Bonjour Florian, en appliquant le principe IGDLA quant à ta gestion de groupe dans la vidéo (tps - 23:07) , tu constateras au final que tu ne dois en déclarer qu'un, soit un groupe Local. Pas sûr que je puisse mettre un lien en commentaire donc je vous laisse googleiser ce que je vous indique. Merci pour la présentation c'est vraiment cool, trop cool même.
Merci Florian. Ca à fonctionné de mon coté. N'oubliez pas que si vous mettez en place en prod le service, qu'il faut bien mettre les permissions sur les computers et les permissions de lecture pour les groupes/admins concernés. Comme Flo, j'ai perdu un peu de temps sur ce détail ^^ 🤣
Merci une nouvelle fois pour ce tuto fort clair et bien détaillé. Au sein de notre infra, nous utilisons LAPS Legacy et, en effet, grâce à ta vidéos, je vais pouvoir mettre en place le nécessaire pour migrer vers Windows LAPS. J'ai deux questions, pour le mot de passe administrateur géré, nous utilisons un script dans MDT qui nous renomme le compte administrateur local en adm-nom_de_machine, comment puis je le spécifier dans la GPO LAPS? (la syntaxe je veux dire). Autre question, l'ADMX et l'ADML pour LAPS, on ne peut pas les mettre dans le magasin central de l'AD pour que les postes en bénéficient, j'ai pas bien compris ce passage là j'ai l'impression que tu as mis ces fichiers en local sur les postes clients. Encore merci à toi!
ça ne fonctionne pas pour moi lors du lancement de la commande Import-Module LAPS , j'ai une erreur comme quoi il ne trouve pas le module "LAPS" je suis sur un controleur en 2022 ...
Hello brother j'aime beaucoup tes cours j'ai.une question comment on peut limiter nombre d user de domaine qui peuvent ouvrir la session sur un ordinateur
Super tuto : j'apprends beaucoup depuis que je te suis, tu es 1 /clair, 2/ précis et 3/ éloquent :) PS : la commande de reset password depuis le client ne veut pas fonctionner :( . D'autre part, tu insistes sur le fait de bien déplier l'arborescence GPO pour aller dans Système & non dans LAPS, mais je n'ai pas Système :( juste une racine dans les GPO (Config Ordi) >>> Modèles d'administration ADMX ... PUIS vient LAPS & Modèles d'administration Classiques ADM | : Où ai-je raté un truc ?
Je trouve que Le LAPS avec Azure et Intune (sans la sauvegarde dans l'AD) est beaucoup plus simple dans sa configuration, et forcément moins dépendante de son serveur AD en cas de soucis.
Merci Florian pour cet update de LAPS vers Windows LAPS. J'ai une question, imaginons un DC2022 qui a pris la màj d'Avril, LAPS Legacy n'ayant jamais installé sur l'infra. Si tu dois installer LAPS pour qu'il fonctionne avec Windows 2016, comment faire ? Il me semble que les GPO Windows LAPS ne savent pas piloter/discuter avec un client LAPS Legacy ? (je veux dire même si tu installes la partie CSE sur le client). Tu confirmes qu'il faut donc installer LAPS puis Windows LAPS sur ton DC2022 (et faire les 2 montées de schéma) ?
Hello :) Ta question est intéressante, et je pense que beaucoup vont se poser la même question car WS2016 est encore très répandu. Dans le fonctionnement, en effet il ne me semble pas qu'il y ait un mode hybride : je n'ai pas testé mais la GPO Windows LAPS ne doit pas fonctionner avec le client LAPS legacy, d'autant plus qu'il y en a un qui chiffre les mots de passe et pas l'autre. Par contre, il est toujours possible d'avoir une partie des machines en Windows LAPS et l'autre partie en LAPS Legacy, ce qui implique de faire deux mises à jour de schéma et de gérer les ACLs en double. Pas idéal, mais faisable j'ai envie de dire.
@@IT-Connect oui c'est ce que je crains, qu'il faille garder 2 GPO distinctes (avec un filtrage sur les groupes en mettant les machines dedans pour que ce soit pas trop complexe en exploitation). Pour la partie chiffrement des mots de passe, si ton schéma est
@@IT-Connect je confirme, il faut tout faire en double avec une GPO ciblée (sur groupe de machine ou filtre WMI). Ce n'est pas un souci d'avoir la GPO Windows LAPS qui tombe sur une machine ancienne (l'inverse est problématique)
Merci pour cette présentation. J'aurais une question. Si sur le parc le nom du compte administrateur local des postes n'est pas uniforme. Peut on renseigner dans la configuration de la gpo plusieurs nom de compte ?
Bonjour Bruno, Non ce n'est pas possible, il faudra faire plusieurs GPO. Par exemple une GPO avec les paramètres communs (politique de mots de passe, stockage dans l'AD, etc) et ensuite d'autres GPO pour gérer les différents noms de comptes admin (1 par nom de compte) et appliquer ces GPO spécifiques sur les bonnes machines (un filtrage par groupe de sécurité sera sûrement utile).
Tu peux créer un compte local par GPO et ensuite définir son MDP via LAPS (si le côté n'existe pas LAPS ne le crée pas, alors que c'était possible via LAPS legacy par un Switch du MSI)
Bonjour IT-Connect, J'ai deux Questions : 1. On peux aussi déployer le compte Admin sur un macOS ? 2. on peux configurer le Méthodes d'authentification exp: - Verrouillage intelligent personnalisé - Seuil de verrouillage - Durée du verrouillage en secondes - Mots de passe interdits personnalisés - Appliquer la liste personnalisée - Liste de mots de passe interdits personnalisés
➡ Windows LAPS avec l'Active Directory : configuration étape par étape
📌 - www.it-connect.fr/tuto-configurer-windows-laps-active-directory/
Très qualitatif, comme d’habitude et comme le site. Je transfert souvent tes liens d’articles ou de vidéos à l’équipe IT chez moi. Well done 👍
Merci beaucoup ! C'est toujours appréciable de savoir que le contenu est utile ! :)
Bonjour Florian, en appliquant le principe IGDLA quant à ta gestion de groupe dans la vidéo (tps - 23:07) , tu constateras au final que tu ne dois en déclarer qu'un, soit un groupe Local. Pas sûr que je puisse mettre un lien en commentaire donc je vous laisse googleiser ce que je vous indique. Merci pour la présentation c'est vraiment cool, trop cool même.
Merci Florian.
Ca à fonctionné de mon coté.
N'oubliez pas que si vous mettez en place en prod le service, qu'il faut bien mettre les permissions sur les computers et les permissions de lecture pour les groupes/admins concernés.
Comme Flo, j'ai perdu un peu de temps sur ce détail ^^
🤣
Comme toujours un grand merci, ton contenu est toujours hyper qualitatif. Je vais tester cet outil !
Merci beaucoup 😉 Je t'encourage à tester !
Merci Florian pour tes tutos👍
Avec plaisir 👍
Très instructif , Merci beaucoup.
Merci :)
Merci pour cette vidéo. Elle est bien complète. Je mettrai ça en place sur mon infra cible 👍👌
Merci ! Et bonne idée d'envisager la mise en oeuvre de Windows LAPS :)
un grand merci
De rien 😁😉👍
Merci une nouvelle fois pour ce tuto fort clair et bien détaillé.
Au sein de notre infra, nous utilisons LAPS Legacy et, en effet, grâce à ta vidéos, je vais pouvoir mettre en place le nécessaire pour migrer vers Windows LAPS.
J'ai deux questions, pour le mot de passe administrateur géré, nous utilisons un script dans MDT qui nous renomme le compte administrateur local en adm-nom_de_machine, comment puis je le spécifier dans la GPO LAPS? (la syntaxe je veux dire).
Autre question, l'ADMX et l'ADML pour LAPS, on ne peut pas les mettre dans le magasin central de l'AD pour que les postes en bénéficient, j'ai pas bien compris ce passage là j'ai l'impression que tu as mis ces fichiers en local sur les postes clients.
Encore merci à toi!
Ah ben si, en relisant le tuto sur IT-Connect j'ai vu que l'on peut bien copier l'ADMX et l'ADML dans le magasin central, merci, autant pour moi
ça ne fonctionne pas pour moi lors du lancement de la commande Import-Module LAPS , j'ai une erreur comme quoi il ne trouve pas le module "LAPS" je suis sur un controleur en 2022 ...
Hello brother j'aime beaucoup tes cours j'ai.une question comment on peut limiter nombre d user de domaine qui peuvent ouvrir la session sur un ordinateur
Hello, Il faut donc à minima avoir un des contrôleurs de domaine qui soit en 2019 ou 2022 ? ou les deux si on en a deux ? Merci
Super tuto : j'apprends beaucoup depuis que je te suis, tu es 1 /clair, 2/ précis et 3/ éloquent :) PS : la commande de reset password depuis le client ne veut pas fonctionner :( . D'autre part, tu insistes sur le fait de bien déplier l'arborescence GPO pour aller dans Système & non dans LAPS, mais je n'ai pas Système :( juste une racine dans les GPO (Config Ordi) >>> Modèles d'administration ADMX ... PUIS vient LAPS & Modèles d'administration Classiques ADM | : Où ai-je raté un truc ?
Je trouve que Le LAPS avec Azure et Intune (sans la sauvegarde dans l'AD) est beaucoup plus simple dans sa configuration, et forcément moins dépendante de son serveur AD en cas de soucis.
Merci Florian pour cet update de LAPS vers Windows LAPS. J'ai une question, imaginons un DC2022 qui a pris la màj d'Avril, LAPS Legacy n'ayant jamais installé sur l'infra. Si tu dois installer LAPS pour qu'il fonctionne avec Windows 2016, comment faire ? Il me semble que les GPO Windows LAPS ne savent pas piloter/discuter avec un client LAPS Legacy ? (je veux dire même si tu installes la partie CSE sur le client). Tu confirmes qu'il faut donc installer LAPS puis Windows LAPS sur ton DC2022 (et faire les 2 montées de schéma) ?
Hello :)
Ta question est intéressante, et je pense que beaucoup vont se poser la même question car WS2016 est encore très répandu. Dans le fonctionnement, en effet il ne me semble pas qu'il y ait un mode hybride : je n'ai pas testé mais la GPO Windows LAPS ne doit pas fonctionner avec le client LAPS legacy, d'autant plus qu'il y en a un qui chiffre les mots de passe et pas l'autre.
Par contre, il est toujours possible d'avoir une partie des machines en Windows LAPS et l'autre partie en LAPS Legacy, ce qui implique de faire deux mises à jour de schéma et de gérer les ACLs en double. Pas idéal, mais faisable j'ai envie de dire.
@@IT-Connect oui c'est ce que je crains, qu'il faille garder 2 GPO distinctes (avec un filtrage sur les groupes en mettant les machines dedans pour que ce soit pas trop complexe en exploitation). Pour la partie chiffrement des mots de passe, si ton schéma est
Bonjour Florian..Merci beaucoup pour tes tutoriels vraiment instructifs.
@@IT-Connect je confirme, il faut tout faire en double avec une GPO ciblée (sur groupe de machine ou filtre WMI). Ce n'est pas un souci d'avoir la GPO Windows LAPS qui tombe sur une machine ancienne (l'inverse est problématique)
@@xharkBM Merci pour ton retour qui devrait être utile à plus d'une personne ! :)
Merci pour cette présentation.
J'aurais une question. Si sur le parc le nom du compte administrateur local des postes n'est pas uniforme. Peut on renseigner dans la configuration de la gpo plusieurs nom de compte ?
Bonjour Bruno,
Non ce n'est pas possible, il faudra faire plusieurs GPO. Par exemple une GPO avec les paramètres communs (politique de mots de passe, stockage dans l'AD, etc) et ensuite d'autres GPO pour gérer les différents noms de comptes admin (1 par nom de compte) et appliquer ces GPO spécifiques sur les bonnes machines (un filtrage par groupe de sécurité sera sûrement utile).
Tu peux créer un compte local par GPO et ensuite définir son MDP via LAPS (si le côté n'existe pas LAPS ne le crée pas, alors que c'était possible via LAPS legacy par un Switch du MSI)
J'ai oublié mon mot de passe admin possible d'avoir un d'aide slp
Clé Linux tu boot dessus et tu casses le mot de passe Windows, regarde sur internet c'est bien expliqué
Bonjour IT-Connect,
J'ai deux Questions :
1. On peux aussi déployer le compte Admin sur un macOS ?
2. on peux configurer le Méthodes d'authentification exp:
- Verrouillage intelligent personnalisé
- Seuil de verrouillage
- Durée du verrouillage en secondes
- Mots de passe interdits personnalisés
- Appliquer la liste personnalisée
- Liste de mots de passe interdits personnalisés