Forcer le changement d’un mot de passe LAPS
Après avoir vu comment visualiser un mot de passe généré par LAPS, nous allons voir comment forcer le changement d'un mot de passe dès que possible ou alors à une autre date, différente de la date d'expiration actuelle. Pour cela, nous allons utiliser deux méthodes : LAPS UI qui n'a pas encore livré tous ses secrets, ainsi que PowerShell.
I. Forcer le changement d'un mot de passe avec LAPS UI
Je vous invite à ouvrir de nouveau l'outil LAPS UI puisque de toute façon il va devenir un allier au quotidien suite à la mise en place de l'outil LAPS. Il est clairement plus pratique la console AD pour obtenir les informations, mais vous pouvez aussi développer votre propre outil basé sur PowerShell. 😉
Note : l'outil LAPS UI est associé à l'exécutable "C:\Program Files\LAPS\AdmPwd.UI.exe".
Recherchez un ordinateur, comme nous l'avions fait précédemment... Par exemple "PC-01". Les informations de ce PC s'affichent... Il suffit de cliquer sur le bouton "Set" pour forcer une réinitialisation de mot de passe dès que possible sur ce poste. Le message "Password reset request was successful" s'affiche en bas à gauche de la fenêtre.
Lorsque la GPO de configuration de LAPS s'actualisera sur la machine "PC-01", un nouveau mot de passe sera généré et il sera mis à jour au niveau de l'Active Directory. Ensuite, on peut voir que le mot de passe a bien été changé :
Si l'on souhaite décaler la date de changement du mot de passe, il suffit de cliquer sur l'icône calendrier, de choisir la date et de cliquer sur "Set".
II. Forcer le changement d'un mot de passe avec PowerShell
PowerShell est capable de faire la même chose que LAPS UI, et même plus, car on pourrait intervenir sur plusieurs machines avec une même commande ou avec un script de quelques lignes. À l'inverse, LAPS UI nécessite de traiter les machines une par une. Pour forcer le changement d'un mot de passe, ou réinitialiser un mot de passe LAPS si vous préférez, il faut utiliser le cmdlet "Reset-AdmPwdPassword".
Dans le cas où l'on souhaite forcer le changement dès que possible, nous n'avons qu'à préciser le nom du PC :
Reset-AdmPwdPassword -ComputerName PC-01
Le retour de la console PowerShell précise "PasswordReset". Si l'on consulte la date de changement du mot de passe avec Get-AdmPwdPassword, on peut voir que c'est la date et l'heure actuelle. L'opération est un succès !
Afin de modifier la date d'expiration du mot de passe avec PowerShell, nous devons utiliser le même cmdlet. Par contre, nous allons ajouter le paramètre -WhenEffective afin de spécifier une date et une heure. Par exemple, pour définir le 15 février 2022 à 07:00, cela donne :
Reset-AdmPwdPassword -ComputerName PC-01 -WhenEffective "15.02.2022 07:00"
Avec Get-AdmPwdPassword, on peut vérifier que ce changement est bien pris en compte :
Retenez bien que, dans tous les cas, c'est la machine cliente qui génère le mot de passe et vient le stocker dans l'Active Directory. Autrement dit, ce n'est pas l'Active Directory qui génère le mot de passe et le client ne vient pas le récupérer pour l'appliquer.
