Chez l’un de mes clients lors du déploiement de LAPS, le compte Administrateur local des machines était utiliser pour réaliser les sauvegardes depuis VEEAM Backup et Réplication.
L’utilisation de LAPS rend impossible l’utilisation du compte SID-500 avec VEEAM, ce uqi pose relativement un problème pour le déhanchement des VSS.
Pour palier ce souci, le choix a été fait d’utiliser un compte de domaine. Ce compte est ajouté par GPO (GPP) dans le groupe Administrateur local des machines.
Dans cette même GPO, l’accès de ce compte a été limité, les ouvertures de session lui sont retirées pour :
- Interactif logon.
- RDS logon.
- Logon as a service.
De plus l’UAC est désactivée pour les comptes administrateurs.
Ci-dessous le détail de la GPO :
