Le projet consiste à installer et configurer la nouvelle version de LAPS (Local Administrator Password Solution) dans un environnement Active Directory (AD). Le but est de renforcer la sécurité des comptes administrateurs locaux sur les machines clientes en automatisant la gestion sécurisée des mots de passe, tout en facilitant leur récupération de manière contrôlée et sécurisée.
LAPS permet de gérer automatiquement et de manière sécurisée les mots de passe des comptes administrateurs locaux, réduisant ainsi les risques liés aux mots de passe fixes, connus ou faibles. Grâce à LAPS, chaque poste dispose d’un mot de passe administrateur unique et régulièrement renouvelé, évitant ainsi les problèmes de sécurité en cas de compromission d'un poste.
Installer la dernière version de LAPS.
Modifier le schéma Active Directory afin d'intégrer les attributs spécifiques à LAPS.
Vérifier et valider le bon fonctionnement de LAPS.
Documenter clairement les procédures d’installation, de récupération et de vérification.
1. Installation de LAPS
L'installation s'effectue via les outils officiels fournis par Microsoft, accessibles sur leur site officiel ou directement via la commande PowerShell suivante :
Install-Module -Name LAPS -AllowClobber
2. Modification du schéma AD
Pour intégrer les attributs nécessaires au stockage sécurisé des mots de passe dans Active Directory, exécutez les commandes PowerShell suivantes avec les droits appropriés :
Import-module LAPS
Update-LapsADSchema
Ces commandes créent les attributs nécessaires dans AD pour stocker les mots de passe générés.
3. Configuration des stratégies de groupe (GPO)
Créez une stratégie de groupe spécifique pour activer LAPS sur les postes concernés :
Activez la gestion des mots de passe administrateur locaux via LAPS.
Définissez la fréquence de changement du mot de passe.
Définissez les droits d'accès permettant de récupérer les mots de passe dans Active Directory.
4. Validation du fonctionnement
Vérifiez que LAPS fonctionne correctement en utilisant la commande suivante pour récupérer les mots de passe :
Get-LapsADPassword -Identity "NomOrdinateur"
Validez ensuite sur plusieurs machines clientes afin d'assurer le bon renouvellement des mots de passe selon la stratégie définie.
Les essais réalisés confirment que les mots de passe sont correctement générés, stockés et accessibles uniquement aux administrateurs autorisés. Cette configuration garantit une sécurité accrue tout en simplifiant l'administration des comptes locaux.
Ce projet démontre la mise en œuvre efficace de LAPS, qui constitue une solution sécurisée et recommandée par Microsoft pour la gestion des mots de passe administrateur locaux dans les environnements Active Directory.