02/12/2024

Configuration de la GPO LAPS

La dernière étape de la configuration, avant que l'on déploie le client LAPS sur les postes de travail à gérer, consiste à créer une GPO de configuration de LAPS. Cette GPO va contenir différents paramètres, notamment pour activer la gestion du compte Administrateur avec LAPS, ou encore pour définir la complexité du mot de passe généré aléatoirement par LAPS.

I. ADMX de LAPS

Nous devons commencer par importer les fichiers ADMX de LAPS sur notre contrôleur de domaine, à l'intérieur du dossier "PolicyDefinitions" (magasin central) puisqu'il sert à ajouter des modèles d'administration supplémentaires.

Pour récupérer le fichier ADMX et son fichier de langue ADML, nous devons aller sur le serveur où l'on a installé les outils d'administration de LAPS. Il y a deux fichiers à copier :

C:\Windows\PolicyDefinitions\AdmPwd.admx
C:\Windows\PolicyDefinitions\en-US\AdmPwd.adml

Il faut copier ces deux fichiers vers l'emplacement suivant (dans l'ordre) :

C:\Windows\SYSVOL\sysvol\it-connect.local\Policies\PolicyDefinitions
C:\Windows\SYSVOL\sysvol\it-connect.local\Policies\PolicyDefinitions\en-US
ADMX de LAPS
ADMX de LAPS

Ensuite, nous pouvons passer à la configuration de la GPO.

II. GPO pour LAPS

Pour créer la GPO, nous devons ouvrir la console d’édition des stratégies de groupe et créer une nouvelle GPO. Pour ma part, je vais nommer cette GPO "LAPS-Config" et l'appliquer sur mon OU "PC". C'est important de lier la GPO sur cette OU "PC" (à adapter selon votre configuration, bien sûr) et non sur une autre OU, car jusqu'ici nous avons géré les autorisations de LAPS sur cette OU.

Ensuite, modifiez la GPO via un clic droit "Modifier" et parcourez les paramètres comme ceci :

Configuration ordinateur > Stratégies > Modèles d'administration > LAPS

Ce modèle d'administration pour LAPS contient 4 paramètres, ce qui ne me semble pas insurmontable. Voici la signification de ces différents paramètres :

- Password Settings : définir la complexité du mot de passe, sa longueur et sa durée de vie

- Name of administrator account to manage : définir un compte administrateur à configurer autre que le compte Administrateur intégré à Windows. En effet, le compte Administrateur BUILT-IN est automatiquement détecté, grâce au SID (Identifiant de sécurité unique) même s’il est renommé. Si l'on cible le compte Administrateur intégré à Windows, il ne sera pas utile de configurer ce paramètre.

- Do not allow password expiration longer than required by policy : ne pas autoriser une expiration du mot de passe plus longue que le permet la stratégie définie au sein du paramètre "Password settings".

- Enable local admin password management : activer ou désactiver la gestion du mot de passe administrateur avec LAPS pour l'ordinateur cible.

Les paramètres de GPO de LAPS
Les paramètres de GPO de LAPS

Nous allons commencer par définir une stratégie de complexité des mots de passe via le paramètre "Password Settings". Avec la stratégie indiquée sur la copie d’écran ci-dessous, on obtient des mots de passe très complexes et qu'il sera très difficile de mémoriser. Par exemple, on peut obtenir « 6F5g@FRlb)1KE. »

laps16

Ensuite, nous allons activer deux autres paramètres donc il suffit de les basculer sur l'état "Activé" :

  • Enable local admin password management (indispensable pour activer LAPS)
  • Do not allow password expiration longer than required by policy

laps17

Le dernier paramètre ne sera pas configuré, car le compte "Administrateur" d'origine est utilisé sur mes postes de tests. Il conviendra de l'activer et le configurer en fonction de vos besoins. Vous pouvez fermer la GPO puisqu'elle est prête. Nous obtenons la configuration suivante :

Pour finir, profitons d'être sur la configuration de la GPO pour désactiver le traitement des paramètres utilisateurs puisque cette GPO contient uniquement des paramètres ordinateur. Effectuez un clic droit sur la GPO, puis sous "Etat GPO" cliquez sur "Paramètres de configuration utilisateurs désactivés".

Direction le prochain chapitre où nous allons apprendre à déployer le client LAPS sur nos postes clients...

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail