Dans la première partie nous avons :
- Installer LAPS sur le poste de management
- Etendue le schéma de l'annuaire AD
- Déléguer le droit d'enregistrer le mot de passe dans l'annuaire au compte de l'ordinateur
- Déléguer le droit de lire le mot de passe à un compte spécifique de l'équipe support.
Dans cette seconde partie, nous allons :
- Déployer la « dll » à l'aide des GPO
- Configurer le comportement des postes clients pour modifier et enregistrer le mot de passe dans l'AD
- Lire le mot de passe d'un compte administrateur local et ouvrir une session avec ce mot de passe sur le poste
Afin de déployer la dll sur les postes clients, vous pouvez configurez un partage réseau dans lequel vous trouverez les fichiers d'installations de LAPS.
Il suffit de créer une stratégie de groupe en utilisant la partie : Configuration ordinateur\ Stratégies\ Paramètre du logiciel \ Installation de logiciel » et en attribuant le « Maps.x--.msi » comme dans l'image ci-dessous. Vous pouvez consulter l'article suivant pour plus d'informations sur le déploiement d'application .msi avec les stratégies de groupe :http://pbarth.fr/node/253
Votre stratégie de groupe doit être lié à l'OU contenant les postes cibles.
Vous pouvez vous inspirez de la requête WMI ci-dessous et de l'article suivant, si vous souhaitez mettre en place un filtrage WMI afin de cibler les OS 32 ou 64 bits :
select * from Win32_OperatingSystem WHERE OSArchitecture like '64 bits'
Dans ce cas il vous sera possible de créer une GPO pour les systèmes x86 et une autre pour x64.
Si vous ne souhaitez pas attendre l'actualisation des stratégies de groupe, utilisez la commande « gpupdate /force » sur le poste de travail.
Vous devriez retrouver l'application « Local Administrator Password Solution » installé sur vos postes.
Après avoir installé la dll sur les postes, il vous faut configurer le comportement du poste à l'aide d'une stratégie de groupe. Dans l'exemple nous créons une deuxième stratégie « Activer LAPS ».
Nous retrouvons les paramètres de LAPS dans la partie « Configuration ordinateur / Stratégies / Modèles d'administrations / LAPS ».
Vous y trouverez quatre paramètres, permettant d'activer LAPS, de définir le nom du compte concerné et de gérer le changement de mot de passe.
Nous commençons par activer « Enable local admin password Manaement ». Puis dans « Password Settings » nous allons gérer les paramètres de mot de passe et de complexité utilisé par Laps ainsi que la durée de vie.
Dans le paramètre « Name of administator account to manage » indiquer le nom du compte concerné par la stratégie. En général le compte « administrateur » local de la machine, mais nous verrons dans cet exemple qu'il peut s'agir d'un autre compte.
Si vous souhaitez utiliser le compte administrateur par défaut de la machine, il vous faudra vérifier que ce dernier n'est pas désactivé. Il est possible d'activer le compte « administrateur » existant par défaut en utilisant le paramètre « Stratégies \ Paramètres Windows \ Paramètres de sécurité \ Stratégies Locales \ Options de sécurité \ Comptes : état de compte d'administrateur ». Si vous souhaitez utiliser un autre compte, celui-ci devra exister sur le poste en question. |
Le dernier paramètre permet d'éviter des problèmes de compatibilité avec la stratégie d'expiration de mot de passe appliqué habituellement aux comptes du poste.
Dans notre exemple nous avons configuré les valeurs suivantes :
Pour consulter le mot de passe du compte « Adm-local » que nous avons configuré dans les paramètres LAPS, vous pouvez utiliser l'outil graphique de « LAPS » .
Il vous suffira d'indiquer le nom du poste en question. Il est possible de le rechercher dans l'annuaire. Vous avez la possibilité de forcer le changement du mot de passe en modifiant la date d'expiration de ce dernier dans « New Expiration Time » puis en validant par « set ».
Vous pouvez également utiliser la commande PowerShell « Get-AdmPwdPassword » en indiquant le nom de la machine.
Une fois le mot de passe récupéré, il est possible d'ouvrir une session avec le compte administrateur du poste, sans utiliser de compte du domaine, ce qui peut être pratique lorsque les contrôleurs de domaine ne sont pas joignables. Les mots de passe sont différents pour chaque machine et se renouvellent automatiquement. L'accès aux mots de passe est restreint.