Partager via


Bien démarrer avec Windows LAPS en mode d’émulation Microsoft LAPS hérité

Vous pouvez configurer une solution de mot de passe d’administrateur local Windows (Windows LAPS) pour respecter les paramètres de stratégie de groupe Microsoft LAPS hérité, mais avec certaines restrictions et limitations. La fonctionnalité est appelée mode d’émulation Microsoft LAPS hérité. Vous pouvez utiliser le mode d’émulation si vous migrez un déploiement existant de Microsoft LAPS hérité vers Windows LAPS.

Comme Microsoft LAPS, le mode d’émulation prend en charge le stockage des mots de passe dans Windows Server Active Directory uniquement sous forme de texte clair. Pour renforcer la sécurité, nous vous recommandons de migrer vers l’utilisation de Windows LAPS en mode natif afin de tirer parti du chiffrement de mot de passe.

Installation et configuration

Lorsque vous configurez Windows LAPS en mode d’émulation Microsoft LAPS hérité, Windows LAPS suppose que votre environnement Windows Server Active Directory est configuré pour exécuter Microsoft LAPS hérité. Pour plus d’informations sur la configuration de Microsoft LAPS hérité, consultez la documentation Microsoft LAPS hérité.

Conditions requises et limitations :

Les exigences et limitations suivantes s’appliquent à la prise en charge du mode d’émulation Microsoft LAPS hérité :

  • Windows LAPS ne prend pas en charge l’ajout du schéma Windows Server Active Directory de Microsoft LAPS hérité.

    Vous devez installer Microsoft LAPS hérité sur un contrôleur de domaine ou un autre client de gestion pour étendre votre schéma Windows Server Active Directory avec les éléments du schéma Microsoft LAPS hérité. Utilisez l’applet de commande Update-AdmPwdADSchema pour étendre le schéma. L’applet de commande Update-LapsADSchema de Windows LAPS n’ajoute pas les éléments du schéma Microsoft LAPS hérité.

  • Windows LAPS n’installe pas les fichiers de définition de stratégie de groupe Microsoft LAPS hérité.

    Pour définir et administrer des stratégies de groupe Microsoft LAPS hérité, vous devez installer Microsoft LAPS hérité sur un contrôleur de domaine ou un autre client de gestion.

  • Windows LAPS ne prend pas en charge la gestion des listes de contrôle d’accès (ACL) Active Directory Microsoft LAPS hérité.

    Pour gérer les listes de contrôle d’accès Windows Server Active Directory de Microsoft LAPS hérité, vous devez installer Microsoft LAPS hérité sur un contrôleur de domaine ou un autre client de gestion. Par exemple, pour utiliser l’applet de commande Set-AdmPwdComputerSelfPermissions.

  • Aucune autre stratégie Windows LAPS ne peut être appliquée à la machine.

    Si une stratégie Windows LAPS est présente sur la machine, elle est toujours prioritaire, quelle que soit la façon dont elle a été appliquée (fournisseur de services de configuration, objet de stratégie de groupe ou modification du Registre brut). Si une stratégie Windows LAPS est présente, une stratégie Microsoft LAPS hérité est toujours ignorée. Pour plus d’informations, consultez Paramètres de stratégie Windows LAPS.

  • Microsoft LAPS hérité ne doit pas être installé sur la machine.

    Cette restriction évite un scénario dans lequel Windows LAPS et Microsoft LAPS hérité tentent simultanément de gérer le même compte d’administrateur local. Le fait que deux entités gèrent le même compte constitue un risque de sécurité et n’est pas pris en charge.

    Pour la fonctionnalité d’émulation, la solution LAPS héritée de Microsoft est considérée comme installée si l’extension côté client (CSE) de la stratégie de groupe de la solution LAPS héritée de Microsoft est installée. Pour détecter l’extension, interrogez la valeur de Registre DllName sous cette clé de Registre :

    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}

    Lorsque la valeur DllName est présente et que la valeur fait référence à un fichier sur le disque (le fichier n’est pas chargé ou vérifié), Microsoft LAPS hérité est considéré comme installé.

  • La console de gestion Utilisateurs et ordinateurs Windows Server Active Directory ne prend pas en charge la lecture ou l’écriture d’attributs de schéma Microsoft LAPS hérité.

  • Windows LAPS ignore toujours une stratégie Microsoft LAPS héritée quand il est configuré sur un contrôleur de domaine Windows Server Active Directory.

  • Tous les paramètres de stratégie Windows LAPS qui ne sont pas pris en charge dans une stratégie LAPS héritée reprennent leurs valeurs par défaut ou désactivées.

    Par exemple, lorsque vous exécutez Windows LAPS en mode d’émulation Microsoft LAPS hérité, vous ne pouvez pas configurer Windows LAPS pour effectuer des tâches telles que le chiffrement des mots de passe ou l’enregistrement des mots de passe dans Microsoft Entra ID.

Si toutes ces contraintes sont satisfaites, Windows LAPS respecte les paramètres de stratégie de groupe Microsoft LAPS hérité. Le compte d’administrateur local géré spécifié est géré de la même façon que dans Microsoft LAPS hérité.

Désactivation du mode d’émulation de la solution LAPS héritée de Microsoft

Windows LAPS a une différence importante à prendre en compte lors de la planification d’un déploiement ou d’une migration depuis Microsoft LAPS hérité. Windows LAPS est toujours présent et actif une fois qu’un appareil a été joint à Microsoft Entra ID ou à Windows Server Active Directory. L’installation de l’extension CSE de Microsoft LAPS hérité est souvent utilisée comme mécanisme pour contrôler le moment où la stratégie Microsoft LAPS héritée est appliquée. En tant que fonctionnalité Windows intégrée, Windows LAPS commence à appliquer une stratégie Microsoft LAPS héritée dès qu’elle est appliquée à l’appareil. Une mise en application immédiate comme celle-ci peut être perturbatrice, par exemple si elle se produit pendant le workflow d’installation et de configuration d’un nouveau système d’exploitation.

Pour éviter cette perturbation potentielle, vous pouvez désactiver le mode d’émulation de Microsoft LAPS hérité en créant une valeur de Registre REG_DWORD nommée BackupDirectory sous la clé HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\Config et en la définissant sur la valeur zéro (0). Le fait de la définir sur cette valeur empêche Windows LAPS d’entrer en mode d’émulation de Microsoft LAPS hérité, que l’extension CSE de Microsoft LAPS hérité soit installée ou non. Cette valeur peut être utilisée de façon temporaire ou permanente. Quand une nouvelle stratégie Windows LAPS est configurée, cette nouvelle stratégie devient prioritaire. Pour plus d’informations sur l’ordre de priorité des stratégies LAPS Windows, consultez Configurer les paramètres de stratégie Windows LAPS.

Support administratif limité

L’applet de commande Get-LapsADPassword prend en charge la récupération de l’attribut de mot de passe Microsoft LAPS hérité (ms-Mcs-AdmPwd). Les champs Account et PasswordUpdateTime dans la sortie obtenue sont toujours vides. Exemple :

PS C:\> Get-LapsADPassword -Identity lapsAD2 -AsPlainText
ComputerName        : LAPSAD2
DistinguishedName   : CN=LAPSAD2,OU=LapsTestOU,DC=laps,DC=com
Account             :
Password            : SV6[y1n3JG+3l8
PasswordUpdateTime  :
ExpirationTimestamp : 7/31/2022 12:43:10 PM
Source              : LegacyLapsCleartextPassword
DecryptionStatus    : NotApplicable
AuthorizedDecryptor : NotApplicable

L’applet de commande Set-LapsADPasswordExpirationTime ne prend pas en charge l’expiration ou la modification de l’attribut d’expiration de mot de passe Microsoft LAPS hérité (ms-Mcs-AdmPwdExpirationTime).

La page de propriétés Windows LAPS dans la console de gestion Utilisateurs et ordinateurs Windows Server Active Directory ne prend pas en charge l’affichage ou l’administration des attributs Microsoft LAPS hérité.

Journalisation

Lorsque Windows LAPS s’exécute en mode d’émulation Microsoft LAPS hérité, un événement 10023 est journalisé pour détailler la configuration de la stratégie actuelle :

Capture d’écran du journal des événements montrant un message du journal des événements de configuration Microsoft LAPS.

Sinon, les événements journalisés par Windows LAPS quand il ne s’exécute pas en mode d’émulation Microsoft LAPS hérité sont également journalisés quand il s’exécute en mode d’émulation Microsoft LAPS hérité.

Voir aussi

Cet article n’aborde pas en détail la gestion d’autres aspects de Microsoft LAPS hérité. Pour plus d’informations, consultez la documentation Microsoft LAPS hérité dans la page de téléchargement :

Étapes suivantes