Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La solution de mot de passe de l’administrateur local Windows (Windows LAPS) dispose d’un canal de journal des événements dédié. Toutes les opérations Windows LAPS sont suivies à l’aide d’événements enrichis. En savoir plus sur les événements clés et sur la façon d’afficher le journal.
Afficher le journal des événements
Pour afficher le canal du journal des événements Windows LAPS, dans l’Observateur d’événements Windows Server, accédez àJournauxdes applications et des> services >Microsoft>Windows>LAPS>Operational.
Événements clés
Il est important de connaître certains événements Windows LAPS clés et de savoir comment les afficher dans les journaux d’événements :
- Événements de début et de fin du traitement des stratégies
- Détails de la configuration de la stratégie
- Événements de confirmation de mise à jour du mot de passe
- Demande de modification de mot de passe externe bloquée
- Événements liés à l’action post-authentification
Début et fin du cycle de traitement des politiques
Lorsque Windows LAPS démarre un cycle de traitement de stratégie en arrière-plan, la progression de l’opération est suivie dans le journal des événements. Connaître les événements spécifiques qui indiquent le début et la fin de chaque cycle facilite la lecture du journal des événements et la compréhension des événements.
Chaque cycle de traitement de politique en arrière-plan commence par un événement 10003 :
LAPS policy processing is now starting.
Chaque événement 10003 est suivi de plusieurs autres événements qui décrivent ce qui se passe. À la fin du cycle, l’événement final marque l’opération comme réussie ou échouée.
Un cycle réussi est suivi avec un événement 10004. Voici un exemple d’événement 10004 :
LAPS policy processing succeeded.
Un cycle ayant échoué est suivi avec un événement 10005. Voici un exemple d’événement 10005 :
LAPS policy processing failed with the error code below.
Error code: 80070032
En cas d’échec, vous pouvez utiliser le code d’erreur pour résoudre le problème. Vous pouvez également consulter les événements intermédiaires pour obtenir des informations détaillées.
Détails de la configuration de la stratégie
Lorsque la sauvegarde par mot de passe est activée, un événement de configuration de stratégie est émis lors de chaque cycle de traitement de la stratégie en arrière-plan Windows LAPS. L’événement consigne la valeur du paramètre de stratégie spécifique pour chaque itération de cycle.
Lorsque la stratégie est configurée pour sauvegarder le mot de passe dans Windows Server Active Directory, un événement 10021 est consigné. Voici un exemple d’événement 10021 :
The current LAPS policy is configured as follows:
Policy source: GPO
Backup directory: Active Directory
Local administrator account name:
Password age in days: 30
Password complexity: 4
Password length: 14
Password expiration protection enabled: 1
Password encryption enabled: 1
Password encryption target principal: LapsAdministrators@contoso.com
Password encrypted history size: 12
Backup DSRM password on domain controllers: 0
Post authentication grace period (hours): 8
Post authentication actions: 1
Lorsque la stratégie est configurée pour sauvegarder le mot de passe dans Microsoft Entra ID, un événement 10022 est consigné. Voici un exemple d’événement 10022 :
The current LAPS policy is configured as follows:
Policy source: CSP
Backup directory: Azure AD
Local administrator account name: ContosoLocalAdminAccount
Password age in days: 7
Password complexity: 4
Password length: 64
Post authentication grace period (hours): 8
Post authentication actions: 3
Lorsque Windows LAPS est configuré pour utiliser une stratégie Microsoft LAPS héritée, un événement 10023 est consigné. Voici un exemple d’événement 10023 :
The current LAPS policy is configured as follows:
Policy source: Legacy LAPS
Backup directory: Active Directory
Local administrator account name:
Password age in days: 30
Password complexity: 4
Password length: 8
Password expiration protection enabled: 0
Ces valeurs spécifiques de paramètres de stratégie sont des exemples et ne doivent pas être considérées comme des recommandations.
Événements de confirmation de mise à jour du mot de passe
Lorsque Windows LAPS met à jour le répertoire configuré (Windows Server Active Directory ou Microsoft Entra ID) avec un nouveau mot de passe, un événement de réussite est enregistré : 10018 pour les mises à jour de mot de passe dans Windows Server Active Directory et 10029 pour les mises à jour de mot de passe dans Microsoft Entra ID.
Voici un exemple d’événement 10018 :
LAPS successfully updated Active Directory with the new password.
Voici un exemple d’événement 10029 :
LAPS successfully updated Azure Active Directory with the new password.
Lorsque le répertoire est mis à jour avec le nouveau mot de passe, Windows LAPS met également à jour le compte local géré. Un événement 10020 est enregistré en cas de succès.
Voici un exemple d’événement 10020 :
LAPS successfully updated the local admin account with the new password.
Account name: ContosoLocalAdminAccount
Account RID: 1087
Demande de modification de mot de passe externe bloquée
Lorsque Windows LAPS est activé, il protège le mot de passe du compte géré spécifié contre toute modification par une entité autre que Windows LAPS. Un événement 10031 est enregistré lorsqu’une tentative de modification du mot de passe est bloquée.
Voici un exemple d’événement 10031 :
LAPS blocked an external request that tried to modify the password of the current managed account.
Account name: ContosoLocalAdminAccount
Account RID: 1087
Événements d’action post-authentification
Lorsque des actions de post-authentification sont configurées, Windows LAPS surveille les authentifications réussies par le compte géré spécifié. Lorsqu’une authentification est détectée, un événement 10041 est enregistré.
Voici un exemple d’événement 10041 :
LAPS detected a successful authentication for the currently managed account. A background task has been scheduled to execute the configured post-authentication actions after the configured grace period has expired.%n
Account name: ContosoLocalAdminAccount
Account RID: 1087
Password reset timer deadline: %3%n
Lorsque l’échéance indiquée dans l’événement 10041 est atteinte, Windows LAPS consigne un événement 10042 :
The post-authentication grace period has expired per policy. The configured post-authentication actions will now be executed.
Account name: ContosoLocalAdminAccount
Account RID: 1087
Windows LAPS tente ensuite de faire pivoter le mot de passe et d’exécuter les actions de post-authentification spécifiées. Un événement 10044 est consigné lorsque la rotation du mot de passe réussit.
Voici un exemple d’événement 10044 :
LAPS successfully reset the password for the currently managed account and completed all configured post-authentication actions.%n
%n
Account name: ContosoLocalAdminAccount
Account RID: 1087
Si la rotation du mot de passe échoue, un événement 10043 est enregistré. Voici un exemple d’événement 10043 :
LAPS failed to reset the password for the currently managed account. The password is considered expired due to an authentication event. LAPS will continue retrying the password reset operation until it succeeds.
Account name: ContosoLocalAdminAccount
Account RID: 1087
Password reset retry count: 1
Error code: 80070032
Journal des événements du client et journal des événements du contrôleur de domaine AD
Le canal de journal des événements Windows LAPS contient les événements liés à l’ordinateur local agissant en tant que client. Le canal du journal des événements Windows LAPS sur un contrôleur de domaine Active Directory contient uniquement les événements liés à la gestion du compte DSRM local (s’il est activé) et ne contient jamais d’événements liés aux comportements des clients joints au domaine.