Utiliser les journaux d’événements Windows LAPS
La solution de mot de passe d’administrateur local Windows (Windows LAPS) a un canal de journal d’événements dédié. Toutes les opérations Windows LAPS sont suivies avec des événements enrichis. Découvrez les événements clés et comment voir le journal.
Afficher le journal des événements
Pour voir le canal du journal des événements Windows LAPS, dans l’observateur d’événements Windows Server, accédez à Applications et services>Journaux>Microsoft>Windows>LAPS>Opérationnel.
Événements clés
Vous devez connaître certains événements Windows LAPS clés et savoir comment les voir dans les journaux des événements :
- Événements de début et de fin de traitement de la stratégie
- Détails de configuration de la stratégie
- Événements de confirmation de mise à jour du mot de passe
- Demande de modification de mot de passe externe bloquée
- Événements liés aux actions post-authentification
Début et fin du cycle de traitement de la stratégie
Quand Windows LAPS commence un cycle de traitement de stratégie en arrière-plan, la progression de l’opération est suivie dans le journal des événements. Quand vous connaissez les événements spécifiques qui indiquent le début et la fin de chaque cycle, vous pouvez plus facilement lire le journal des événements et comprendre les événements.
Chaque cycle de traitement de stratégie en arrière-plan commence par un événement 10003 :
LAPS policy processing is now starting.
Chaque événement 10003 est suivi de plusieurs autres événements qui décrivent ce qui se passe. Une fois le cycle terminé, l’événement final marque l’opération comme ayant réussi ou échoué.
Un cycle réussi présente l’événement de suivi 10004. Voici un exemple d’événement 10004 :
LAPS policy processing succeeded.
Un cycle en échec présente l’événement de suivi 10005. Voici un exemple d’événement 10005 :
LAPS policy processing failed with the error code below.
Error code: 80070032
En cas d’échec, vous pouvez utiliser le code d’erreur pour résoudre les problèmes. Vous pouvez également regarder les événements intermédiaires pour obtenir des informations détaillées.
Détails de configuration de la stratégie
Quand la sauvegarde de mot de passe est activée, un événement de configuration de stratégie est émis pendant chaque cycle de traitement de la stratégie en arrière-plan Windows LAPS. L’événement journalise la valeur de paramètre de stratégie spécifique pour chaque itération de cycle.
Quand la stratégie est configurée pour sauvegarder le mot de passe dans Windows Server Active Directory, un événement 10021 est journalisé. Voici un exemple d’événement 10021 :
The current LAPS policy is configured as follows:
Policy source: GPO
Backup directory: Active Directory
Local administrator account name:
Password age in days: 30
Password complexity: 4
Password length: 14
Password expiration protection enabled: 1
Password encryption enabled: 1
Password encryption target principal: LapsAdministrators@contoso.com
Password encrypted history size: 12
Backup DSRM password on domain controllers: 0
Post authentication grace period (hours): 8
Post authentication actions: 1
Quand la stratégie est configurée pour sauvegarder le mot de passe dans Microsoft Entra ID, un événement 10022 est journalisé. Voici un exemple d’événement 10022 :
The current LAPS policy is configured as follows:
Policy source: CSP
Backup directory: Azure AD
Local administrator account name: ContosoLocalAdminAccount
Password age in days: 7
Password complexity: 4
Password length: 64
Post authentication grace period (hours): 8
Post authentication actions: 3
Quand Windows LAPS est configuré pour utiliser une stratégie Microsoft LAPS hérité, un événement 10023 est journalisé. Voici un exemple d’événement 10023 :
The current LAPS policy is configured as follows:
Policy source: Legacy LAPS
Backup directory: Active Directory
Local administrator account name:
Password age in days: 30
Password complexity: 4
Password length: 8
Password expiration protection enabled: 0
Ces valeurs de paramètre de stratégie spécifiques sont des exemples et ne doivent pas être considérées comme des recommandations.
Événements de confirmation de mise à jour du mot de passe
Quand Windows LAPS met à jour l'annuaire configuré (Windows Server Active Directory ou Microsoft Entra ID) avec un nouveau mot de passe, un événement de réussite est journalisé : 10018 pour les mises à jour de mot de passe dans Windows Server Active Directory et 10029 pour les mises à jour de mot de passe dans Microsoft Entra ID.
Voici un exemple d’événement 10018 :
LAPS successfully updated Active Directory with the new password.
Voici un exemple d’événement 10029 :
LAPS successfully updated Azure Active Directory with the new password.
Quand l’annuaire est mis à jour avec le nouveau mot de passe, Windows LAPS met également à jour le compte local managé. Un événement 10020 est journalisé en cas de réussite.
Voici un exemple d’événement 10020 :
LAPS successfully updated the local admin account with the new password.
Account name: ContosoLocalAdminAccount
Account RID: 1087
Demande de modification de mot de passe externe bloquée
Quand Windows LAPS est activé, il protège le mot de passe du compte managé spécifié contre toute modification par une entité autre que Windows LAPS. Un événement 10031 est journalisé quand une tentative de modification du mot de passe est bloquée.
Voici un exemple d’événement 10031 :
LAPS blocked an external request that tried to modify the password of the current managed account.
Account name: ContosoLocalAdminAccount
Account RID: 1087
Événements d’action post-authentification
Quand des actions post-authentification sont configurées, Windows LAPS monitore les authentifications réussies du compte managé spécifié. Quand une authentification est détectée, un événement 10041 est journalisé.
Voici un exemple d’événement 10041 :
LAPS detected a successful authentication for the currently managed account. A background task has been scheduled to execute the configured post-authentication actions after the configured grace period has expired.%n
Account name: ContosoLocalAdminAccount
Account RID: 1087
Password reset timer deadline: %3%n
Quand l’échéance listée dans l’événement 10041 est atteinte, Windows LAPS journalise un événement 10042 :
The post-authentication grace period has expired per policy. The configured post-authentication actions will now be executed.
Account name: ContosoLocalAdminAccount
Account RID: 1087
Windows LAPS tente ensuite de permuter le mot de passe et d’exécuter toutes les actions post-authentification spécifiées. Un événement 10044 est journalisé quand la permutation du mot de passe réussit.
Voici un exemple d’événement 10044 :
LAPS successfully reset the password for the currently managed account and completed all configured post-authentication actions.%n
%n
Account name: ContosoLocalAdminAccount
Account RID: 1087
Si la permutation du mot de passe échoue, un événement 10043 est journalisé. Voici un exemple d’événement 10043 :
LAPS failed to reset the password for the currently managed account. The password is considered expired due to an authentication event. LAPS will continue retrying the password reset operation until it succeeds.
Account name: ContosoLocalAdminAccount
Account RID: 1087
Password reset retry count: 1
Error code: 80070032
Journal des événements client ou journal des événements contrôleur de domaine AD
Le canal du journal des événements Windows LAPS contient des événements liés à l’ordinateur local agissant en tant que client. Le canal du journal des événements Windows LAPS sur un contrôleur de domaine Active Directory contient uniquement des événements liés à la gestion du compte DSRM local (si activé) et ne contient jamais d’événements liés aux comportements des clients joints à un domaine.