Déployer et configurer Microsoft LAPS

windows active directory sécurité

Déployer Windows LAPS sur Active Directory

Niveau : Débutant à Confirmé
Temps estimé : 1h à 2h selon l'environnement
Environnement : Active Directory on-premises

Avant-propos

Pourquoi sécuriser le compte administrateur local ?

Dans la plupart des environnements Windows, les postes de travail et serveurs disposent d'un compte administrateur local. Ce compte est souvent configuré avec le même mot de passe sur l'ensemble du parc informatique, ce qui représente un risque de sécurité majeur. Si un attaquant compromet un poste, il peut utiliser ces identifiants pour se propager latéralement sur l'ensemble du réseau (attaque de type pass-the-hash ou lateral movement).

Windows LAPS (Local Administrator Password Solution) répond précisément à ce problème en automatisant la gestion de ces mots de passe.

Prérequis

Avant de commencer ce tutoriel, assurez-vous que votre environnement remplit les conditions suivantes.

Environnement réseau

Élément Requis
Active Directory on-premises ✅ Obligatoire
Niveau fonctionnel de domaine Windows Server 2016 ou supérieur (recommandé pour le chiffrement des mots de passe)
Contrôleur de domaine Windows Server 2019 ou 2022 (recommandé)

💡 Note débutant : Le niveau fonctionnel de domaine (DFL) détermine les fonctionnalités disponibles dans votre AD. Pour le vérifier : ouvrez la console Domaines et approbations Active Directory, faites un clic droit sur votre domaine, puis cliquez sur Augmenter le niveau fonctionnel du domaine.

Systèmes d'exploitation clients supportés

Windows LAPS est intégré nativement à Windows depuis la mise à jour d'avril 2023 (KB5025221 et équivalents). Les systèmes suivants sont pris en charge :

Système Version minimale
Windows 11 22H2 + mise à jour avril 2023
Windows 10 Toutes versions + mise à jour avril 2023
Windows Server 2025 Natif
Windows Server 2022 + mise à jour avril 2023
Windows Server 2019 + mise à jour avril 2023

⚠️ Important : Windows LAPS moderne est intégré à Windows — il ne nécessite aucune installation de MSI supplémentaire, contrairement à l'ancien Microsoft LAPS (Legacy LAPS). Si vos machines sont à jour, vous êtes prêts.

Comptes et droits nécessaires

Rôle Droits requis Utilisé pour
Administrateur du schéma Membre du groupe Schema Admins Extension du schéma AD
Administrateur de domaine Membre du groupe Domain Admins Configuration des permissions sur les UOs
Administrateur GPO Droits de création/modification de GPO Création de la stratégie LAPS

⚠️ Bonne pratique : N'utilisez votre compte Schema Admins que le temps de l'opération. Retirez-en votre utilisateur immédiatement après l'extension du schéma.

Outils nécessaires sur le poste d'administration

  • RSAT (Remote Server Administration Tools) installé, incluant :
    • Utilisateurs et ordinateurs Active Directory
    • Gestion des stratégies de groupe (GPMC)
  • PowerShell 5.1 ou supérieur (pour les quelques commandes incontournables)
  • Un accès RDP ou physique au contrôleur de domaine (ou à un serveur de gestion)

💡 Pour installer les RSAT sur Windows 10/11 : Paramètres → Applications → Fonctionnalités facultatives → Ajouter une fonctionnalité → rechercher RSAT.

Introduction : Qu'est-ce que Windows LAPS ?

Définition

Windows LAPS (Local Administrator Password Solution) est une fonctionnalité native de Windows qui gère automatiquement le mot de passe du compte administrateur local de vos postes et serveurs membres du domaine. Il stocke ce mot de passe de façon sécurisée dans l'Active Directory, directement dans l'attribut de l'objet ordinateur.

Comment ça fonctionne ?

[Poste Windows] ──génère un mot de passe aléatoire──► [Active Directory]
                                                          (attribut de l'objet ordinateur)
                                                               ▲
[Administrateur / Helpdesk] ────────lit le mot de passe────────┘
  1. Windows LAPS génère un mot de passe aléatoire et complexe selon la politique configurée.
  2. Ce mot de passe est stocké dans l'objet ordinateur de l'AD.
  3. Il est renouvelé automatiquement selon la fréquence définie.
  4. Les administrateurs autorisés peuvent le consulter via la console AD ou PowerShell.

Windows LAPS vs Legacy Microsoft LAPS

Critère Windows LAPS (moderne) Legacy Microsoft LAPS
Installation Intégré à Windows (mise à jour avril 2023) MSI à déployer manuellement
Chiffrement du mot de passe ✅ Oui (si DFL 2016+) ❌ Non (clair dans l'AD)
Historique des mots de passe ✅ Oui ❌ Non
Support Entra ID ✅ Oui ❌ Non
Gestion du compte DSRM ✅ Oui ❌ Non
Statut Microsoft ✅ Actif ⚠️ Déprécié

📌 Pour ce tutoriel : Nous utilisons exclusivement Windows LAPS moderne, en environnement Active Directory on-premises.

Vue d'ensemble des étapes

Voici le résumé des grandes étapes que nous allons suivre :

  1. ✅ Vérification des prérequis
  2. 🔧 Extension du schéma Active Directory
  3. 🔐 Attribution des permissions sur les UOs
  4. 📋 Création et configuration de la GPO LAPS
  5. 🖥️ Vérification sur un poste client
  6. 🔑 Consultation du mot de passe LAPS

Étape 1 — Extension du schéma Active Directory

Pourquoi est-ce nécessaire ?

Windows LAPS doit stocker le mot de passe dans l'objet ordinateur de l'AD. Pour cela, de nouveaux attributs doivent être ajoutés au schéma Active Directory (ex. : msLAPS-Password, msLAPS-EncryptedPassword). Cette opération est irréversible mais sans risque si elle est réalisée correctement.

⚠️ Avant de continuer : Effectuez une sauvegarde de l'état du système (System State Backup) de votre contrôleur de domaine détenteur du rôle Schema Master avant toute modification du schéma.

Identifier le Schema Master

Avant d'étendre le schéma, identifiez quel contrôleur de domaine porte le rôle Schema Master :

  1. Ouvrez Utilisateurs et ordinateurs Active Directory
  2. Faites un clic droit sur le nom de votre domaine (racine)
  3. Cliquez sur Maîtres d'opérations
  4. Allez dans l'onglet Schéma — le nom du contrôleur est affiché fenetre%20maitre%20operation

    [Fenêtre Maîtres d'opérations, onglet Schéma]

Extension du schéma (PowerShell — incontournable)

Cette étape ne peut pas être réalisée via l'interface graphique. Connectez-vous sur le Schema Master avec un compte membre du groupe Schema Admins, puis ouvrez PowerShell en tant qu'administrateur et entrez la commande suivante :

Update-LapsADSchema -Verbose

Résultat attendu : Vous devez obtenir des messages de succès indiquant que les attributs ont bien été ajoutés.

Vérification de l'extension du schéma (GUI)

  1. Ouvrez Utilisateurs et ordinateurs Active Directory
  2. Dans le menu Affichage, activez les Fonctionnalités avancées
  3. Ouvrez les propriétés d'un objet ordinateur
  4. Vérifiez la présence de l'onglet LAPS

Onglet%20LAPS

[ Onglet LAPS visible dans les propriétés d'un objet ordinateur]

⚠️ Bonne pratique : Une fois l'extension du schéma terminée, retirez votre compte du groupe Schema Admins.

Étape 2 — Attribution des permissions sur les UOs

Pourquoi cette étape ?

Les postes doivent avoir la permission d'écrire leur propre mot de passe dans l'AD. Par défaut, un objet ordinateur ne peut pas modifier ses propres attributs LAPS. Nous allons accorder cette permission à chaque UO contenant les machines à gérer.

⚠️ Bonne pratique : Ne donnez pas ces droits sur la racine du domaine. Ciblez uniquement les UOs qui contiennent les ordinateurs que vous souhaitez gérer avec LAPS.

Via PowerShell (recommandé pour la précision)

Pour chaque UO contenant des machines à gérer, exécutez la commande suivante depuis un contrôleur de domaine ou un poste avec les RSAT :

Set-LapsADComputerSelfPermission -Identity "OU=Postes,DC=mondomaine,DC=local"

Remplacez OU=Postes,DC=mondomaine,DC=local par le Distinguished Name (DN) de votre UO.

💡 Trouver le DN d'une UO : Dans Utilisateurs et ordinateurs Active Directory, avec les Fonctionnalités avancées activées, faites un clic droit sur l'UO → Propriétés → onglet Éditeur d'attributs → cherchez l'attribut distinguishedName. Set-laps-adcomputuers [ Résultat de Set-LapsADComputerSelfPermission dans PowerShell]

Vérification des permissions (GUI)

  1. Ouvrez Utilisateurs et ordinateurs Active Directory (Fonctionnalités avancées activées)
  2. Faites un clic droit sur l'UO cible → Propriétés
  3. Allez dans l'onglet SécuritéAvancé
  4. Vérifiez qu'une entrée SELF avec des droits d'écriture sur les attributs LAPS est bien présente onglet%20securiter

    [ Onglet Sécurité avancé de l'UO avec l'entrée SELF]

Étape 3 — Définir qui peut lire les mots de passe LAPS

Concept

Par défaut, seuls les Domain Admins peuvent lire les mots de passe LAPS stockés dans l'AD. Vous pouvez déléguer cette lecture à un groupe spécifique (ex. : votre équipe Helpdesk) sans leur donner des droits d'administration du domaine.

Créer un groupe de délégation (GUI)

  1. Ouvrez Utilisateurs et ordinateurs Active Directory
  2. Créez un groupe de sécurité global, par exemple : GS_LAPS_Readers
  3. Ajoutez les comptes des techniciens Helpdesk dans ce groupe groupe%20laps

    [ Création du groupe GS_LAPS_Readers dans l'AD]

Déléguer la lecture via PowerShell

Set-LapsADReadPasswordPermission -Identity "OU=Postes,DC=mondomaine,DC=local" -AllowedPrincipals "TECHSHOP\GS_LAPS_Readers"

D%C3%A9l%C3%A9guer%20la%20lecture%20via%20PowerShell

[ Résultat de la commande Set-LapsADReadPasswordPermission]

Étape 4 — Création et configuration de la GPO LAPS

C'est l'étape centrale : la stratégie de groupe (GPO) va indiquer aux postes clients d'activer Windows LAPS et comment gérer le mot de passe.

Créer la GPO

  1. Ouvrez la Gestion des stratégies de groupe (GPMC)
  2. Dans le volet gauche, naviguez jusqu'à l'UO contenant vos postes (ex. : Postes)
  3. Faites un clic droit sur l'UO → Créer un objet GPO dans ce domaine, et le lier ici…
  4. Nommez la GPO de manière explicite, par exemple : PC - Windows LAPS
  5. Cliquez sur OK GPO%20GPMC

    [Création de la GPO dans la GPMC]

Modifier la GPO

  1. Faites un clic droit sur la GPO créée → Modifier
  2. Dans l'éditeur, naviguez vers :
    Configuration ordinateur → Stratégies → Modèles d'administration → Système → LAPS Arborescence%20GPO%20

    [ Arborescence GPO avec le nœud LAPS visible]

💡 Le nœud LAPS n'apparaît pas ? Cela signifie que votre magasin central de stratégies (GPO Central Store) n'est pas à jour. Copiez manuellement les fichiers LAPS.admx et LAPS.adml depuis C:\Windows\PolicyDefinitions\ vers votre magasin central (voir encadré ci-dessous).

📦 Mettre à jour le magasin central (si nécessaire)

  1. Sur un contrôleur de domaine à jour, allez dans C:\Windows\PolicyDefinitions\
  2. Copiez LAPS.admx vers \\mondomaine.local\SYSVOL\mondomaine.local\Policies\PolicyDefinitions\
  3. Copiez LAPS.adml (dossier fr-FR ou en-US) vers le sous-dossier correspondant dans le magasin central

  4. Fermez et rouvrez l'éditeur GPO

Configurer les paramètres LAPS

Vous trouverez les paramètres suivants dans le nœud LAPS :

1. Configurer le répertoire de sauvegarde des mots de passe (Obligatoire)

Paramètre Valeur recommandée
Configure password backup directory Active Directory
  1. Double-cliquez sur Configure password backup directory
  2. Sélectionnez Activé
  3. Dans la liste déroulante, choisissez Active Directory
  4. Cliquez sur OK Param%C3%A8tre%20Configure%20password

    [Paramètre Configure password backup directory réglé sur Active Directory]

2. Paramètres du mot de passe (Recommandé)

Paramètre Valeur recommandée
Password Settings Activé
Complexité Lettres majuscules + minuscules + chiffres + caractères spéciaux
Longueur 14 à 20 caractères
Âge maximal 30 jours
  1. Double-cliquez sur Password Settings
  2. Sélectionnez Activé
  3. Configurez la complexité et la longueur selon votre politique de sécurité
  4. Définissez l'âge maximal du mot de passe (ex. : 30 jours)
  5. Cliquez sur OK MP

    [Paramètre Password Settings configuré]

💡 Conseil : Évitez les mots de passe trop longs (>20 caractères) si votre équipe Helpdesk doit les saisir manuellement. Trouvez un équilibre entre sécurité et praticité.

3. Activer le chiffrement du mot de passe (Recommandé si DFL 2016+)

Paramètre Valeur recommandée
Enable password encryption Activé
  1. Double-cliquez sur Enable password encryption
  2. Sélectionnez Activé
  3. Cliquez sur OK Param%C3%A8tre%20Enable%20password%20encryption

    [ Paramètre Enable password encryption activé]

⚠️ Prérequis : Le chiffrement nécessite un niveau fonctionnel de domaine Windows Server 2016 ou supérieur. Si votre DFL est inférieur, laissez ce paramètre sur Non configuré — le mot de passe sera stocké en clair dans l'AD, sécurisé uniquement par les ACL.

4. Nom du compte administrateur géré (Optionnel)

Ce paramètre n'est utile que si vous souhaitez gérer un compte local autre que le compte Administrateur intégré (Built-in Administrator).

💡 Si vous gérez le compte Administrateur intégré (même renommé), ne configurez pas ce paramètre — Windows LAPS le détecte automatiquement par son RID (500).

5. Rotation automatique du mot de passe après utilisation (Pour aller plus loin)

Paramètre Description
Post-authentication actions Permet de forcer un renouvellement du mot de passe après qu'il ait été utilisé
  1. Double-cliquez sur Post-authentication actions
  2. Sélectionnez Activé
  3. Choisissez l'action : par exemple Réinitialiser le mot de passe et se déconnecter
  4. Définissez le délai avant action (ex. : 1 heure)
  5. Cliquez sur OK Param%C3%A8tre%20Post-authentication

    [ Paramètre Post-authentication actions configuré]

Étape 5 — Vérification sur un poste client

Forcer l'application de la GPO

Une fois la GPO créée et liée, les postes l'appliqueront lors du prochain cycle de mise à jour (toutes les 90 minutes environ). Pour forcer l'application immédiatement :

  1. Connectez-vous sur un poste client dans l'UO ciblée
  2. Ouvrez une invite de commandes en tant qu'administrateur
  3. Exécutez : gpupdate /force gpupdate

    [ Résultat de gpupdate /force sur un poste client]

Vérifier que LAPS est actif sur le poste

  1. Sur le poste client, ouvrez l'Observateur d'événements
  2. Naviguez vers : Journaux des applications et des services → Microsoft → Windows → LAPS → Opérationnel
  3. Vous devriez voir des événements confirmant que LAPS a généré et stocké un mot de passe %C3%89v%C3%A9nements%20LAPS

    [Événements LAPS dans l'Observateur d'événements]

Étape 6 — Consulter le mot de passe LAPS

Via la console Utilisateurs et ordinateurs Active Directory (GUI)

C'est la méthode la plus simple pour un administrateur :

  1. Ouvrez Utilisateurs et ordinateurs Active Directory
  2. Activez les Fonctionnalités avancées (menu Affichage)
  3. Naviguez jusqu'à l'UO contenant le poste ciblé
  4. Double-cliquez sur l'objet ordinateur
  5. Allez dans l'onglet LAPS
  6. Le mot de passe actuel, le nom du compte et la date d'expiration sont affichés Onglet%20LAPS%20dans%20les%20propri%C3%A9t%C3%A9s

    [ Onglet LAPS dans les propriétés d'un objet ordinateur avec le mot de passe visible]

Via le Centre d'administration Active Directory (ADAC)

  1. Ouvrez le Centre d'administration Active Directory
  2. Naviguez jusqu'à l'objet ordinateur
  3. Dans le panneau de droite, la section LAPS affiche les informations du mot de passe

Via PowerShell (méthode rapide pour les administrateurs confirmés)

Get-LapsADPassword -Identity "NOM-DU-POSTE" -AsPlainText

R%C3%A9sultat%20de%20Get-LapsADPassword%20dans%20PowerShell

[ Résultat de Get-LapsADPassword dans PowerShell]

Forcer un renouvellement immédiat du mot de passe

Si vous avez besoin de renouveler le mot de passe d'un poste immédiatement (après une intervention, par exemple) :

Via l'onglet LAPS de l'objet ordinateur :

  1. Ouvrez les propriétés de l'objet ordinateur → onglet LAPS
  2. Cliquez sur le bouton Expire Now (ou définissez une date d'expiration dans le passé)
  3. Lors du prochain gpupdate sur le poste, le mot de passe sera renouvelé Bouton%20Expire%20Now%20dans%20l'onglet%20LAPS

    [Bouton Expire Now dans l'onglet LAPS]

Bonnes pratiques et recommandations

Sécurité

  • Activez le chiffrement des mots de passe si votre DFL le permet
  • Limitez les groupes autorisés à lire les mots de passe LAPS (principe du moindre privilège)
  • Auditez les lectures de mots de passe LAPS via la stratégie d'audit AD
  • Ne stockez jamais les mots de passe LAPS dans un fichier ou un tableau partagé
  • Activez la rotation après utilisation (Post-authentication actions)

Organisation

  • ✅ Appliquez LAPS par UO pour une gestion granulaire
  • ✅ Créez des groupes de délégation distincts (ex. : GS_LAPS_Readers_Postes, GS_LAPS_Readers_Serveurs)
  • ✅ Documentez la politique de renouvellement dans votre PSSI

Pour les équipes Helpdesk

  • ✅ Formez vos techniciens à l'utilisation de l'onglet LAPS dans l'AD
  • ✅ Activez la rotation automatique après usage pour éviter la réutilisation des mots de passe
  • ✅ Ne communiquez le mot de passe LAPS que par des canaux sécurisés (ex. : messagerie chiffrée, coffre-fort de mots de passe)

Résolution des problèmes courants

Problème Cause probable Solution
L'onglet LAPS n'apparaît pas dans les propriétés de l'ordinateur Schéma non étendu ou fonctionnalités avancées non activées Vérifiez Update-LapsADSchema et activez les fonctionnalités avancées dans l'AD
Le mot de passe n'apparaît pas dans l'onglet LAPS La GPO n'est pas encore appliquée Exécutez gpupdate /force sur le poste
Nœud LAPS absent dans l'éditeur GPO Fichiers ADMX manquants dans le magasin central Copiez LAPS.admx et LAPS.adml dans le magasin central
Erreur "Access Denied" lors de la lecture du mot de passe Droits insuffisants Vérifiez que le compte est dans le bon groupe de délégation
Le mot de passe ne se renouvelle pas Problème de permission SELF sur l'UO Relancez Set-LapsADComputerSelfPermission sur l'UO concernée

Pour aller plus loin

Surveiller LAPS avec l'audit AD

Il est recommandé d'activer l'audit des accès aux attributs LAPS pour savoir qui a consulté quel mot de passe et quand. Cela s'effectue via la politique d'audit des objets AD (Audit Directory Service Access).

Migrer depuis Legacy Microsoft LAPS

Si vous utilisez encore l'ancien LAPS (MSI), Microsoft fournit un guide de migration vers Windows LAPS. Les deux solutions peuvent cohabiter temporairement.

Intégration avec un coffre-fort de mots de passe

Certaines solutions tierces (CyberArk, Delinea, etc.) peuvent s'intégrer avec Windows LAPS pour centraliser la gestion des mots de passe locaux et enrichir l'audit.

Glossaire

Terme Définition
LAPS Local Administrator Password Solution — solution de gestion des mots de passe des comptes administrateurs locaux
Active Directory (AD) Annuaire d'entreprise Microsoft pour la gestion des utilisateurs, groupes et ordinateurs
GPO Group Policy Object — stratégie de groupe permettant de configurer les machines du domaine
UO / OU Unité d'Organisation — conteneur logique dans l'AD pour organiser les objets
Schéma AD Structure de l'Active Directory définissant les types d'attributs des objets
DFL Domain Functional Level — niveau fonctionnel du domaine, détermine les fonctionnalités AD disponibles
Schema Master Contrôleur de domaine détenteur du rôle de maître du schéma (rôle FSMO)
Distinguished Name (DN) Chemin complet et unique identifiant un objet dans l'AD (ex. : OU=Postes,DC=domaine,DC=local)
ACL Access Control List — liste de contrôle d'accès définissant les permissions sur un objet
DSRM Directory Services Restore Mode — mode de récupération des contrôleurs de domaine
Pass-the-hash Technique d'attaque exploitant un condensat (hash) de mot de passe pour s'authentifier sans connaître le mot de passe en clair
Lateral movement Technique d'attaque consistant à se propager d'un poste à l'autre au sein d'un réseau
RSAT Remote Server Administration Tools — outils d'administration distante pour Windows
SELF Compte système représentant l'objet lui-même (ici, l'ordinateur qui met à jour son propre mot de passe)

Ce tutoriel est basé sur la documentation officielle Microsoft et couvre Windows LAPS dans sa version moderne (intégrée à Windows depuis avril 2023). Pour tout environnement avec des systèmes Windows antérieurs à cette date, référez-vous à la documentation Legacy Microsoft LAPS. vignette_windows_laps_fixed