Ouvrir une console Windows Powershell sur le contrôleur de domaine, il faut que ce soit un contrôleur de domaine en écriture et qu’il dispose du rôle FSMO « Maître de schéma »
Pour localiser le contrôleur de domaine qui dispose de ce rôle FSMO :
« Get-ADForest | Select-Object Name, SchemaMaster »
Cette modification du schéma Active Directory va ajouter deux attributs au sein des objets de la class "computers" :
Exécutez la commande suivante pour importer le module PowerShell de LAPS :
« Import-Module AdmPwd.PS »
Ensuite, exécuter la commande ci-dessous pour mettre à jour le schéma AD :
« Update-AdmPwdADSchema »
La commande doit retourner trois lignes avec le statut "Success" à chaque fois.
Si l'on ouvre la console "Utilisateurs et ordinateurs Active Directory" et que l'on regarde les propriétés d'un ordinateur membre du domaine, on peut voir la présence des deux nouveaux attributs.
Les machines qui doivent être managées via LAPS ont besoin de mettre à jour les attributs ms-MCS-AdmPwdExpirationTime et ms-MCS-AdmPwd au sein de notre annuaire Active Directory. Sinon, il ne sera pas possible de stocker dans l'AD la date d'expiration et le mot de passe.
Le module LAPS de PowerShell contient un cmdlet pour réaliser cette action. Pour l'utiliser, c'est tout simple puisqu'il suffit d’indiquer le nom de l’OU cible. Pour ma part, je vais cibler l'OU "PC" car elle contient les machines que je souhaite gérer avec LAPS. Je vous recommande de préciser le DistinguishedName de l'OU pour être sûr de cibler la bonne OU, sauf si vous êtes sûr qu'il n'y en a qu'une seule qui a ce nom.
« Set-AdmPwdComputerSelfPermission -OrgUnit "OU=PC,DC=perrault,DC=local" »