Comment afficher les mots de passe LAPS ?
Puisque le client LAPS est déployé sur au moins une machine de notre parc et que la GPO de configuration de l'outil est en place, normalement il doit y avoir du changement du côté de l'Active Directory. Autrement dit, les attributs "ms-Mcs-AdmPwd" et "ms-Mcs-AdmPwdExpirationTime" ne doivent plus être vide.
Nous allons apprendre à récupérer le mot de passe de différentes façons, en mode graphique et en ligne de commande avec PowerShell.
Sommaire
I. LAPS : afficher un mot de passe avec la console AD
Commencez par ouvrir la console "Utilisateurs et ordinateurs Active Directory" si ce n'est pas déjà fait. Accédez aux propriétés d'un ordinateur où LAPS est déployé. Pour ma part, ce sera l'ordinateur "PC-01" que j'utilise depuis le début de ce cours.
Note : vous pouvez également accéder à l'éditeur d'attributs via le Centre d'administration Active Directory.
Rendez-vous dans l'onglet "Editeur d'attributs" et là vous devriez voir les deux valeurs : le mot de passe et la date d'expiration. Cela signifie que pour se connecter avec le compte "Administrateur" sur la machine "PC-01", il faut utiliser le mot de passe qui s'affiche au sein de l'attribut "ms-Mcs-AdmPwd".
Vous allez me dire, la date d'expiration du mot de passe n'est pas très compréhensible. En effet, la valeur "132909632466661280" n'est pas facilement interprétable pour nous, les humains. La bonne nouvelle, c'est que l'on peut convertir cette valeur via la commande w32tm, comme ceci :
w32tm /ntte 132909632466661280
Dans ce cas, on obtient une date précise, y compris avec l'heure d'expiration. Nous allons voir qu'il y a moyen de faire plus simple encore !
II. LAPS : afficher un mot de passe avec LAPS UI
A partir du menu Démarrer de votre serveur, vous pouvez trouver l'application "LAPS UI" à l'intérieur d'un dossier nommé "LAPS". Ce petit utilitaire est très pratique et va éviter d'utiliser la console Active Directory. Il va permettre d'afficher le mot de passe et la date d'expiration d'un ordinateur.
Faisons un essai avec "PC-01" :
Le mot de passe apparaît bien, et cette fois-ci la date d'expiration est lisible du premier coup. Je vous l'avait dit que nous allions voir une solution plus simple !
Si vous ne trouvez pas "LAPS UI" dans la liste de vos programmes, c'est que vous n'avez pas installé ce composant au moment de l'installation de LAPS sur votre contrôleur de domaine (c'est la première chose que nous avons effectuée). Dans ce cas, relancez l'installation de LAPS et sélectionnez bien "Fat client UI" dans la liste.
III. LAPS : afficher un mot de passe avec PowerShell
Passons à la troisième et dernière méthode : PowerShell. Le module LAPS intègre un cmdlet qui va faire notre bonheur : Get-AdmPwdPassword. Il suffit de préciser le nom de l'ordinateur cible, par exemple "PC-01" :
Get-AdmPwdPassword -ComputerName pc-01
La console PowerShell retourne le nom de l'ordinateur, le DN, le mot de passe et la date d'expiration (au format lisible).
Puisque l'on est dans une console PowerShell, on peut facilement récupérer le mot de passe de plusieurs ordinateurs en même temps. Par exemple, on peut cibler toutes les machines de l'AD ou toutes les machines de l'OU "PC" pour avoir un état des lieux. Cela me semble intéressant pour suivre le déploiement de LAPS : si le mot de passe pour un PC ne remonte pas, c'est peut être qu'il y a un problème avec ce poste ou que la GPO n'est pas encore appliquée.
Dans ce cas, on couple l'utilisation de Get-ADComputer et Get-AdmPwdPassword, comme ceci :
Get-ADComputer -Filter * -SearchBase "OU=PC,DC=it-connect,DC=local" | Get-AdmPwdPassword
Voici un exemple, en image :
Nous venons de voir les trois méthodes pour afficher un mot de passe généré par LAPS.
Pour finir, sachez que si un utilisateur qui n'a pas les droits de consulter le mot de passe généré par LAPS essaie de le faire via la console AD ou même LAPS UI, le champ sera affiché comme étant vide même si ce n'est pas le cas.
Dans le prochain chapitre, nous allons voir comment forcer ou décaler la réinitialisation d'un mot de passe.