Configurer les paramètres de stratégie pour Windows LAPS
La solution de mot de passe d’administrateur local Windows (Windows LAPS) prend en charge différents paramètres que vous pouvez contrôler à l’aide d’une stratégie. Découvrez les paramètres et comment les administrer.
Racines de stratégie prises en charge
Bien que nous ne le conseillions pas, vous pouvez administrer un appareil à l’aide de plusieurs mécanismes de gestion des stratégies. Pour prendre en charge ce scénario de manière compréhensible et prévisible, chaque mécanisme de stratégie Windows LAPS se voit attribuer une clé de Registre racine distincte :
| Nom de stratégie | Racine de clé de Registre de stratégie |
|---|---|
| CSP LAPS | HKLM\Software\Microsoft\Policies\LAPS |
| Stratégie de groupe LAPS | HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\LAPS |
| Configuration locale LAPS | HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\Config |
| Microsoft LAPS hérité | HKLM\Software\Policies\Microsoft Services\AdmPwd |
Windows LAPS interroge toutes les racines de stratégie de clé de Registre connues, du haut vers le bas. Si aucun paramètre n’est trouvé sous une racine, cette racine est ignorée et la requête passe à la racine suivante. Lorsqu’une racine qui a au moins un paramètre explicitement défini est trouvée, cette racine est utilisée comme stratégie active. S’il manque des paramètres à la racine choisie, leur valeur par défaut leur est attribuée.
Les paramètres de stratégie ne sont jamais partagés ou hérités entre les racines de clés de stratégie.
Conseil
Par souci d’exhaustivité, la clé de configuration locale LAPS est incluse dans le tableau précédent. Vous pouvez utiliser cette clé si nécessaire, mais elle est principalement destinée à être utilisée pour le test et le développement. Aucun outil de gestion ou mécanisme de stratégie ne cible cette clé.
Paramètres de stratégie pris en charge par BackupDirectory
Windows LAPS prend en charge plusieurs paramètres de stratégie que vous pouvez administrer via différentes solutions de gestion des stratégies, ou même directement via le Registre. Certains de ces paramètres s'appliquent uniquement lors de la sauvegarde de mots de passe dans Active Directory, et certains paramètres sont communs aux scénarios AD et Microsoft Entra.
Le tableau suivant spécifie les paramètres qui s’appliquent aux appareils avec le paramètre BackupDirectory spécifié :
| Nom du paramètre | Applicable quand BackupDirectory=Microsoft Entra ID ? | Applicable quand BackupDirectory=AD ? |
|---|---|---|
| AdministratorAccountName | Oui | Oui |
| PasswordAgeDays | Oui | Oui |
| PasswordLength | Oui | Oui |
| PassphraseLength | Oui | Oui |
| PasswordComplexity | Oui | Oui |
| PostAuthenticationResetDelay | Oui | Oui |
| PostAuthenticationActions | Oui | Oui |
| ADPasswordEncryptionEnabled | Non | Oui |
| ADPasswordEncryptionPrincipal | Non | Oui |
| ADEncryptedPasswordHistorySize | Non | Oui |
| ADBackupDSRMPassword | Non | Oui |
| PasswordExpirationProtectionEnabled | Non | Oui |
| AutomaticAccountManagementEnabled | Oui | Oui |
| AutomaticAccountManagementTarget | Oui | Oui |
| AutomaticAccountManagementNameOrPrefix | Oui | Oui |
| AutomaticAccountManagementEnableAccount | Oui | Oui |
| AutomaticAccountManagementRandomizeName | Oui | Oui |
Si BackupDirectory est défini sur Désactivé, tous les autres paramètres sont ignorés.
Vous pouvez administrer presque tous les paramètres à l’aide de n’importe quel mécanisme de gestion des stratégies. Le fournisseur de services de configuration (CSP) Windows LAPS a deux exceptions à cette règle. Le fournisseur CSP Windows LAPS prend en charge deux paramètres qui ne figurent pas dans le tableau précédent : ResetPassword et ResetPasswordStatus. De plus, le fournisseur CSP Windows LAPS ne prend pas en charge le paramètre ADBackupDSRMPassword (les contrôleurs de domaine ne sont jamais gérés via un fournisseur CSP). Pour plus d’informations, consultez la documentation sur les fournisseurs CSP LAPS.
Stratégie de groupe Windows LAPS
Windows LAPS inclut un nouvel objet de stratégie de groupe que vous pouvez utiliser pour administrer les paramètres de stratégie sur les appareils joints à un domaine Active Directory. Pour accéder à la stratégie de groupe Windows LAPS, dans l’Éditeur de gestion des stratégies de groupe, accédez à Configuration ordinateur>Modèles d’administration>Système>LAPS. La figure suivante montre un exemple :
Le modèle de ce nouvel objet de stratégie de groupe est installé dans le cadre de Windows à l’adresse %windir%\PolicyDefinitions\LAPS.admx.
Store central d'objets de stratégie de groupe
Important
Les fichiers de modèle d’objet de stratégie de groupe Windows LAPS ne sont PAS automatiquement copiés dans votre store central d’objets de stratégie de groupe dans le cadre d’une opération de mise à jour corrective Windows Update, en supposant que vous avez choisi d’implémenter cette approche. Au lieu de cela, vous devez copier manuellement le fichier LAPS.admx vers l’emplacement du store central de l’objet de stratégie de groupe. Consultez Créer et gérer le Store central.
CSP Windows LAPS
Windows LAPS inclut un fournisseur de services de configuration (CSP) spécifique que vous pouvez utiliser pour appliquer les paramètres de stratégie sur les appareils joints à Microsoft Entra. Gérez le fournisseur de services de configuration Windows LAPS à l’aide de Microsoft Intune.
Appliquer des paramètres de stratégie
Les sections suivantes expliquent comment utiliser et appliquer différents paramètres de stratégie pour Windows LAPS.
BackupDirectory
Utilisez ce paramètre pour contrôler le répertoire dans lequel le mot de passe du compte géré est sauvegardé.
| Valeur | Description du paramètre |
|---|---|
| 0 | Désactivé (le mot de passe n’est pas sauvegardé) |
| 1 | Sauvegarder le mot de passe dans Microsoft Entra-uniquement |
| 2 | Sauvegarder le mot de passe dans Windows Server Active Directory uniquement |
S’il n’est pas spécifié, ce paramètre est défini par défaut sur 0 (Désactivé).
AdministratorAccountName
Utilisez ce paramètre pour configurer le nom du compte d’administrateur local géré.
S’il n’est pas spécifié, ce paramètre gère par défaut le compte d’administrateur local intégré.
Important
Ne spécifiez ce paramètre que si vous souhaitez gérer un compte autre que le compte d’administrateur local intégré. Le compte d’administrateur local est automatiquement identifié par son identificateur relatif (RID) connu.
Important
Vous pouvez configurer le compte spécifié (prédéfini ou personnalisé) comme activé ou désactivé. Windows LAPS gèrera le mot de passe de ce compte dans tous les cas. S’il est laissé dans un état désactivé, toutefois, le compte doit d’abord être activé pour être réellement utilisé.
Important
Si vous configurez Windows LAPS pour gérer un compte d’administrateur local personnalisé, vous devez vérifier que le compte est créé. Windows LAPS ne crée pas le compte.
Important
Ce paramètre est ignoré lorsque AutomaticAccountManagementEnabled est activé.
PasswordAgeDays
Ce paramètre contrôle l’âge maximal du mot de passe du compte d’administrateur local géré. Les valeurs prises en charge sont les suivantes :
- Minimum : 1 jour (lorsque l'annuaire de sauvegarde est configuré pour être Microsoft Entra ID, le minimum est de 7 jours.)
- Maximum : 365 jours
S’il n’est pas spécifié, ce paramètre est défini par défaut sur 30 jours.
Important
Les modifications apportées au paramètre de stratégie PasswordAgeDays n’ont aucun effet sur l’heure d’expiration du mot de passe actuel. De même, les modifications apportées au paramètre de stratégie PasswordAgeDays n’entraînent pas la rotation de mot de passe de l’appareil géré.
PasswordLength
Utilisez ce paramètre pour configurer la longueur du mot de passe du compte d’administrateur local géré. Les valeurs prises en charge sont les suivantes :
- Minimum : 8 caractères
- Maximum : 64 caractères
S’il n’est pas spécifié, ce paramètre est défini par défaut sur 14 caractères.
Important
Ne configurez pas PasswordLength sur une valeur incompatible avec la stratégie de mot de passe locale de l’appareil géré. L’échec de la création d’un nouveau mot de passe compatible par Windows LAPS s’ensuit (recherchez un événement 10027 dans le journal des événements Windows LAPS).
Le paramètre PasswordLength est ignoré, sauf si PasswordComplexity est configuré sur l’une des options du mot de passe.
PassphraseLength
Utilisez ce paramètre pour configurer le nombre de mots dans la phrase secrète du compte d’administrateur géré au niveau local. Les valeurs prises en charge sont les suivantes :
- Minimum : 3 mots
- Maximum : 10 mots
S’il n’est pas spécifié, ce paramètre est défini par défaut sur 6 mots.
Le paramètre PassphraseLength est ignoré, sauf si PasswordComplexity est configuré sur l’une des options de la phrase secrète.
PasswordComplexité
Utilisez ce paramètre pour configurer la complexité de mot de passe requise pour le compte d’administrateur géré au niveau local, ou pour spécifier qu’une phrase secrète est créée.
| Valeur | Description du paramètre |
|---|---|
| 1 | Lettres majuscules |
| 2 | Lettres majuscules + lettres minuscules |
| 3 | Lettres majuscules + lettres minuscules + chiffres |
| 4 | Lettres majuscules + lettres minuscules + chiffres + caractères spéciaux |
| 5 | Lettres majuscules + lettres minuscules + chiffres + caractères spéciaux (lisibilité améliorée) |
| 6 | Phrase secrète (mots longs) |
| 7 | Phrase secrète (mots courts) |
| 8 | Phrase secrète (mots courts avec préfixes uniques) |
S’il n’est pas spécifié, ce paramètre est défini par défaut sur 4.
Important
Windows prend en charge les paramètres de complexité de mot de passe inférieurs (1, 2 et 3) uniquement pour la compatibilité descendante avec Microsoft LAPS hérité. Nous vous recommandons de toujours configurer ce paramètre sur 4.
Important
Ne configurez pas PasswordComplexity sur un paramètre incompatible avec la stratégie de mot de passe locale de l’appareil géré. L’échec de la création d’un nouveau mot de passe compatible par Windows LAPS s’ensuit (recherchez un événement 10027 dans le journal des événements Windows LAPS).
PasswordExpirationProtectionEnabled
Utilisez ce paramètre pour configurer l’application d’une durée de vie maximale du mot de passe pour le compte d’administrateur local géré.
Les valeurs prises en charge sont 1 (True) ou 0 (False).
S’il n’est pas spécifié, ce paramètre est défini par défaut sur 1 (True).
Conseil
En mode Microsoft LAPS hérité, ce paramètre a par défaut la valeur False pour la compatibilité descendante.
ADPasswordEncryptionEnabled
Utilisez ce paramètre pour activer le chiffrement des mots de passe dans Active Directory.
Les valeurs prises en charge sont 1 (True) ou 0 (False).
Important
L’activation de ce paramètre nécessite que votre domaine Active Directory s’exécute au Niveau fonctionnel du domaine 2016 ou ultérieur.
ADPasswordEncryptionPrincipal
Utilisez ce paramètre pour configurer le nom ou l’identificateur de sécurité (SID) d’un utilisateur ou d’un groupe qui peut déchiffrer le mot de passe stocké dans Active Directory.
Ce paramètre est ignoré si le mot de passe est actuellement stocké dans Azure.
S’il n’est pas spécifié, seuls les membres du groupe Administrateurs du domaine dans le domaine de l’appareil peuvent déchiffrer le mot de passe.
S’il est spécifié, l’utilisateur ou le groupe spécifié peut déchiffrer le mot de passe stocké dans Active Directory.
Important
La chaîne qui est stockée dans ce paramètre est un SID sous forme de chaîne ou le nom complet d’un utilisateur ou d’un groupe. Voici quelques exemples valides :
S-1-5-21-2127521184-1604012920-1887927527-35197contoso\LAPSAdminslapsadmins@contoso.com
Le principal identifié (par le biais du SID ou par le biais du nom d’utilisateur ou de groupe) doit exister et être résolu par l’appareil.
REMARQUE : les données spécifiées dans ce paramètre sont saisies telles quelles ; par exemple, n’ajoutez pas de guillemets ou de parenthèses englobants.
Ce paramètre est ignoré sauf si ADPasswordEncryptionEnabled est configuré sur True et que tous les autres prérequis sont respectés.
Ce paramètre est ignoré lorsque les mots de passe de compte en mode de restauration des services d’annuaire (DSRM) sont sauvegardés sur un contrôleur de domaine. Dans ce scénario, ce paramètre est toujours défini par défaut sur le groupe Administrateurs du domaine du contrôleur de domaine.
ADEncryptedPasswordHistorySize
Utilisez ce paramètre pour configurer le nombre de mots de passe chiffrés précédents mémorisés dans Active Directory. Les valeurs prises en charge sont les suivantes :
- Minimum : 0 mot de passe
- Maximum : 12 mots de passe
S’il n’est pas spécifié, ce paramètre est défini par défaut sur 0 mot de passe (désactivé).
Important
Ce paramètre est ignoré sauf si ADPasswordEncryptionEnabled est configuré sur True et que tous les autres prérequis sont respectés.
Ce paramètre s’applique également aux contrôleurs de domaine qui sauvegardent leurs mots de passe DSRM.
ADBackupDSRMPassword
Utilisez ce paramètre pour activer la sauvegarde du mot de passe du compte DSRM sur les contrôleurs de domaine Windows Server Active Directory.
Les valeurs prises en charge sont 1 (True) ou 0 (False).
Ce paramètre est défini par défaut sur 0 (False).
Important
Ce paramètre est ignoré sauf si ADPasswordEncryptionEnabled est configuré sur True et que tous les autres prérequis sont respectés.
PostAuthenticationResetDelay
Utilisez ce paramètre pour spécifier la durée (en heures) d’attente après une authentification avant d’exécuter les actions post-authentification spécifiées (voir PostAuthenticationActions). Les valeurs prises en charge sont les suivantes :
- Minimum : 0 heure (la définition de cette valeur sur 0 désactive toutes les actions post-authentification)
- Maximum : 24 heures
S’il n’est pas spécifié, ce paramètre est défini par défaut sur 24 heures.
PostAuthenticationActions
Utilisez ce paramètre pour spécifier les actions à entreprendre à l’expiration de la période de grâce configurée (voir PostAuthenticationResetDelay).
Ce paramètre peut avoir l’une des valeurs suivantes :
| Valeur | Nom | Actions entreprises à l’expiration de la période de grâce | Commentaires |
|---|---|---|---|
| 1 | Réinitialiser le mot de passe | Le mot de passe du compte géré est réinitialisé. | |
| 3 | Réinitialiser le mot de passe et se déconnecter | Le mot de passe du compte géré est réinitialisé, les sessions de connexion interactives utilisant le compte géré sont arrêtées et les sessions SMB utilisant le compte géré sont supprimées. | Les sessions de connexion interactive reçoivent un avertissement non configuré de deux minutes pour enregistrer leur travail et se déconnecter. |
| 5 | Réinitialiser le mot de passe et redémarrer | Le mot de passe du compte géré est réinitialisé et l’appareil géré est redémarré. | L’appareil géré est redémarré après un délai non configuré d’une minute. |
| 11 | Réinitialiser le mot de passe et se déconnecter | Le mot de passe du compte géré est réinitialisé, les sessions de connexion interactives utilisant le compte géré sont terminées, les sessions SMB utilisant le compte géré sont supprimées et tous les processus restants exécutés sous l’identité du compte géré sont supprimés. | Les sessions de connexion interactive reçoivent un avertissement non configuré de deux minutes pour enregistrer leur travail et se déconnecter. |
S’il n’est pas spécifié, ce paramètre est défini par défaut sur 3.
Important
Les actions post-authentification autorisées sont destinées à limiter la durée pendant laquelle un mot de passe Windows LAPS peut être utilisé avant d’être réinitialisé. La déconnexion du compte géré ou le redémarrage de l’appareil sont des options qui permettent de s’assurer que le temps est limité. L’arrêt brutal de sessions de connexion ou le redémarrage soudain de l’appareil peut entraîner une perte de données.
Du point de vue de la sécurité, un utilisateur malveillant qui acquiert des privilèges d’administration sur un appareil en utilisant un mot de passe Windows LAPS valide a la possibilité ultime d’empêcher ou de contourner ces mécanismes.
Important
La valeur 11 de PostAuthenticationActions est prise en charge par Windows Server 2025 et les versions ultérieures.
AutomaticAccountManagementEnabled
Utilisez ce paramètre pour activer la gestion automatique des comptes.
Les valeurs prises en charge sont 1 (True) ou 0 (False).
Ce paramètre est défini par défaut sur 0 (False).
AutomaticAccountManagementTarget
Utilisez ce paramètre pour spécifier si le compte Administrateur intégré est géré automatiquement ou s’il s’agit d’un nouveau compte personnalisé.
| Valeur | Description du paramètre |
|---|---|
| 0 | Gérer automatiquement le compte Administrateur intégré |
| 1 | Gérer automatiquement un nouveau compte personnalisé |
Ce paramètre est défini par défaut sur 1.
Ce paramètre est ignoré, sauf si AutomaticAccountManagementEnabled est activé.
AutomaticAccountManagementNameOrPrefix
Utilisez ce paramètre pour spécifier le nom ou le préfixe de nom du compte géré automatiquement.
Ce paramètre est défini par défaut sur « WLapsAdmin ».
Ce paramètre est ignoré, sauf si AutomaticAccountManagementEnabled est activé.
AutomaticAccountManagementEnableAccount
Utilisez ce paramètre pour activer ou désactiver le compte géré automatiquement.
| Valeur | Description du paramètre |
|---|---|
| 0 | Désactiver le compte géré automatiquement |
| 1 | Activer le compte géré automatiquement |
Ce paramètre est défini par défaut sur 0.
Ce paramètre est ignoré, sauf si AutomaticAccountManagementEnabled est activé.
AutomaticAccountManagementRandomizeName
Utilisez ce paramètre pour activer la randomisation du nom du compte géré automatiquement.
Lorsque ce paramètre est activé, le nom du compte managé (déterminé par le paramètre AutomaticAccountManagementNameOrPrefix) est suffixe avec un suffixe à six chiffres aléatoire chaque fois que le mot de passe est pivoté.
Les noms de compte local Windows ont une longueur maximale de 20 caractères, ce qui signifie que le composant de nom doit avoir au maximum 14 caractères pour avoir suffisamment d’espace pour le suffixe aléatoire. Les noms de compte spécifiés par AutomaticAccountManagementNameOrPrefix dont la taille est supérieure à 14 caractères sont tronqués.
| Valeur | Description du paramètre |
|---|---|
| 0 | Ne pas rendre aléatoire le nom du compte géré automatiquement |
| 1 | Rendre aléatoire le nom du compte géré automatiquement |
Ce paramètre est défini par défaut sur 0.
Ce paramètre est ignoré, sauf si AutomaticAccountManagementEnabled est activé.