none
LAPS modification schema RRS feed

  • Question

  • Bonjour,

    je souhaite monter une maquette de test pour LAPS.

    Je vais me service d'un poste virtualisé pour effectuer mes tests. Ce poste à été placé dans une OU de test dans mon OU Ordinateur.

    Il faut que je modifie le schema de mon AD pour rajouter les attributs de LAPS, puis placer les droits de R et RW de ces attributs pour des groupes.

    Je ne voudrais pas faire la modif pour tout mon parc pour le moment, même si la future GPO ne sera placé que sur ce serveur de test. Faut-il que je sorte mon OU de test en dehors de l'OU Ordinateur pour bien l'isoler ou bien je peux la laisser à l'intérieur car seul la GPO aura le pouvoir de modification des mots de passe ? 

    Izhocell

    mardi 7 mai 2019 08:49

Réponses

  • Il ne faut pas installer la partie cliente de LAPS sur un DC.

    Les seuls composants de LAPS qui peuvent être installé sur un DC sont ceux de management.

    Si vous installez le CSE (client LAPS) sur un DC, vous risquez de perdre le mot de passe du compte administareur de votre domaine.

    ##################################

    L’extension du schéma n'est à réaliser qu'une seule fois sur l'un de vos DC.

    Cette extension met à jour le schéma AD et celui-ci est réplique sur l'ensemble des autres DC.

    ##################################

    Sur une machine de test dans votre cat celle-ci est dans une OU de test.

    Vous réalisez les délégations nécessaires pour que la machine de test puisse modifier les deux attributs ajoutés et que vos administrateurs puissent voir le ot de passe et réinitialiser la date d'expiration.

    ##################################

    La clef de registre pour activer le début est à configurée coté client.

    HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}\

    ##################################

    En sommes au même stade ?


    Benoit

    • Marqué comme réponse Izho_cell mardi 7 mai 2019 15:25
    mardi 7 mai 2019 14:02
  • De rien :)

    Je vous passe tout le blabla sur la planification, la vérification des OS compatible ect...

    En faites, le déploiement de LAPS c'est :
    - 1 : Étendre le schéma AD.
    - 2 : Déployer le CSE (msiexec.exe /i LAPS.msi) l'installation par défaut est uniquement le client.
    - 3 : Importer les ADMX/ADML dans le magasin central du Sysvol.
    - 4 : Créer la GPo de configuration du CSE
    - 5 : Réaliser la délégation sur les comptes ordinateurs pour que ceux-ci puissent écrire dans sur leur compte AD. (Le CSE va renseigner lui-même le mot de passe et la date d'expiration de celui-ci).

    La délégation de l'étape 5 est réalisée avec la commande Set-AdmPwdComputerSelfPermission.
    Syntaxe :
    Import-Module AdmPwd.PS
    Set-AdmPwdComputerSelfPermission -OrgUnit "OU=OUDeMesComptesOrdinateurs,DC=DOMAIN,DC=LOCAL" -Verbose
    Cette commande s'applique sur les OU enfants aussi.

    A ce stade LAPS devrait fonctionner.

    Ensuite vous avec deux délégations à réaliser pour la partie accès des utilisateurs (s'appliquent à une OU et sous OU) :

    Donne le droit de lire le PWD
    Set-AdmPwdReadPasswordPermission -OrgUnit "OU=OUDeMesComptesOrdinateurs,DC=DOMAIN,DC=LOCAL" -AllowedPrincipals 'GPR_HelpDesk'

    Donne le droit de lire le PWD et modifier la date d'expiration.
    Set-AdmPwdResetPasswordPermission -OrgUnit -OrgUnit "OU=OUDeMesComptesOrdinateurs,DC=DOMAIN,DC=LOCAL" -AllowedPrincipals 'GPR_Administrateurs'

    /!\ Le mot de passe est toujours généré aléatoirement et ne peut pas être setté à la main. Même en forsant le contenu de l'AD.

    Par contre, vous pouvez configurer un autre compte à manager (autre sur le compte SID-XXXXXX-500) et un compte membre du group Adminitrateurs local peut-être créé lors du déploiement du client LAPS avec :
    msiexec.exe /i LAPS.MSI CUSTOMADMINNAME=[UserName]

    En espérant vous avoir aidé.

    Cordialement

    Benoit

    • Marqué comme réponse Izho_cell mardi 7 mai 2019 15:25
    mardi 7 mai 2019 10:51

Toutes les réponses

  • Bonjour,


    Coté AD, vous serez obligé de faire l’extension de schéma, cette extension ajoute deux champs sur les objets computer :

    - ms-mcs-admpwd --> MDP du compte machine

    - ms-mcs-admpwdexpirationtime --> Expiration du MDP


    Commande Powershell pour l'extention : Update-AdmPwdADSchema

    Puis les délégation s pour les comptes machines (Set-AdmPwdComputerSelfPermission ) et les utilisateurs (Set-AdmPwdReadPasswordPermission et Set-AdmPwdResetPasswordPermission) se font à l'OU.

    Donc pour les test, une petite OU à part où seront appliquées les 2/3 commandes de délégation et la GPO de configuration devrait suffire.


    Cordialement


    Benoit


    • Modifié Benoit N mardi 7 mai 2019 09:19
    mardi 7 mai 2019 09:18
  • Merci pour votre réponse.

    Je vais essayer ça, et lorsque mes tests seront validés, il faudra juste que je retape les commandes de délégations pour les OU de prod ?

    Izhocell

    mardi 7 mai 2019 09:57
  • De rien :)

    Je vous passe tout le blabla sur la planification, la vérification des OS compatible ect...

    En faites, le déploiement de LAPS c'est :
    - 1 : Étendre le schéma AD.
    - 2 : Déployer le CSE (msiexec.exe /i LAPS.msi) l'installation par défaut est uniquement le client.
    - 3 : Importer les ADMX/ADML dans le magasin central du Sysvol.
    - 4 : Créer la GPo de configuration du CSE
    - 5 : Réaliser la délégation sur les comptes ordinateurs pour que ceux-ci puissent écrire dans sur leur compte AD. (Le CSE va renseigner lui-même le mot de passe et la date d'expiration de celui-ci).

    La délégation de l'étape 5 est réalisée avec la commande Set-AdmPwdComputerSelfPermission.
    Syntaxe :
    Import-Module AdmPwd.PS
    Set-AdmPwdComputerSelfPermission -OrgUnit "OU=OUDeMesComptesOrdinateurs,DC=DOMAIN,DC=LOCAL" -Verbose
    Cette commande s'applique sur les OU enfants aussi.

    A ce stade LAPS devrait fonctionner.

    Ensuite vous avec deux délégations à réaliser pour la partie accès des utilisateurs (s'appliquent à une OU et sous OU) :

    Donne le droit de lire le PWD
    Set-AdmPwdReadPasswordPermission -OrgUnit "OU=OUDeMesComptesOrdinateurs,DC=DOMAIN,DC=LOCAL" -AllowedPrincipals 'GPR_HelpDesk'

    Donne le droit de lire le PWD et modifier la date d'expiration.
    Set-AdmPwdResetPasswordPermission -OrgUnit -OrgUnit "OU=OUDeMesComptesOrdinateurs,DC=DOMAIN,DC=LOCAL" -AllowedPrincipals 'GPR_Administrateurs'

    /!\ Le mot de passe est toujours généré aléatoirement et ne peut pas être setté à la main. Même en forsant le contenu de l'AD.

    Par contre, vous pouvez configurer un autre compte à manager (autre sur le compte SID-XXXXXX-500) et un compte membre du group Adminitrateurs local peut-être créé lors du déploiement du client LAPS avec :
    msiexec.exe /i LAPS.MSI CUSTOMADMINNAME=[UserName]

    En espérant vous avoir aidé.

    Cordialement

    Benoit

    • Marqué comme réponse Izho_cell mardi 7 mai 2019 15:25
    mardi 7 mai 2019 10:51
  • Merci pour l'explication détaillé.

    Ca ne répond pas vraiment à ma question.

    Là je vais le faire pour mon OU de TEST, mais demain une fois que mes tests seront fini je vais devoir le faire pour les OU Ordinateur et Serveur.

    Faudra-t-il que je retape les commandes de délégations ?

    Izhocell

    mardi 7 mai 2019 11:44
  • Désolé, je vais essayer d'être plus clair :)

    L’extension du schéma AD est globale.

    Par contre, pour les délégations réalisées avec les commandes :
    - Set-AdmPwdComputerSelfPermission
    - Set-AdmPwdReadPasswordPermission
    - Set-AdmPwdResetPasswordPermission

    Doivent être passées sur chaque OU 'parentes' où vous souhaitez donner les droits.

    Si vous avez une organisation d'OU comme ci-dessous :
    -OU=Computers
    --OU=France
    ---OU=TestLAPS

    Si vous réalisez la délégation sur l'OU 'TestLAPS' seul les comptes présents dans cette OU auront la délégation.
    Par contre, lorsque vous allez déployer en prod, si vous réalisez la délégation sur l'OU 'Computers', les comptes dans cette OU et les sous OU auront la délégation (par héritage).
    Donc pour le passage en prod, oui, vous allez devoir refaire la délégation sur les OU 'parentes' concernées.

    Est-ce j'ai mieux expliqué et répondu à la bonne question ?

    Cordialement

    Benoit

    mardi 7 mai 2019 12:00
  • Je pense que je vais avoir un soucis.

    L'extension du schema travail sur le conteneur par défaut "Computers", or moi mes machines sont dans une autre OU.

    Comment faire dans ces cas là car je ne retrouve pas les nouveaux attributs liés à LAPS sur ma machine ?

    Izhocell

    mardi 7 mai 2019 12:38
  • Bonjour,

    l'extension de schéma est faite dans la partition de schéma.

    Elle est donc faite pour toute la forêt.

    C'est l'objet "Computer" qui s'appelle "Cn=Computer" (dans le schéma) qui est modifié.

    Donc, Tous les objets de type "Computer" dans la partition principale pourront utiliser ces nouveaux attributs.

    A bientôt,


    Thierry DEMAN-BARCELO. Offce Apps&Services MVP. MCSE:Messaging 2016,MCSE:Server Infrastructure 2012(85 MCPs). MCSA Office 365 http://base.faqexchange.info

    mardi 7 mai 2019 12:46
  • Nan je dis des bêtises.

    L'extension du schema travail sur la class computer, vue que mes ordinateurs en font partie il récupère les attribu associés à cette class.

    Cependant ca ne change pas mon problème que je ne retrouve pas les attributs sur mon ordinateur.

    Comment faire ? Il y a-t-il une synchro a faire ? 

    Izhocell

    mardi 7 mai 2019 12:48
  • Avez-vous retiré le filtre d'affichage qui n'affiche que les attributs ayant un contenu?

    Les attributs sont utilisables immédiatement (aucun redémarrage n'est nécessaire).


    Thierry DEMAN-BARCELO. Offce Apps&Services MVP. MCSE:Messaging 2016,MCSE:Server Infrastructure 2012(85 MCPs). MCSA Office 365 http://base.faqexchange.info

    mardi 7 mai 2019 12:51
  • Effectivement vous avez raison, mon problème venait de là.

    Je vois bien mes deux attributs maintenant.

    Maintenant il faut j'arrive à reseter le mot de passe.

    Le compte que j'utilise fait bien parti des deux groupes de READ et de RESET, et ces groupes ou bien les bon droits sur l'OU contenant mon ordinateur.

    J'arrive à changer l'expirationTime mais le mot de passe ne change pas.

    Izhocell

    mardi 7 mai 2019 12:59
  • Avez-vous bien fait l’extension du schéma avec la commande : Update-AdmPwdADSchema ?

    Si celle-ci a été faite, avez-vous attendu assez de temps pour que les réplications AD se soient déroulées ?

    Pouvez-vous depuis un DC vérifier si les attributs sont bien préseau dans le schéma à l'aide de la commande ci-dessous par exemple :

    Get-ADObject-Filter*-SearchBase(get-adrootdse).schemaNamingContext |Where-ObjectName-like"ms-Mcs-AdmPwd*"|Select-ObjectName,DistinguishedName

    Avez-vous des RODC dans votre infrastructure AD ? Car si cela est le cas vous devez autoriser la réplication de l'attribut 'ms-Mcs-AdmPwd' sur ceux-ci.

    Merci


    Benoit

    mardi 7 mai 2019 12:59
  • C'est bon je vois bien les attributs sur les ordinateurs de mon OU
    mardi 7 mai 2019 13:02
  • Pour le changement du mot de passe, vous ne pouvez pas modifier le contenu stocké dans l'AD 'ms-Mcs-AdmPwd'.

    Le scénario de pour le renouvellement du mot de passe est :

    - Sur poste client, actualisation des GPO ou 'gpupdate /force'

    - Le client CSe vérifie auprès d'AD la valeur de l'attribut 'ms-mcs-admpwdexpirationtime'

    Si celui-ci est expiré, il change le mot de passe et renseigne celui-ci dans l'AD ainsi qu ela nouvelle date d'expiration.

    Si celui-ci n'est pas expiré, il ne fait rien.

    Pour forcer le renouvellement du mot de passe, il faut donc setter la date d'expiration dans l'AD à une date déjà expirée. Soit depuis la console graphique, soit en Powershell avec la commande :

    Reset-AdmPwdPassword-ComputerNameComputerName -WhenEffective"07.05.2019 12:00"


    Benoit

    mardi 7 mai 2019 13:15
  • Je viens de suivre votre procédure mais rien ne change à part la valeur de l'expirationTime.

    Est-ce qu'il y a une petit délai pour l'affichage ?

    mardi 7 mai 2019 13:26
  • Tout dépend de votre infrastructure des des réplications pour que vos postes de travail aient accès à une valeur à jour des champs.


    Si coté AD vous avez bien renseigné une date d'expiration expirée, la mise à jour du mot de passe est instantané lors de l'application des GPO.

    Vous pouvez utiliser 'gpupdate /force' pour forcer l'application des GPo sur votre poste de travail.


    Vous pouvez aussi activer le mode debug depuis le registre :

    KLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}\


    Créer un 'DWord' :

    nom : ExtensionDebugLevel

    Valeur : 2


    Dans le journal 'Application' vous aurez tout le détail de la phase de renouvellement.

    Cordialement

    Benoit

    mardi 7 mai 2019 13:38
  • J'ai 3 DC

    J'ai installé LAPS sur mon PDC.

    Faut-il que j'installe quelque chose sur les autres ou bien que j'étende le schema ?

    Izhocell

    mardi 7 mai 2019 13:52
  • Rien à installer sur les autres contrôleurs de domaine.

    Le schéma est répliqué dans tous les DCs de la forêt.


    Thierry DEMAN-BARCELO. Offce Apps&Services MVP. MCSE:Messaging 2016,MCSE:Server Infrastructure 2012(86 MCPs). MCSA Office 365,Microsoft 365 Certified: Messaging Administrator Associate,Modern Desktop Administrator Associate http://base.faqexchange.info

    mardi 7 mai 2019 13:54
  • Il ne faut pas installer la partie cliente de LAPS sur un DC.

    Les seuls composants de LAPS qui peuvent être installé sur un DC sont ceux de management.

    Si vous installez le CSE (client LAPS) sur un DC, vous risquez de perdre le mot de passe du compte administareur de votre domaine.

    ##################################

    L’extension du schéma n'est à réaliser qu'une seule fois sur l'un de vos DC.

    Cette extension met à jour le schéma AD et celui-ci est réplique sur l'ensemble des autres DC.

    ##################################

    Sur une machine de test dans votre cat celle-ci est dans une OU de test.

    Vous réalisez les délégations nécessaires pour que la machine de test puisse modifier les deux attributs ajoutés et que vos administrateurs puissent voir le ot de passe et réinitialiser la date d'expiration.

    ##################################

    La clef de registre pour activer le début est à configurée coté client.

    HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}\

    ##################################

    En sommes au même stade ?


    Benoit

    • Marqué comme réponse Izho_cell mardi 7 mai 2019 15:25
    mardi 7 mai 2019 14:02
  • Ok c'est bon ca fonctionne.

    J'ai eu un gros malentendu sur la partie Cliente.

    Je n'avais pas compris qu'il fallait que j'installe le CSE sur chaque pc que je voulais gérer.

    Ca fonctionne bien maintenant.

    Merci pour votre aide

    Izhocell

    mardi 7 mai 2019 14:30
  • Pour résumer voici la procédure d'installation :

    1. Sur le DC installer QUE les management tools
    2. Mettre à jour le schema
    3. Créer les groupes et déléguer la lecture et ecriture de l'OU cible à ces derniers
    4. Créer la GPO et l'attribuer à l'OU cible
    5. Sur les clients installer QUE la GPO extension
    6. Sur les postes d'administrations n'installer que le Fat Client UI

    Normalement ca doit fonctionner

    mardi 7 mai 2019 14:34
  • Ok, cool :)

    Si besoin d'aide n'hésitez pas.

    LAPS est un super produit.

    Cordialement


    Benoit

    mardi 7 mai 2019 14:35
  • Tout dépend de la taille de votre infrastructure, mais vous pouvez déployer le CSE par GPO sur votre parc machine si vous n'avez pas d'outil de télédistribution type SCCM.


    Benoit

    mardi 7 mai 2019 14:36
  • Exemple de déploiement de msi par GPO :

    http://www.pbarth.fr/node/253


    mardi 7 mai 2019 15:11
    Modérateur