Configurer les paramètres de stratégie pour Windows LAPS
Windows Local Administrator Password Solution (Windows LAPS) prend en charge divers paramètres que vous pouvez contrôler à l’aide de la stratégie. Découvrez les paramètres et comment les administrer.
Racines de stratégie prises en charge
Bien que nous ne le conseillions pas, vous pouvez administrer un appareil à l’aide de plusieurs mécanismes de gestion des stratégies. Pour prendre en charge ce scénario de manière compréhensible et prévisible, chaque mécanisme de stratégie Windows LAPS se voit attribuer une clé de Registre racine distincte :
| Nom de stratégie | Racine de clé de Registre de stratégie |
|---|---|
| CSP LAPS | HKLM\Software\Microsoft\Policies\LAPS |
| Stratégie de groupe LAPS | HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\LAPS |
| Configuration locale LAPS | HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\Config |
| Microsoft LAPS hérité | HKLM\Software\Policies\Microsoft Services\AdmPwd |
Windows LAPS interroge toutes les racines de stratégie de clé de Registre connues, du haut vers le bas. Si aucun paramètre n’est trouvé sous une racine, cette racine est ignorée et la requête passe à la racine suivante. Lorsqu’une racine qui a au moins un paramètre explicitement défini est trouvée, cette racine est utilisée comme stratégie active. S’il manque des paramètres à la racine choisie, leur valeur par défaut leur est attribuée.
Les paramètres de stratégie ne sont jamais partagés ou hérités entre les racines de clés de stratégie.
Conseil
Par souci d’exhaustivité, la clé de configuration locale LAPS est incluse dans le tableau précédent. Vous pouvez utiliser cette clé si nécessaire, mais elle est principalement destinée à être utilisée pour le test et le développement. Aucun outil de gestion ou mécanisme de stratégie ne cible cette clé.
Paramètres de stratégie pris en charge par BackupDirectory
Windows LAPS prend en charge plusieurs paramètres de stratégie que vous pouvez administrer via différentes solutions de gestion des stratégies, ou même directement via le Registre. Certains de ces paramètres s'appliquent uniquement lors de la sauvegarde de mots de passe dans Active Directory, et certains paramètres sont communs aux scénarios AD et Microsoft Entra.
Le tableau suivant spécifie quels paramètres s’appliquent aux appareils qui ont le paramètre spécifié BackupDirectory :
| Nom du paramètre | Applicable quand BackupDirectory=Microsoft Entra ID ? | Applicable quand BackupDirectory=AD ? |
|---|---|---|
| AdministratorAccountName | Oui | Oui |
| PasswordAgeDays | Oui | Oui |
| PasswordLength | Oui | Oui |
| PassphraseLength | Oui | Oui |
| PasswordComplexity | Oui | Oui |
| PostAuthenticationResetDelay | Oui | Oui |
| PostAuthenticationActions | Oui | Oui |
| ADPasswordEncryptionEnabled | Non | Oui |
| ADPasswordEncryptionPrincipal | Non | Oui |
| ADEncryptedPasswordHistorySize | Non | Oui |
| ADBackupDSRMPassword | Non | Oui |
| PasswordExpirationProtectionEnabled | Non | Oui |
| AutomaticAccountManagementEnabled | Oui | Oui |
| AutomaticAccountManagementTarget | Oui | Oui |
| AutomaticAccountManagementNameOrPrefix | Oui | Oui |
| AutomaticAccountManagementEnableAccount | Oui | Oui |
| AutomaticAccountManagementRandomizeName | Oui | Oui |
Si BackupDirectory est défini sur Désactivé, tous les autres paramètres sont ignorés.
Vous pouvez administrer presque tous les paramètres à l’aide de n’importe quel mécanisme de gestion des stratégies. Le fournisseur de services de configuration (CSP) Windows LAPS a deux exceptions à cette règle. Le CSP Windows LAPS prend en charge deux paramètres qui ne figurent pas dans le tableau précédent : ResetPassword et ResetPasswordStatus. De plus, le CSP Windows LAPS ne prend pas en charge le paramètre ADBackupDSRMPassword (les contrôleurs de domaine ne sont jamais gérés via CSP). Pour plus d’informations, consultez la documentation sur les fournisseurs CSP LAPS.
Stratégie de groupe Windows LAPS
Windows LAPS inclut un nouvel objet de stratégie de groupe que vous pouvez utiliser pour administrer les paramètres de stratégie sur les appareils joints à un domaine Active Directory. Pour accéder à la stratégie de groupe Windows LAPS, dans l’Éditeur de gestion des stratégies de groupe, accédez à Configuration ordinateur>Modèles d’administration>Système>LAPS. La figure suivante montre un exemple :
Le modèle pour ce nouvel objet de stratégie de groupe est installé dans le cadre de Windows à %windir%\PolicyDefinitions\LAPS.admx.
Store central d'objets de stratégie de groupe
Important
Les fichiers de modèle d’objet de stratégie de groupe Windows LAPS ne sont PAS automatiquement copiés dans votre store central d’objets de stratégie de groupe dans le cadre d’une opération de mise à jour corrective Windows Update, en supposant que vous avez choisi d’implémenter cette approche. Au lieu de cela, vous devez copier manuellement le fichier LAPS.admx à l’emplacement du magasin central GPO. Consultez Créer et gérer le Store central.
CSP Windows LAPS
Windows LAPS inclut un fournisseur de services de configuration (CSP) spécifique que vous pouvez utiliser pour appliquer les paramètres de stratégie sur les appareils joints à Microsoft Entra. Gérez le fournisseur de services de configuration Windows LAPS à l’aide de Microsoft Intune.
Appliquer des paramètres de stratégie
Les sections suivantes expliquent comment utiliser et appliquer différents paramètres de stratégie pour Windows LAPS.
BackupDirectory
Utilisez ce paramètre pour contrôler le répertoire dans lequel le mot de passe du compte géré est sauvegardé.
| Valeur | Description du paramètre |
|---|---|
| 0 | Désactivé (le mot de passe n’est pas sauvegardé) |
| 1 | Sauvegarder le mot de passe dans Microsoft Entra-uniquement |
| 2 | Sauvegarder le mot de passe dans Windows Server Active Directory uniquement |
Si ce paramètre n’est pas spécifié, il est défini par défaut sur 0 (Désactivé).
AdministratorAccountName
Utilisez ce paramètre pour configurer le nom du compte d’administrateur local géré.
S’il n’est pas spécifié, ce paramètre gère par défaut le compte d’administrateur local intégré.
Important
Ne spécifiez ce paramètre que si vous souhaitez gérer un compte autre que le compte d’administrateur local intégré. Le compte d’administrateur local est automatiquement identifié par son identificateur relatif (RID) connu.
Important
Vous pouvez configurer le compte spécifié (prédéfini ou personnalisé) comme activé ou désactivé. Windows LAPS gèrera le mot de passe de ce compte dans tous les cas. S’il est laissé dans un état désactivé, toutefois, le compte doit d’abord être activé pour être réellement utilisé.
Important
Si vous configurez Windows LAPS pour gérer un compte d’administrateur local personnalisé, vous devez vérifier que le compte est créé. Windows LAPS ne crée pas le compte.
Important
Ce paramètre est ignoré lorsque AutomaticAccountManagementEnabled est activé.
PasswordAgeDays
Ce paramètre contrôle l’âge maximal du mot de passe du compte d’administrateur local géré. Les valeurs prises en charge sont les suivantes :
- Minimum : 1 jour (lorsque l'annuaire de sauvegarde est configuré pour être Microsoft Entra ID, le minimum est de 7 jours.)
- Maximum : 365 jours
S’il n’est pas spécifié, ce paramètre est défini par défaut sur 30 jours.
Important
Les modifications apportées au paramètre de stratégie PasswordAgeDays n’ont aucun effet sur le délai d’expiration du mot de passe actuel. De même, les modifications apportées au paramètre de stratégie PasswordAgeDays ne provoqueront pas la rotation du mot de passe sur l’appareil géré.
PasswordLength
Utilisez ce paramètre pour configurer la longueur du mot de passe du compte d’administrateur local géré. Les valeurs prises en charge sont les suivantes :
- Minimum : 8 caractères
- Maximum : 64 caractères
S’il n’est pas spécifié, ce paramètre est défini par défaut sur 14 caractères.
Important
Ne configurez pas PasswordLength avec une valeur incompatible avec la stratégie de mot de passe local de l’appareil géré. L’échec de la création d’un nouveau mot de passe compatible par Windows LAPS s’ensuit (recherchez un événement 10027 dans le journal des événements Windows LAPS).
Le paramètre PasswordLength est ignoré sauf si PasswordComplexity est configuré pour l’une des options de mot de passe.
PassphraseLength
Utilisez ce paramètre pour configurer le nombre de mots dans la phrase secrète du compte d’administrateur géré au niveau local. Les valeurs prises en charge sont les suivantes :
- Minimum : 3 mots
- Maximum : 10 mots
S’il n’est pas spécifié, ce paramètre est défini par défaut sur 6 mots.
Le paramètre PassphraseLength est ignoré sauf si PasswordComplexity est configuré pour l’une des options de phrase secrète.
PasswordComplexité
Utilisez ce paramètre pour configurer la complexité de mot de passe requise pour le compte d’administrateur géré au niveau local, ou pour spécifier qu’une phrase secrète est créée.
| Valeur | Description du paramètre |
|---|---|
| 1 | Lettres majuscules |
| 2 | Lettres majuscules + lettres minuscules |
| 3 | Lettres majuscules + lettres minuscules + chiffres |
| 4 | Lettres majuscules + lettres minuscules + chiffres + caractères spéciaux |
| 5 | Lettres majuscules + lettres minuscules + chiffres + caractères spéciaux (lisibilité améliorée) |
| 6 | Phrase secrète (mots longs) |
| 7 | Phrase secrète (mots courts) |
| 8 | Phrase secrète (mots courts avec préfixes uniques) |
Si ce paramètre n’est pas spécifié, il est défini par défaut sur 4.
Important
Windows prend en charge les paramètres de complexité de mot de passe inférieurs (1, 2 et 3) uniquement pour la compatibilité descendante avec Microsoft LAPS hérité. Nous vous recommandons de toujours configurer ce paramètre sur 4.
Important
Ne configurez pas PasswordComplexity avec un paramètre incompatible avec la stratégie de mot de passe local de l’appareil géré. L’échec de la création d’un nouveau mot de passe compatible par Windows LAPS s’ensuit (recherchez un événement 10027 dans le journal des événements Windows LAPS).
PasswordExpirationProtectionEnabled
Utilisez ce paramètre pour configurer l’application d’une durée de vie maximale du mot de passe pour le compte d’administrateur local géré.
Les valeurs prises en charge sont soit 1 (Vrai), soit 0 (Faux).
Si ce paramètre n’est pas spécifié, il est défini par défaut sur 1 (Vrai).
Conseil
En mode Microsoft LAPS hérité, ce paramètre est défini par défaut sur Faux pour assurer la rétrocompatibilité.
ADPasswordEncryptionEnabled
Utilisez ce paramètre pour activer le chiffrement des mots de passe dans Active Directory.
Les valeurs prises en charge sont soit 1 (Vrai), soit 0 (Faux).
Important
L’activation de ce paramètre nécessite que votre domaine Active Directory s’exécute au Niveau fonctionnel du domaine 2016 ou ultérieur.
ADPasswordEncryptionPrincipal
Utilisez ce paramètre pour configurer le nom ou l’identificateur de sécurité (SID) d’un utilisateur ou d’un groupe qui peut déchiffrer le mot de passe stocké dans Active Directory.
Ce paramètre est ignoré si le mot de passe est actuellement stocké dans Azure.
S’il n’est pas spécifié, seuls les membres du groupe Administrateurs du domaine dans le domaine de l’appareil peuvent déchiffrer le mot de passe.
S’il est spécifié, l’utilisateur ou le groupe spécifié peut déchiffrer le mot de passe stocké dans Active Directory.
Important
La chaîne qui est stockée dans ce paramètre est un SID sous forme de chaîne ou le nom complet d’un utilisateur ou d’un groupe. Voici quelques exemples valides :
S-1-5-21-2127521184-1604012920-1887927527-35197contoso\LAPSAdminslapsadmins@contoso.com
Le principal identifié (par le biais du SID ou par le biais du nom d’utilisateur ou de groupe) doit exister et être résolu par l’appareil.
REMARQUE : les données spécifiées dans ce paramètre sont saisies telles quelles ; par exemple, n’ajoutez pas de guillemets ou de parenthèses englobants.
Ce paramètre est ignoré sauf si ADPasswordEncryptionEnabled est configuré sur Vrai et que toutes les autres conditions préalables sont remplies.
Ce paramètre est ignoré lorsque les mots de passe de compte en mode de restauration des services d’annuaire (DSRM) sont sauvegardés sur un contrôleur de domaine. Dans ce scénario, ce paramètre est toujours défini par défaut sur le groupe Administrateurs du domaine du contrôleur de domaine.
ADEncryptedPasswordHistorySize
Utilisez ce paramètre pour configurer le nombre de mots de passe chiffrés précédents mémorisés dans Active Directory. Les valeurs prises en charge sont les suivantes :
- Minimum : 0 mot de passe
- Maximum : 12 mots de passe
S’il n’est pas spécifié, ce paramètre est défini par défaut sur 0 mot de passe (désactivé).
Important
Ce paramètre est ignoré sauf si ADPasswordEncryptionEnabled est configuré sur Vrai et que toutes les autres conditions préalables sont remplies.
Ce paramètre s’applique également aux contrôleurs de domaine qui sauvegardent leurs mots de passe DSRM.
ADBackupDSRMPassword
Utilisez ce paramètre pour activer la sauvegarde du mot de passe du compte DSRM sur les contrôleurs de domaine Windows Server Active Directory.
Les valeurs prises en charge sont soit 1 (Vrai), soit 0 (Faux).
Ce paramètre est défini par défaut sur 0 (Faux).
Important
Ce paramètre est ignoré sauf si ADPasswordEncryptionEnabled est configuré sur Vrai et que toutes les autres conditions préalables sont remplies.
PostAuthenticationResetDelay
Utilisez ce paramètre pour spécifier la durée (en heures) à attendre après une authentification avant d’exécuter les actions post-authentification spécifiées (veuillez consulter la section PostAuthenticationActions). Les valeurs prises en charge sont les suivantes :
- Minimum : 0 heure (la définition de cette valeur sur 0 désactive toutes les actions post-authentification)
- Maximum : 24 heures
S’il n’est pas spécifié, ce paramètre est défini par défaut sur 24 heures.
PostAuthenticationActions
Utilisez ce paramètre pour spécifier les actions à entreprendre à l’expiration de la période de grâce configurée (veuillez consulter la section PostAuthenticationResetDelay).
Ce paramètre peut avoir l’une des valeurs suivantes :
| Valeur | Nom | Actions entreprises à l’expiration de la période de grâce | Commentaires |
|---|---|---|---|
| 1 | Réinitialiser le mot de passe | Le mot de passe du compte géré est réinitialisé. | |
| 3 | Réinitialiser le mot de passe et se déconnecter | Le mot de passe du compte géré est réinitialisé, les sessions de connexion interactives utilisant le compte géré sont arrêtées et les sessions SMB utilisant le compte géré sont supprimées. | Les sessions de connexion interactive reçoivent un avertissement non configuré de deux minutes pour enregistrer leur travail et se déconnecter. |
| 5 | Réinitialiser le mot de passe et redémarrer | Le mot de passe du compte géré est réinitialisé et l’appareil géré est redémarré. | L’appareil géré est redémarré après un délai non configuré d’une minute. |
| 11 | Réinitialiser le mot de passe et se déconnecter | Le mot de passe du compte géré est réinitialisé, les sessions de connexion interactives utilisant le compte géré sont terminées, les sessions SMB utilisant le compte géré sont supprimées et tous les processus restants exécutés sous l’identité du compte géré sont supprimés. | Les sessions de connexion interactive reçoivent un avertissement non configuré de deux minutes pour enregistrer leur travail et se déconnecter. |
Si ce paramètre n’est pas spécifié, il est défini par défaut sur 3.
Important
Les actions post-authentification autorisées sont destinées à limiter la durée pendant laquelle un mot de passe Windows LAPS peut être utilisé avant d’être réinitialisé. La déconnexion du compte géré ou le redémarrage de l’appareil sont des options qui permettent de s’assurer que le temps est limité. L’arrêt brutal de sessions de connexion ou le redémarrage soudain de l’appareil peut entraîner une perte de données.
Du point de vue de la sécurité, un utilisateur malveillant qui acquiert des privilèges d’administration sur un appareil en utilisant un mot de passe Windows LAPS valide a la possibilité ultime d’empêcher ou de contourner ces mécanismes.
Important
La valeur 11 pour PostAuthenticationActions est uniquement prise en charge dans Windows 11 24H2, Windows Server 2025 et les versions ultérieures.
AutomaticAccountManagementEnabled
Utilisez ce paramètre pour activer la gestion automatique des comptes.
Les valeurs prises en charge sont soit 1 (Vrai), soit 0 (Faux).
Ce paramètre est défini par défaut sur 0 (Faux).
AutomaticAccountManagementTarget
Utilisez ce paramètre pour spécifier si le compte Administrateur intégré est géré automatiquement ou s’il s’agit d’un nouveau compte personnalisé.
| Valeur | Description du paramètre |
|---|---|
| 0 | Gérer automatiquement le compte Administrateur intégré |
| 1 | Gérer automatiquement un nouveau compte personnalisé |
Ce paramètre est défini par défaut sur 1.
Ce paramètre est ignoré sauf si AutomaticAccountManagementEnabled est activé.
AutomaticAccountManagementNameOrPrefix
Utilisez ce paramètre pour spécifier le nom ou le préfixe de nom du compte géré automatiquement.
Le paramètre a la valeur WLapsAdmin par défaut.
Ce paramètre est ignoré sauf si AutomaticAccountManagementEnabled est activé.
AutomaticAccountManagementEnableAccount
Utilisez ce paramètre pour activer ou désactiver le compte géré automatiquement.
| Valeur | Description du paramètre |
|---|---|
| 0 | Désactiver le compte géré automatiquement |
| 1 | Activer le compte géré automatiquement |
Ce paramètre est défini par défaut sur 0.
Ce paramètre est ignoré sauf si AutomaticAccountManagementEnabled est activé.
AutomaticAccountManagementRandomizeName
Utilisez ce paramètre pour activer la randomisation du nom du compte géré automatiquement.
Lorsque ce paramètre est activé, le nom du compte géré (déterminé par le paramètre AutomaticAccountManagementNameOrPrefix) est suffixé avec un suffixe aléatoire de six chiffres chaque fois que le mot de passe est modifié.
Les noms de compte local Windows ont une longueur maximale de 20 caractères, ce qui signifie que le composant de nom doit avoir au maximum 14 caractères pour avoir suffisamment d’espace pour le suffixe aléatoire. Les noms de comptes spécifiés par AutomaticAccountManagementNameOrPrefix qui dépassent 14 caractères sont tronqués.
| Valeur | Description du paramètre |
|---|---|
| 0 | Ne pas rendre aléatoire le nom du compte géré automatiquement |
| 1 | Rendre aléatoire le nom du compte géré automatiquement |
Ce paramètre est défini par défaut sur 0.
Ce paramètre est ignoré sauf si AutomaticAccountManagementEnabled est activé.
Valeurs de politique par défaut de Windows LAPS
Tous les paramètres de politique de Windows LAPS ont une valeur par défaut. La valeur par défaut est appliquée chaque fois qu’un administrateur ne configure pas un paramètre particulier. La valeur par défaut est également appliquée chaque fois qu’un administrateur configure un paramètre particulier avec une valeur non prise en charge.
| Nom du paramètre | Valeur par défaut |
|---|---|
| BackupDirectory | Désactivé |
| AdministratorAccountName | Null\vide |
| PasswordAgeDays | 30 |
| PasswordLength | 14 |
| PassphraseLength | 6 |
| PasswordComplexité | 4 |
| PostAuthenticationResetDelay | 24 |
| PostAuthenticationActions | 3 (Réinitialiser le mot de passe et se déconnecter) |
| ADPasswordEncryptionEnabled | True |
| ADPasswordEncryptionPrincipal | Administrateurs du domaine |
| ADEncryptedPasswordHistorySize | 0 |
| ADBackupDSRMPassword | False |
| PasswordExpirationProtectionEnabled | True |
| AutomaticAccountManagementEnabled | False |
| AutomaticAccountManagementTarget | Oui |
| AutomaticAccountManagementNameOrPrefix | Oui |
| AutomaticAccountManagementEnableAccount | False |
| AutomaticAccountManagementRandomizeName | False |
Important
ADPasswordEncryptionPrincipal est une exception à la règle de configuration incorrecte. Ce paramètre est par défaut « Domain Admins » uniquement lorsque le paramètre n’est pas configuré. Dans le cas où un nom d’utilisateur ou de groupe invalide est spécifié, cela entraînera un échec du traitement de la politique et le mot de passe du compte géré ne sera pas sauvegardé.
Gardez ces valeurs par défaut à l’esprit lors de la configuration des nouvelles fonctionnalités de Windows LAPS, par exemple le support de la phrase de passe. Si vous configurez une politique avec une valeur PasswordComplexity de 6 (phrases de passe longues), puis appliquez cette politique à un ancien système d’exploitation qui ne prend pas en charge cette valeur, le système d’exploitation cible utilisera la valeur par défaut de 4. Pour éviter ce résultat, créez deux politiques différentes : une pour l’ancien système d’exploitation et une pour le nouveau.