibles que dans Windows 11 24H2, car les systèmes d’exploitation plus anciens ne prennent pas en charge les nouveaux paramètres PasswordComplexity liés à la phrase secrète (6-8) ?
Il existe deux options dans ce scénario. Autorisez les anciens systèmes d’exploitation à revenir au paramètre par défaut, ou créez deux stratégies. Consultez valeurs de stratégie PAR défaut Windows LAPS.
WINDOWS LAPS et ID Microsoft Entra
Pourquoi mon appareil joint à Microsoft Entra reçoit-il une erreur lors de la tentative de publication du mot de passe sur l’ID Microsoft Entra ?
La raison la plus courante de cet oubli d’activer la fonctionnalité LAPS pour votre locataire Microsoft Entra. Consultez Activation de Windows LAPS avec Microsoft Entra ID.
Dois-je étendre le schéma de ma forêt si je envisage uniquement de sauvegarder des mots de passe dans Microsoft Entra ID ?
Non.
Ai-je besoin d’Intune pour utiliser Windows LAPS ?
Non. Vous pouvez déployer et utiliser Windows LAPS en mode Active Directory ou Microsoft Entra sans Intune. Intune offre de nombreux avantages au scénario Windows LAPS (par exemple, le déploiement de stratégie à grande échelle, la surveillance et la prise en charge de l’action de réinitialisation de mot de passe).
Ai-je besoin de Microsoft Entra Connect pour utiliser Windows LAPS ?
Non. Il n’existe aucune dépendance entre ces deux fonctionnalités. Consultez Windows LAPS et Microsoft Entra Connect dans les environnements hybrides.
Comment configurer un appareil joint hybride pour sauvegarder le mot de passe à la fois sur Microsoft Entra ID et AD ?
Ce scénario n’est pas pris en charge. Vous ne pouvez sauvegarder le mot de passe qu’à un seul répertoire à la fois.
Quels clouds Azure spécifiques prennent en charge Windows LAPS ?
Consultez solution de mot de passe d’administrateur local Windows dans microsoft Entra ID et prise en charge de Microsoft Intune pour Windows LAPS pour plus d’informations sur les clouds spécifiques pris en charge.
Microsoft Entra Domain Services prend-il en charge Windows LAPS ?
Microsoft Entra Domain Services ne prend actuellement pas en charge Windows LAPS.
Comment les mots de passe Windows LAPS sont-ils protégés lorsqu’ils sont stockés dans l’ID Microsoft Entra ?
Les mots de passe WINDOWS LAPS sont toujours protégés en transit (https) lorsqu’ils sont envoyés à partir de l’appareil géré vers le cloud. Les mots de passe WINDOWS LAPS stockés dans le cloud sont toujours chiffrés avec AES256. Les clés de déchiffrement sont disponibles uniquement pour les services Microsoft Entra internes qui ont un besoin technique de gérer réellement les mots de passe en texte clair, par exemple pendant les opérations de stockage ou de requête. Cette couche de chiffrement est spécifique aux mots de passe WINDOWS LAPS et est toujours activée en plus des mécanismes de protection des données Microsoft Entra par défaut. Consultez Considérations relatives à la sécurité des données Microsoft Entra.
Un événement d’avertissement 20000 s’affiche dans le journal des événements pendant un flux de travail de préprovisionnement Windows Autopilot. Comment résoudre ce problème ?
Windows LAPS CSP rejette les directives de configuration MDM lorsque l’appareil n’apparaît pas joint. Le fournisseur de solutions Cloud journalise un ID d’événement 20000 dans le journal des événements opérationnels Windows LAPS lorsque cette condition se produit. Vous pouvez voir un ou plusieurs de ces événements pendant la phase de flux de technicien d’un flux de travail de préprovisionnement Autopilot, lorsque Autopilot désjoint l’appareil de Microsoft Entra.
Cette situation est résolue lors de la phase de flux utilisateur ultérieure du provisionnement Autopilot lorsque l’appareil est joint à Microsoft Entra. À ce stade, Windows LAPS est entièrement fonctionnel et démarre la sauvegarde des mots de passe sur Microsoft Entra.
Ce problème n’affecte pas d’autres scénarios Autopilot en dehors de la préprovisionnement. Les événements d’avertissement CSP doivent être ignorés lorsqu’ils sont affichés dans un flux de travail de préprovisionnement Autopilot, comme décrit précédemment.
Étapes suivantes
Pour en savoir plus sur Windows LAPS, voici quelques ressources supplémentaires.