Il y a quelques semaines Microsoft a annoncé le remplacement de Microsoft LAPS (LAPS Legacy) par un nouveau produit : Windows LAPS.
Florian d'IT-Connect nous montre comme l'installer et le configurer par GPO :
Windows LAPS fonctionne uniquement avec les OS portant le rôle de contrôleur de domaine suivants :
- Windows 2019
- Windows 2022 (version core incluse)
Compatibilité et GPO
Si votre domaine est configuré en dessous du niveau fonctionnel de domaine (DFL) 2016 le chiffrement du mot de passe ne sera pas supporté (LAPS fonctionnera avec les mots de passe en clair comme l'ancien LAPS).
Microsoft n'utilisant pas les mêmes attributs pour stocker le mot de passe admin local entre LAPS Legacy et Windows LAPS, il n'y pas de compatibilité possible entre les 2 outils. C'est l'un ou l'autre. Si vous avez 2 GPO actives (LAPS Legacy et Windows LAPS) c'est toujours celle de Windows LAPS qui prendra le dessus.
De mon côté je vous conseille de faire des groupes AD d'ordinateurs en fonction de leur version d'OS, le but étant de lier ce groupe à chacune de vos 2 GPO (LAPS Legacy et Windows LAPS). Cela vous permettra une transition en douceur et une parallélisation des 2 outils.
⚠️ Ne mélangez pas les 2
Si vous avez un OS membre du domaine (en tant que client donc) d'un de ces OS : 2019/2022/10/11, et que la mise à jour d'Avril est installée alors ne poussez surtout pas la GPO Laps Legacy sur ces machines. Que vous poussiez le CSE via LAPS*.msi ou bien la méthode DLL "regsvr32.exe Admpwd.dll".
Windows LAPS est maintenant nativement intégré dans 2019/2022/10/11 et il faut donc désinstaller LAPS Legacy de ces machines. C'est un cas que Microsoft n'a pas prévu et vous risquez un conflit entre les 2 LAPS (ou utiliser le contournement registre). Microsoft a annoncé travailler sur un patch pour ce cas là. En pratique cette problématique se pose surtout dans le cadre d'une tâche de déploiement Windows.
Note : CSE signifie "client side extension"
Conclusion
Microsoft a une fois de plus publier une mise à jour... pour le moins discutable sur le plan de la finition. Pourquoi ne pas avoir assuré une compatibilité avec Windows Server 2016 alors que le produit est toujours supporté ? Nul ne sait.