Vous pouvez installer l’application Microsoft LAPS dans votre environnement, où vous pouvez modifier manuellement ou automatiquement le mot de passe des comptes d’administrateur local de votre " Client » et « Serveurs » dans votre environnement de domaine, en utilisant le lien ci-dessous.
1. Téléchargement et installation de LAPS
2. Déploiement de l’application LAPS sur les périphériques clients avec GPO
Après avoir installé l’application sur le contrôleur de domaine, nous devons également distribuer l’application aux ordinateurs dont nous allons modifier le mot de passe. Pour cette raison, nous ouvrons d’abord un partage appelé Applications sur le serveur que nous utilisons pour les opérations de sauvegarde et copions le fichier d’installation ici.
L’installation de l’application sur les ordinateurs peut être effectuée individuellement si vous le souhaitez, mais dans les grandes structures, ce sera une énorme perte de temps, nous distribuerons et installerons notre application sur nos ordinateurs via la gestion des stratégies de groupe. Étant donné que nos ordinateurs sont situés sous l’unité d’organisation organisations dans la structure, nous créons notre objet de stratégie de groupe sous cette unité d’organisation. En sélectionnant un nouvel objet de stratégie de groupe, nous créons une nouvelle stratégie appelée LAPS.
Ensuite, nous passons à Configuration de l’ordinateur / Paramètres du logiciel / Installation du logiciel, Nouveau / Package.
Ici, il nous demande de montrer le fichier d’installation. Nous continuons en montrant notre dossier.
Nous continuons en sélectionnant Attribué sur l’écran qui apparaît sur la façon dont l’installation aura lieu.
Notre politique a été établie avec succès.
Maintenant, nous arrivons à l’un de nos ordinateurs et obtenons la stratégie avec la commande gpupdate / force, puis redémarrons notre machine. Lorsque nous vérifions après la mise sous tension de notre machine, nous pouvons voir que l’installation réussie de l’application LAPS est terminée.
3. Paramètres de stratégie de groupe
Après ces opérations, nous préparerons un objet de stratégie de groupe sur l’AD pour LAPS. En arrivant à l’écran Gestion des stratégies de groupe, nous créons une stratégie appelée LAPS sous l’unité d’organisation organisations. Après avoir créé notre politique, nous arrivons à Configuration informatique / Modèles d’administration / LAPS en disant modifier. Ici, nous cliquons sur Activer la gestion des mots de passe administrateurs locaux.
Sur l’écran qui s’affiche, nous rendons notre politique activée et disons Ok.
Ensuite, nous arrivons à la zone Paramètres de mot de passe et définissons ce paramètre sur Activé, puis nous définissons la stratégie de mot de passe.
Pour vérifier après la fin des opérations, nous prenons la stratégie avec la commande gpupdate/force comme une connexion à un ordinateur.
Merci pour les images et les descriptions publiées dans l’article.
4. Extension du schéma de structuration PowerShell
Ouvrez « PowerShell » sur votre serveur Active Directory.
AdmPwd.PS du module d’importationUpdate-AdmPwdADSchema
5. Étapes pour autoriser votre équipe informatique à gérer les mots de passe d’administrateur local.
Créons un « groupe de sécurité » nommé « Helpdesk » dans Active Directory. Jetons le personnel informatique que nous voulons autoriser dans ce groupe.
Dans l’environnement AD, ouvrez Power Shell.
Si les membres du groupe « Helpdesk » que vous créez pour votre équipe informatique gèrent les « Entités informatiques » sous lesquelles l’unité d’organisation, autorisons-les avec la commande suivante.
Set-AdmPwdReadPasswordPermission -OrgUnit LAPS -AllowedPrincipals Helpdesk
REMARQUE : « LAPS » est le nom de l’unité d’organisation où se trouvent mes ordinateurs. « Helpdesk » est le nom du groupe de sécurité que j’ai créé pour le personnel informatique que je vais déléguer.Vous devez autoriser les objets ordinateur des ordinateurs sous lesquels vous allez gérer les comptes d’administrateur local à l’aide de la commande suivante.
Dans notre version, les ordinateurs sont sous LAPS OU.
Set-AdmPwdComputerSelfPermission -OrgUnit LAPS
Voir toutes les entrées de blog par la richesse, ont pillé la ville, Latinos, dans le processus, il a perdu un Trade Center complètement d’attribut. Faisons les restrictions nécessaires pour que personne, à l’exception de votre équipe informatique, ne puisse voir les informations de mot de passe des comptes d’administrateur local.
Identifiez ceux qui font autorité :
Avec la commande suivante, identifions le « groupe » ou les « utilisateurs » qui sont autorisés à afficher les mots de passe des comptes « Administrateur local ».
AdmPwd.PS du module d’importationFind-AdmPwdExtendedrights -identity LAPS | Format-Table (LAPS est le nom de la commande d’édition de l’unité d’organisation en fonction de votre environnement)
Ouvrez « ADSI Edit » avec la commande CMD ci-dessous.
adsiedit. MscOuvrez l’écran « Propriétés » en appuyant sur le conteneur LAPS avec le bouton droit.
REMARQUE : LAPS est le nom de l’unité d’organisation dans laquelle les objets ordinateur sont situés dans notre structure.
Sur l’écran qui s’ouvre, cliquez sur notre bouton « Sécurité » puis « Avancé ».
Sélectionnons les personnes ou les groupes qui ne verront pas le mot de passe et modifier les heures dans l’ordre et cliquez sur le bouton « Modifier » .
Sur l’écran qui s’ouvre, décochons la fonction Tous les droits étendus.
Voir toutes les entrées de blog par la richesse, ont pillé la ville, Latinos, dans le processus, il a perdu un Trade Center complètement d’attribut. Contrôle
Sur un appareil qui est membre du serveur Active Directory ou du domaine où le programme LAPS est installé et sur lequel l’application LAPS est installée, cliquez sur l’icône de l’application LAPS avec MAJ + CLIC DROIT et cliquez sur « Ouvrir avec un autre utilisateur ». Après vous être connecté avec le personnel de l’équipe informatique ou les comptes d’administrateur de domaine que nous autorisons ici, vous pourrez voir le « Mot de passe » et la date d’expiration si vous entrez le nom de l’ordinateur de l’appareil où vous souhaitez apprendre le mot de passe administrateur local et « Rechercher ».
Le mot de passe et la date d’expiration sur l’AD se trouvent sous l’éditeur d’attributs des ordinateurs.
