La configuration de la solution LAPS est réalisée via PowerShell (PowerShell V2 minimum), cette solution possède un module dédié nommé « AdmPwd.PS ». Ce module s’installe avec LAPS en sélectionnant l’option « PowerShell Module ». Avant l’installation et le déploiement de la solution il est préférable de se familiariser avec ce module.
Avant chaque opération LAPS via PowerShell, vous devez d’abord importer le module PowerShell « AdmPwd.PS » en exécutant l’une des deux commandes suivantes :
Ci-dessous vous trouverez la liste des Cmd-Lets inclus dans le module PowerShell.
Import-Module AdmPwd.PS
IpMo AdmPwd.PS |
Vous pouvez ensuite exécuter la commande suivante pour obtenir la liste complète des Cmd-lets fournis avec le module LAPS PS « AdmPwd.PS » :
Get-Command -Module AdmPwd.PS
Comme illustré dans la capture d’écran ci-dessous, le module « AdmPwd.PS » dispose de plusieurs Cmd-lets, celles-ci sont détaillées dans le tableau ci-dessous :
Cmd-Let /Explication |
Find-AdmPwdExtendedRights
Permet d’obtenir les groupes /comptes par OU ayant la permission de consulter les mots de passe. |
Get-AdmPwdPassword
Permet d’obtenir le mot de passe d’une machine. |
Reset-AdmPwdPassword
Permet de modifier la date d’expiration du mot de passe. |
Set-AdmPwdAuditing
Permet d’activer l’audit d’accès au mot de passe d’une machine. Créer l’événement 4662 sera consigné dans le journal des événements de sécurité des contrôleurs de domaine. |
Set-AdmPwdComputerSelfPermission
Permet de créer sur les OU dans Active Directory les délégations de contrôles pour les comptes ordinateurs. Ceux-ci peuvent modifier les attributs LAPS afin de renseigner le mot de passe. |
Set-AdmPwdReadPasswordPermission
Permet de créer sur les OU dans Active Directory les délégations de contrôles pour les groupes/utilisateurs. Ceux-ci peuvent afficher le mot de passe. |
Set-AdmPwdResetPasswordPermission
Permet de créer sur les OU dans Active Directory les délégations de contrôles pour les groupes /utilisateurs. Ceux-ci peuvent modifier la date d’expiration afin d forcer le changement du mot de passe. |
Update-AdmPwdADSchema
Permet de modifier le schéma AD en ajoutant les objets de type ordinateur les attributs suivants : ms-MCS-AdmPwd ms-Mcs-AdmPwdExpirationTime |
Ceci est un extrait de l’eBook « Microsoft LAPS – Déploiement et Configuration en Entreprise« .
L’eBook est disponible ici.
N’hésitez pas à consulter la table des matières pour en savoir plus.
#HK