Bonjour,
 
dans mon entreprise nous souhaitons mettre en place Microsoft LAPS qui permet de "gérer" les mots de passe admin locaux des pc du domaine.
Cet outil permet à chaque ordi d'avoir son propre mdp admin local automatiquement renouvelé tous les x temps.
Nous avons environ 300 pc répartis sur 8 sites de production en France (tous sur le même AD).
 
Les problèmes que je rencontre sont les suivants :
 

• Certains pc ont le compte built-in administrateur désactivé
• Nous avons env. 4-5 noms de compte admin différents
• Nous avons des utilisateurs itinérants qui sont rarement connectés au domaine (mais on un VPN installé)

    => donc ma gpo ne fonctionne pas correctement.
 
Est-il possible, via les gpo, d'activer le compte built-in des pc qui l'on désactivés.
Ainsi que désactiver les autres comptes admin locaux ?
 
Je me suis basé sur ce tuto pour tester :
https://www.it-connect.fr/modules/d [...] soft-laps/
 
Merci pour votre aide !

oui tu peux activer le compte builtin via gpo
pas vraiment non, faudrait un script et le faire par là pour que se soit propre
 
après il vaut mieux qd même utiliser un compte admin custom que le builtin qui a son SID non aléatoire.
 
 
Les tutos c'est bien, lire la doc éditeur c'est mieux (bcp de conneries ou de choses outdaté dans les tutos)

 
Merci pour ton retour !

Déjà il faudrait songer à regarder Windows LAPS plutôt que l'ancienne version. Windows LAPS est inclus dans Windows 10 depuis les MAJ d'Avril 2023 si je dis pas de connerie. Le client LAPS autonome est déprécié.
 
Windows LAPS a des fonctions en plus intéressantes comme le chiffrement et la rotation automatique du mot de passe après consultation.
 
Et LAPS/Windows LAPS se fichent pas mal que le compte admin soit renommé ou désactivé. Ca marche tout aussi bien. Dans tous les cas avoir un mdp différent pour le builtin Admin est une très bonne chose. Y compris sur tes serveurs membres d'ailleurs...