Souci déploiement LAPS

Question

Bonjour,

J'ai entrepris de déployer LAPS sur mon parc.

Je commence bien entendu par une OU de test ne contenant que des postes de tests.

Je rencontre toutefois un problème : l'attribut ms-Mcs-AdmPwd reste sur <non défini> alors que <ms-Mcs-AdmPwdExpirationTime> lui se met bien à jour.

Voici le résumé de mes actions :

Update-AdmPwdADSchema => tout est bien en succés
Set-AdmPwdReadPasswordPermission et Set-AdmPwdResetPasswordPermission => tous les deux sont bien delegated

Pour les GPO :
AdmPWD.admx et AdmPwd.adml sont bien présents.
La GPO en elle même 
_Password Settings : est défini
_Enable local admin password management : est activé
_Do not allow password expiration longer than required by policy : est activé

Lorsque le lance LAPS UI et que je recherche le poste, Password reste vide. Mais si je fais un "Set" le Password expires change bien (ainsi que l'attribut AD).

J'ai constaté une chose : le service "AdmPwd" n'est pas présent sur mes postes de test alors que a GPO de déploiement est bien fonctionnelle, Local Administrator Password Solution apparait dans les applications.

Avez vous une piste que je pourrais explorer ?

MErci d'avance

Answer 1

Cette réponse a été automatiquement traduite. Par conséquent, il peut y avoir des erreurs grammaticales ou des formulations étranges.

Bonjour Romuald MAILLARD,

Merci d’avoir posté sur les forums de la communauté Microsoft.

Cela indique généralement que le client LAPS (c’est-à-dire votre ordinateur) n’est pas configuré correctement ou qu’il ne s’exécute pas correctement pour générer et stocker un mot de passe administrateur. Voici quelques étapes pour résoudre ce problème :

Assurez-vous que le client LAPS est installé sur tous les ordinateurs de test. Vous pouvez le vérifier en vérifiant le dossier LAPS sous Program Files ou en exécutant Get-WindowsFeature -Name RSAT-AD-LAPS (si l’outil d’administration du serveur distant est installé).

Vérifiez que le service LAPS (généralement nommé AdmPwd) s’exécute sur tous les ordinateurs de test. Vous pouvez vérifier l’état du service via le Gestionnaire de services (services.msc) ou à l’aide de la commande PowerShell Get-Service -Name AdmPwd.

Vérifiez les journaux d’événements de l’application et du système, en particulier pour détecter les messages d’erreur ou d’avertissement liés à LAPS. Cela peut donner des indices sur la raison pour laquelle les mots de passe ne sont pas générés.

Assurez-vous que votre objet de stratégie de groupe (GPO) est correctement configuré et lié à votre unité d’organisation de test.

Vérifiez les paramètres suivants dans l’objet de stratégie de groupe :

Configuration ordinateur\Stratégies\Modèles administratifs\LAPS\Paramètres de mot de passe\Activer la gestion des mots de passe de l’administrateur local doit être défini sur Activé.

Configuration ordinateur\Stratégies\Modèles d’administration\LAPS\Paramètres de mot de passe\Ne pas autoriser le temps d’expiration du mot de passe plus long que requis par la stratégie (si configuré) doit correspondre à votre stratégie de mot de passe.

Utilisez la commande gpresult /r pour l’exécuter sur l’ordinateur de test afin de vous assurer que l’objet de stratégie de groupe est bien appliqué.

Vérifiez si d’autres objets de stratégie de groupe ont peut-être remplacé ces paramètres.

Assurez-vous que le compte de l’ordinateur dispose d’autorisations suffisantes dans Active Directory pour écrire dans la propriété ms-Mcs-AdmPwd. Cela se fait généralement par le biais de l’autorisation de réinitialisation de mot de passe en libre-service.

Vérifiez si un pare-feu ou un logiciel de sécurité empêche le client LAPS de communiquer avec le contrôleur de domaine.

Sinceres salutations

Neuvi Jiang