Déployer LAPS par GPO
Dans ce chapitre, nous allons apprendre à déployer le client LAPS sur les postes du domaine Active Directory afin que le mot de passe de l'administrateur local des postes ciblés soit géré par la solution de Microsoft. Nous allons utiliser la méthode classique, basée sur une GPO afin de déployer le package MSI.
Même si ce chapitre traite de l'installation par GPO, nous pourrions utiliser une autre solution de déploiement de logiciels, que ce soit une solution Microsoft ou non. Voici quelques exemples : SCCM, Microsoft Intune, WAPT, PDQ Deploy, etc. Pour ceux qui apprécient la solution Chocolatey, sachez que LAPS est disponible dans les dépôts.
Pour réaliser l'installation de LAPS sur des postes à manager, il n'est pas nécessaire de télécharger un package d'installation supplémentaire. Nous pouvons utiliser les fichiers précédemment téléchargés : "LAPS.x64.msi" et "LAPS.x86.msi".
Note : je vous rappelle que le package MSI de LAPS est disponible sur le site de Microsoft à cette adresse.
I. Créer la GPO pour déployer le MSI de LAPS
Avant de commencer à créer la GPO, je vous invite à héberger le package MSI sur un partage, accessible au travers du réseau, depuis les postes clients qui doivent pouvoir installer ce package. La solution de faciliter consiste à utiliser le dossier "scripts" du partage SYSVOL lié à l'Active Directory. De mon côté, je pars sur cette option, donc je dépose le package MSI à cet endroit :
\\it-connect.local\sysvol\it-connect.local\scripts\MSI
A partir de la console de gestion des stratégies de groupe, nous allons créer une GPO nommée "LAPS-Installation" qui sera là en complément de la GPO "LAPS-Config" créée précédemment. Elle sera liée également à l'OU "PC" puisque cette OU contient tous les PC que je souhaite gérer avec LAPS.
D'un point de vue technique, rien n'empêche d'utiliser la même GPO pour l'installation et la configuration. Si vous utilisez une solution pour déployer vos postes Windows, pensez à inclure l'installation de LAPS à ce moment afin de vous passer de cette GPO d'installation.
Une fois la GPO créée, modifiez-la... Parcourez les paramètres de cette façon :
Configuration ordinateur > Stratégies > Paramètres du logiciel > Installation de logiciel
Effectuez un clic droit sur la partie de droite puis sous "Nouveau", cliquez sur "Package".
Vous devez indiquer quel est le package MSI à déployer, alors accédez à votre partage et sélectionnez le MSI de LAPS. Validez... La fenêtre ci-dessous va apparaître. Sélectionnez "Attribué" et cliquez sur "OK".
Voilà, le package MSI est inclus à la GPO et prêt à être installé sur les postes ! Le mode "Attribué" permet d'utiliser les options par défaut, ce qui est satisfaisant pour l'installation de LAPS.
La GPO est prête et liée à l'OU "PC" : il ne reste plus qu'à tester sur une machine contenue dans cette OU !
II. Tester l'installation de LAPS sur une machine
Je vais utiliser la machine "PC-01", sous Windows 11, et qui appartient à l'OU "PC". Après avoir ouvert une session, je lance une mise à jour des GPO à partir d'une console :
gpupdate /force
Un avertissement s'affiche pour me dire que l'installation du logiciel s'effectue au redémarrage et il m'est proposé de redémarrer. Il suffit d'indiquer "O" et de valider pour que la machine redémarre.
Suite au redémarrage, si l'on regarde au sein des applications et fonctionnalités, on constate quelque chose d'intéressant : "Local Administrator Password Solution" apparaît dans la liste ! LAPS est installé sur cette machine et cela va suivre sur les autres machines de mon parc...
Pour voir le résultat côté Active Directory, direction la suite de ce cours....