{"id":274,"date":"2019-10-12T16:07:26","date_gmt":"2019-10-12T14:07:26","guid":{"rendered":"https:\/\/homepages.lcc-toulouse.fr\/colombet\/?p=274"},"modified":"2019-10-23T08:03:08","modified_gmt":"2019-10-23T06:03:08","slug":"samba-mise-en-place-de-laps-local-administrator","status":"publish","type":"post","link":"https:\/\/homepages.lcc-toulouse.fr\/colombet\/samba-mise-en-place-de-laps-local-administrator\/","title":{"rendered":"samba – mise en place de LAPS"},"content":{"rendered":"

\"logo_laps\"<\/p>\n

Local Administrator Password Solutions<\/strong> (LAPS) est une solution fournie par Microsoft pour g\u00e9rer le compte de l'administrateur local sur les ordinateurs et les serveurs li\u00e9s \u00e0 un domaine. Microsoft LAPS \u00e9tend le sch\u00e9ma Active Directory pour stocker les mots de passe uniques des clients g\u00e9r\u00e9s par LAPS. Ce mot de passe est stock\u00e9 dans l'attribut ms-Mcs-AdmPwd. Par d\u00e9faut, les administrateurs de domaine peuvent lire cet attribut pour obtenir le mot de passe des comptes administrateurs locaux. Avec l'aide de PowerShell, nous pouvons configurer la d\u00e9l\u00e9gation pour permettre \u00e0 d'autres groupes ou utilisateurs de la voir et de la r\u00e9initialiser. LAPS Modifie p\u00e9riodiquement le mot de passe de l'administrateur local en fonction d'un calendrier que vous avez d\u00e9fini dans la strat\u00e9gie de groupe.<\/p>\n

<\/p>\n

Introduction \u00e0 LAPS<\/h1>\n

LAPS c\u2019est :<\/p>\n

* Un composant client effectuant la mise \u00e0 jour du mot de passe dans le contexte syst\u00e8me afin de l'envoyer aux contr\u00f4leurs de domaine Active Directory.\n* Le mot de passe est stock\u00e9 comme attribut dans l\u2019objet machine de l\u2019Active Directory.\n* Une GUI et le script permet de retrouver le mot de passe pour les utilisateurs habilit\u00e9s.\n* Un contexte de d\u00e9ploiement centralis\u00e9 via les GPO et les ADMX).\n<\/code><\/pre>\n
Voici un sch\u00e9ma d\u2019architecture de la solution LAPS :<\/p>\n
\"laps_arch\"<\/p>\n
D\u00e9ploiement partie client<\/h1>\n
LAPS est livr\u00e9 en fichier MSI <\/a> pour permettre d\u2019installer les composants clients et serveurs. L\u2019installation par d\u00e9faut n\u2019installe que les composants clients. Il est facile de scripter au login son installation avec la commande : msiexec \/i \\LAPS.x64.msi \/quiet<\/strong>. Il est possible d'utiliser une solution de d\u00e9ploiement type WAPT<\/a> des chez Tranquil.it<\/a> .<\/p>\n
\"\"<\/p>\n
La partie cliente de LAPS est une extension (CSE :Client Side Extension) qui s\u2019enregistre aupr\u00e8s du service client de strat\u00e9gies de groupe de Windows. Ce n'est pas un nouveau service \u00e0 g\u00e9rer mais bien un composant de l\u2019OS. Ce CSE va se retrouver par d\u00e9faut dans %programfiles%\\LAPS\\CSE\\AdmPws.dll .<\/p>\n
A chaque d\u00e9clenchement du CSE, il va v\u00e9rifier si le mot de passe a expir\u00e9 via l\u2019attribut ms-Mcs-AdmPwdExpirationTime de l'AS. Si le mot de passe est expir\u00e9, il y a r\u00e9g\u00e9n\u00e9ration du mot de passe selon les crit\u00e8res d\u00e9finies dans la GPO et mise \u00e0 jour des attributs : ms-Mcs-AdmPwd (mot de passe en clair) et ms-Mcs-AdmPwdExpirationTime (age du mot de passe).<\/p>\n
L\u2019\u00e9change du mot de passe entre la machine et le contr\u00f4leur de domaine se fait de mani\u00e8re authentifi\u00e9e par Kerberos et le transport par le dialogue s\u00e9curis\u00e9 avec LDAP. Seuls les administrateurs du domaine ont la possibilit\u00e9 de voir ces informations.<\/p>\n
D\u00e9ploiement partie infrastructure<\/h1>\n
Sur un serveur membre, installer les composants LAPS avec les droits d\u2019administrateur local du serveur. Ensuite vous devez disposer des droits administrateur du domaine.<\/p>\n
Les deux attributs mentionn\u00e9s pr\u00e9c\u00e9demment sont de nouveaux attributs \u00e0 ajouter au sch\u00e9ma Active Directory.
\nIl faut dans un premier temps \u00e9tendre le sch\u00e9ma en PowerShell ou via samba-tool.<\/p>\n
Installons LAPS avec les composants serveurs :<\/p>\n
\"\"<\/p>\n
On installe l\u2019environnement via une fen\u00eatre PowerShell et on proc\u00e8de \u00e0 l\u2019extension du sch\u00e9ma AD en utilisant la commande :<\/p>\n
Import-Module AdmPwd.Ps\nUpdate-AdmPwdADSchema\n<\/code><\/pre>\n
\"\"<\/p>\n
On va v\u00e9rifier et attribuer aux machines le droit de modifier ces attributs pour leur propre compte machine :<\/p>\n
Find-AdmPwdExtendedRights \u2013Identity "CN=Computers,DC=formation,DC=fr"\nObjectDN                                      ExtendedRightHolders\n--------                                      --------------------\nCN=Computers,DC=formation,DC=fr               {AUTORITE NT\\Syst\u00e8me, FORMATION\\Domain Admins}\n<\/code><\/pre>\n
Set-AdmPwdComputerSelfPermission -OrgUnit "CN=Computers,DC=formation,DC=fr"\nName                 DistinguishedName                                                 Status\n----                 -----------------                                                 ------\nComputers            CN=Computers,DC=formation,DC=fr                                   Delegated\n<\/code><\/pre>\n
\"2019-10-12<\/p>\n
D\u00e9ployer les strat\u00e9gies de groupe qui d\u00e9terminent le comportement du client LAPS. Par d\u00e9faut, LAPS positionne les fichiers ADMX et ADML sur le poste local, vous pouvez les placer dans le SYSVOL de l\u2019organisation en r\u00e9cup\u00e9rant les fichiers ci-dessous :<\/p>\n