LAPS : Microsoft Local Administrator Password Solution
Quel est le but?
C’est une solution permettant de gérer de manière centralisée le mot de passe des comptes Administrateurs LOCAUX des serveurs, postes dans un domaine AD, en mettant en place une stratégie de complexité et rotation automatique.
En d’autres termes, le mot de passe des comptes administrateurs locaux sera changé facilement, régulièrement, et surtout différent sur chaque poste.
Un mot de passe différent pour chaque compte permet d’éviter qu’un utilisateur ayant connaissance de ce mot de passe puisse s’en servir pour aller explorer tranquillement un autre ordinateur.
Comment met-on en œuvre ?
- Très simplement : Une petite extension Microsoft à déployer sur vos postes.. au travers d’une GPO, mettre en place les paramètres et installer une petite interface pour visualiser les mots de passe qui auront été attribués aux différents postes !
- Une petite demi-journée de préparatifs, et vous aurez un mot de passe administrateur local différent sur l’ensemble de vos postes et serveurs membres du domaine, renouvelé régulièrement, et accessible uniquement par les personnes dûment autorisées.
Y a t-il des subtilités ?
Nous pouvons gérer un compte local admin qui n’est pas le compte par défaut. Mais également fixer l’option d’expiration.
Nous pouvons tout autant autoriser le changement manuel du mot de passe par l’admin local. (il sera rechangé plus tard par LAPS lors du cycle de reset).
Il est aussi possible de faire des GPOS différentes, donc gérer différents comptes / différents mot de passe en fonction par exemple d’un service, d’une OU, etc.