Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Vous pouvez utiliser la solution de mot de passe d’administrateur local Windows (Windows LAPS) pour gérer les mots de passe des comptes d’administrateur local et les comptes DSRM (Domain Controller Directory Services Restore Mode). Cet article explique comment prendre en main Windows LAPS et Windows Server Active Directory. Il décrit les procédures de base pour utiliser Windows LAPS pour sauvegarder des mots de passe dans Windows Server Active Directory et les récupérer.
Exigences concernant le niveau fonctionnel du domaine et la version du système d’exploitation du contrôleur de domaine
Si votre niveau fonctionnel de domaine (DFL) est antérieur à 2016, vous ne pouvez pas activer le chiffrement de mot de passe Windows LAPS. Sans chiffrement de mot de passe :
- Vous pouvez configurer les clients pour stocker les mots de passe uniquement en texte clair, sécurisés par les listes de contrôle d’accès Windows Server Active Directory (ACL).
- Vous ne pouvez pas configurer les contrôleurs de domaine pour gérer leur compte DSRM local.
Lorsque votre domaine utilise une DFL de 2016 ou une version ultérieure, vous pouvez activer le chiffrement de mot de passe Windows LAPS. Toutefois, les contrôleurs de domaine Windows Server 2016 et versions antérieures que vous exécutez ne prennent pas en charge Windows LAPS. Par conséquent, ces contrôleurs de domaine ne peuvent pas utiliser la fonctionnalité de gestion des comptes DSRM.
Il est très bon d’utiliser Windows Server 2016 et les systèmes d’exploitation pris en charge précédemment sur vos contrôleurs de domaine tant que vous connaissez ces limitations.
Le tableau suivant récapitule les fonctionnalités prises en charge dans différents scénarios :
| Domain details | Stockage de mots de passe en texte clair pris en charge | Stockage de mots de passe chiffrés pris en charge (pour les clients joints à un domaine) | Gestion des comptes DSRM prise en charge (pour les contrôleurs de domaine) |
|---|---|---|---|
| DFL antérieure à 2016 | Yes | No | No |
| 2016 DFL avec un ou plusieurs contrôleurs de domaine Windows Server 2016 ou antérieurs | Yes | Yes | Oui, mais uniquement pour les contrôleurs de domaine Windows Server 2019 et versions ultérieures |
| DFL 2016 avec uniquement les contrôleurs de domaine Windows Server 2019 et versions ultérieures | Yes | Yes | Yes |
Nous vous recommandons vivement de procéder à la mise à niveau vers le système d’exploitation disponible le plus récent sur les clients, les serveurs et les contrôleurs de domaine afin de tirer parti des dernières fonctionnalités et améliorations de sécurité.
Préparation du système Active Directory
Suivez ces étapes avant de configurer vos appareils joints à Active Directory ou joints à un environnement hybride pour sauvegarder les mots de passe d’un compte managé dans Active Directory.
Note
Si vous envisagez de sauvegarder uniquement des mots de passe dans Microsoft Entra ID, vous n’avez besoin d’effectuer aucune de ces étapes, y-compris l’extension du schéma AD.
- Si vous utilisez le Magasin central des stratégies de groupe, copiez manuellement les fichiers de modèle de stratégie de groupe Windows LAPS dans le magasin central. Pour plus d’informations, consultez Configurer les paramètres de stratégie pour Windows LAPS.
- Analysez, déterminez et configurez les autorisations AD appropriées pour l’expiration et la récupération des mots de passe. Consultez Mots de passe Windows Server Active Directory.
- Analysez et déterminez les groupes autorisés appropriés pour le déchiffrement des mots de passe. Consultez Mots de passe Windows Server Active Directory.
- Créez une stratégie Windows LAPS qui cible le ou les appareils gérés avec les paramètres appropriés qui ont été définis aux étapes précédentes.
Mettre à jour le schéma Windows Server Active Directory
Avant de pouvoir utiliser Windows LAPS, vous devez mettre à jour le schéma Windows Server Active Directory. Vous pouvez effectuer cette action à l’aide de l’applet Update-LapsADSchema de commande. Il s’agit d’une opération unique pour l’ensemble de la forêt. Vous pouvez exécuter l’applet Update-LapsADSchema de commande localement sur un contrôleur de domaine Windows Server 2019 ou version ultérieure mis à jour avec Windows LAPS. Toutefois, vous pouvez également exécuter cette applet de commande sur un serveur qui n’est pas un contrôleur de domaine tant que le serveur prend en charge le module Windows LAPS PowerShell.
PS C:\> Update-LapsADSchema
Tip
Incluez le -Verbose paramètre dans la ligne de commande pour afficher des informations détaillées sur la progression de l’applet de commande pendant le traitement. Vous pouvez utiliser le -Verbose paramètre avec n’importe quelle applet de commande dans le module PowerShell LAPS.
Accordez à l’appareil géré l’autorisation de mettre à jour son mot de passe
Lorsque vous utilisez Windows LAPS pour gérer un mot de passe sur un appareil, cet appareil géré doit être autorisé à mettre à jour son mot de passe. Vous pouvez effectuer cette action en définissant des autorisations héritées sur l’unité d’organisation qui contient l’appareil. Vous pouvez utiliser l’applet Set-LapsADComputerSelfPermission de commande à cet effet, comme indiqué dans le code suivant :
PS C:\> Set-LapsADComputerSelfPermission -Identity NewLaps
Name DistinguishedName
---- -----------------
NewLAPS OU=NewLAPS,DC=laps,DC=com
Tip
Si vous préférez définir les autorisations héritables sur la racine du domaine, vous pouvez spécifier l’intégralité de la racine du domaine en utilisant le format d'entrée de nom distingué (DN). Par exemple, vous pouvez utiliser le -Identity paramètre avec un argument de DC=laps,DC=com.
Accorder des autorisations de requête de mot de passe
Les utilisateurs doivent être autorisés à interroger les mots de passe à partir d’Active Directory. Vous pouvez effectuer cette action en définissant des autorisations héritées sur l’unité d’organisation qui contient l’appareil. Vous pouvez utiliser l’applet Set-LapsADReadPasswordPermission de commande à cet effet, comme indiqué dans le code suivant :
PS C:\> Set-LapsADReadPasswordPermission -Identity NewLAPS -AllowedPrincipals @("laps\LapsPasswordReadersGroup")
Name DistinguishedName
---- -----------------
NewLAPS OU=NewLAPS,DC=laps,DC=com
Tip
Les membres du groupe Administrateurs de domaine disposent déjà de l’autorisation de requête de mot de passe par défaut.
Tip
Lorsqu’un utilisateur est autorisé à interroger un mot de passe à partir d’Active Directory qui n’implique pas automatiquement que l’utilisateur dispose de l’autorisation de déchiffrer un mot de passe chiffré. L’autorisation de déchiffrer un mot de passe chiffré est configurée à l’aide du ADPasswordEncryptionPrincipal paramètre de stratégie au moment où l’appareil stocke le mot de passe dans Active Directory. Le paramètre de stratégie par défaut pour ADPasswordEncryptionPrincipal est le groupe Administrateurs du domaine.
Accorder des autorisations d’expiration de mot de passe
Les utilisateurs doivent être autorisés à définir le délai d’expiration des mots de passe stockés dans Active Directory. Lorsqu’un mot de passe est marqué comme expiré dans Active Directory, l’appareil fait pivoter le mot de passe au prochain cycle de traitement. Les utilisateurs peuvent utiliser ce mécanisme pour raccourcir (ou étendre) le temps restant à la rotation de mot de passe attendue suivante.
Vous pouvez effectuer cette action en définissant des autorisations héritées sur l’unité d’organisation qui contient l’appareil. Vous pouvez utiliser l’applet Set-LapsADResetPasswordPermission de commande à cet effet, comme indiqué dans le code suivant :
PS C:\> Set-LapsADResetPasswordPermission -Identity NewLAPS -AllowedPrincipals @("laps\LapsPasswordExpirersGroup")
Name DistinguishedName
---- -----------------
NewLAPS OU=NewLAPS,DC=laps,DC=com
Tip
Les membres du groupe Administrateurs de domaine disposent déjà de l’autorisation d’expiration du mot de passe par défaut.
Tip
L’applet Set-LapsADPasswordExpirationTime de commande peut être utilisée pour définir le délai d’expiration du mot de passe d’un appareil donné dans Active Directory, une fois les autorisations accordées.
Interroger des autorisations de droits étendus
Certains utilisateurs ou groupes peuvent avoir la permission de droits supplémentaires sur l'unité organisationnelle de l'appareil géré. Cette situation pose problème, car les utilisateurs disposant de cette autorisation peuvent lire des attributs confidentiels et tous les attributs de mot de passe Windows LAPS sont marqués comme confidentiels.
Vous pouvez utiliser l’applet Find-LapsADExtendedRights de commande pour voir qui a cette autorisation, comme indiqué dans le code suivant :
PS C:\> Find-LapsADExtendedRights -Identity newlaps
ObjectDN ExtendedRightHolders
-------- --------------------
OU=NewLAPS,DC=laps,DC=com {NT AUTHORITY\SYSTEM, LAPS\Domain Admins}
Dans la sortie, seules les entités approuvées SYSTEM et les administrateurs de domaine disposent de l’autorisation. Aucune autre action n’est requise dans ce cas.
Configurer la stratégie d’appareil
Les sections suivantes vous expliquent comment configurer la politique d’appareil.
Choisir un mécanisme de déploiement de stratégie
La première étape consiste à choisir comment appliquer la stratégie sur vos appareils.
La plupart des environnements utilisent une stratégie de groupe Windows LAPS pour déployer les paramètres nécessaires sur leurs appareils joints à un domaine Windows Server Active Directory.
If your devices are also hybrid-joined to Microsoft Entra ID, you can deploy policy by using Microsoft Intune with the Windows LAPS configuration service provider (CSP).
Configurer des stratégies spécifiques
Au minimum, vous devez configurer le BackupDirectory paramètre en lui affectant la valeur 2. Cette valeur est utilisée pour sauvegarder les mots de passe dans Windows Server Active Directory.
Si vous ne configurez pas le AdministratorAccountName paramètre, Windows LAPS gère le compte d’administrateur local intégré par défaut. Ce compte intégré est automatiquement identifié à l’aide de son identificateur relatif connu (RID). Il ne doit jamais être identifié à l’aide de son nom. Le nom du compte d’administrateur local intégré varie en fonction des paramètres régionaux par défaut de l’appareil.
Si vous souhaitez configurer un compte d’administrateur local personnalisé, vous devez configurer le paramètre avec le AdministratorAccountName nom de ce compte.
Important
Si vous configurez Windows LAPS pour gérer un compte d’administrateur local personnalisé, vous devez vérifier que le compte est créé. Windows LAPS ne crée pas le compte. We recommend that you use the RestrictedGroups CSP to create the account.
Vous pouvez configurer d’autres paramètres, par exemple PasswordLength, si nécessaire pour votre organisation.
Lorsque vous ne configurez pas de paramètre donné, la valeur par défaut est appliquée. Veillez à comprendre les valeurs par défaut des paramètres. Par exemple, si vous activez le chiffrement de mot de passe mais que vous ne configurez pas le ADPasswordEncryptionPrincipal paramètre, le mot de passe est chiffré afin que seuls les administrateurs de domaine puissent le déchiffrer. Vous pouvez configurer ADPasswordEncryptionPrincipal avec un autre paramètre si vous souhaitez que les utilisateurs en plus des administrateurs de domaine puissent le déchiffrer.
Mettre à jour un mot de passe dans Windows Server Active Directory
Windows LAPS traite la stratégie appliquée chaque heure. Vous pouvez également démarrer le cycle de traitement manuellement, car Windows LAPS répond aux notifications de modification de stratégie de groupe.
Pour vérifier qu’un mot de passe est correctement mis à jour dans Windows Server Active Directory, recherchez dans le journal des événements un événement avec l’ID 10018 :
Pour éviter d’attendre après avoir appliqué la stratégie, vous pouvez exécuter l’applet Invoke-LapsPolicyProcessing de commande PowerShell pour traiter la stratégie immédiatement.
Récupérer un mot de passe dans Windows Server Active Directory
Vous pouvez utiliser l’applet Get-LapsADPassword de commande pour récupérer des mots de passe à partir de Windows Server Active Directory, comme indiqué dans le code suivant :
PS C:\> Get-LapsADPassword -Identity lapsAD2 -AsPlainText
ComputerName : LAPSAD2
DistinguishedName : CN=LAPSAD2,OU=NewLAPS,DC=laps,DC=com
Account : Administrator
Password : <password>
PasswordUpdateTime : 7/1/2022 1:23:19 PM
ExpirationTimestamp : 7/31/2022 1:23:19 PM
Source : EncryptedPassword
DecryptionStatus : Success
AuthorizedDecryptor : LAPS\Domain Admins
Dans cette sortie, la ligne indique que le Source chiffrement de mot de passe est activé. Le chiffrement de mot de passe nécessite que votre domaine soit configuré pour un DFL Windows Server 2016 ou version ultérieure.
Si vous êtes refusé d’accéder à l’interrogation du mot de passe, vous pouvez ajuster les autorisations de lecture du mot de passe. Consultez Définir les autorisations de requête de mot de passe.
Faire pivoter un mot de passe
Windows LAPS lit le délai d’expiration du mot de passe dans Windows Server Active Directory pendant chaque cycle de traitement de la stratégie. Si le mot de passe a expiré, un nouveau mot de passe est généré et stocké immédiatement.
Dans certains cas, vous souhaiterez peut-être faire pivoter le mot de passe tôt, par exemple après une violation de sécurité ou pendant les tests impromptu. Pour forcer manuellement une permutation de mot de passe, vous pouvez utiliser l’applet de commande Reset-LapsPassword.
Vous pouvez utiliser l’applet Set-LapsADPasswordExpirationTime de commande pour définir le délai d’expiration du mot de passe planifié stocké dans Windows Server Active Directory. Le code suivant définit l’heure d’expiration sur l’heure actuelle :
PS C:\> Set-LapsADPasswordExpirationTime -Identity lapsAD2
DistinguishedName Status
----------------- ------
CN=LAPSAD2,OU=NewLAPS,DC=laps,DC=com PasswordReset
La prochaine fois que Windows LAPS traite la stratégie actuelle, elle voit l’heure d’expiration du mot de passe modifiée et fait pivoter le mot de passe. Si vous ne souhaitez pas attendre le prochain cycle de traitement, vous pouvez exécuter l’applet de commande Invoke-LapsPolicyProcessing pour traiter la stratégie immédiatement.
Vous pouvez utiliser l’applet de commande Reset-LapsPassword pour forcer localement une permutation immédiate du mot de passe.
Récupérer des mots de passe pendant les scénarios de récupération d’urgence Windows Server Active Directory
Pour récupérer les mots de passe Windows LAPS (y compris les mots de passe DSRM), vous devez normalement disposer d’au moins un contrôleur de domaine Windows Server Active Directory. Dans un scénario catastrophique, tous les contrôleurs de domaine d’un domaine peuvent être en panne. Comment récupérer des mots de passe dans cette situation ?
Meilleures pratiques pour la gestion de Windows Server Active Directory conseillent régulièrement de sauvegarder tous les contrôleurs de domaine. Vous pouvez interroger les mots de passe Windows LAPS stockés dans une base de données Windows Server Active Directory de sauvegarde montée à l’aide de l’applet Get-LapsADPassword de commande PowerShell et en spécifiant le -Port paramètre.
Dans windows Insider build 27695 et versions ultérieures, l’applet Get-LapsADPassword de commande offre des fonctionnalités de récupération de mot de passe améliorées. Plus précisément, lorsque vous utilisez l'applet de commande Get-LapsADPassword et spécifiez à la fois les paramètres -Port et -RecoveryMode, la récupération de mot de passe réussit sans avoir besoin de contacter un contrôleur de domaine. En outre, vous pouvez exécuter Get-LapsADPassword en ce mode sur un ordinateur de groupe de travail (non joint à un domaine). Cette fonctionnalité est disponible dans les systèmes d’exploitation client et serveur.
Tip
Vous pouvez utiliser l’utilitaire pour monter le dsamain.exe support de sauvegarde Windows Server Active Directory et l’interroger sur le protocole LDAP (Lightweight Directory Access Protocol). L’outil dsamain.exe n’est pas installé par défaut. Il doit donc être ajouté. Vous pouvez utiliser l’applet Enable-WindowsOptionalFeature de commande pour l’activer.
- Sur les ordinateurs clients Windows, vous pouvez exécuter
Enable-WindowsOptionalFeature -Online -FeatureName DirectoryServices-ADAM-Client. - Sur une machine Windows Server, vous pouvez exécuter
Enable-WindowsOptionalFeature -Online -FeatureName DirectoryServices-ADAM.
Le code suivant interroge les mots de passe WINDOWS LAPS stockés dans une base de données de sauvegarde Windows Server Active Directory montée localement sur le port 50000 :
PS C:\> Get-LapsADPassword -Identity lapsDC -AsPlainText -Port 50000 -RecoveryMode
ComputerName : LAPSDC
DistinguishedName : CN=LAPSDC,OU=Domain Controllers,DC=laps,DC=com
Account : Administrator
Password : <password>
PasswordUpdateTime : 8/15/2024 10:31:51 AM
ExpirationTimestamp : 9/14/2024 10:31:51 AM
Source : EncryptedDSRMPassword
DecryptionStatus : Success
AuthorizedDecryptor : S-1-5-21-2127521184-1604012920-1887927527-35197
Important
Lorsque les mots de passe Windows LAPS chiffrés sont récupérés à partir d’une base de données de sauvegarde Windows Server Active Directory montée sur une machine de groupe de travail, le AuthorizedDecryptor champ est toujours affiché au format SID (Raw Security Identifier). L’ordinateur du groupe de travail ne peut pas traduire le SID en nom convivial.
See also
- Présentation de la solution de mot de passe d’administrateur local Windows avec Microsoft Entra ID (Azure AD)
- Solution de mot de passe d’administrateur local Windows dans Microsoft Entra ID
- RestrictedGroups CSP
- Microsoft Intune
- Prise en charge de Microsoft Intune de la solution LAPS Windows
- CSP Windows LAPS
- Conseils de résolution des problèmes Windows LAPS