この記事は更新から24ヶ月以上経過しているため、最新の情報を別途確認することを推奨いたします。

はじめに

今回はMicrosoft社が提供する、ローカル管理者パスワード管理ツールを紹介したいと思います。
Active Directoryを運用中であれば、管理者ID・PWの悪用や情報漏洩などの事故を防ぐことが可能です。

設定により、定期的にパスワード自動変更や手動変更でセキュリティ向上に役に立ちます。

 

では、早速ですが、LAPS設定と自動配布の説明をはじめます。

 

全体イメージ図

 

 

設定の流れ

①LAPSインストール

②管理対象OUとクライアントPCを用意

③スキーマ拡張

　※セントラルストアを利用の場合、別途対応必要

④LAPS設定用グループポリシー作成

⑤LAPSを設定

⑥共有フォルダを作成してアクセス権を付与

⑦LAPSインストーラーを共有フォルダに入れる

⑧LAPS自動配布用グループポリシーを作成してLAPSインストーラーをパッケージ登録

⑨クライアントPCにLAPSがインストールされているか確認

⑩LAPS管理用PCでパスワードを確認

⑪クライアントPCで新パスワードでログイン可能か確認

 

設定詳細

▼LAPSインストール
①管理用PCにLAPSをダウンロード

URL：https://www.microsoft.com/en-sg/download/details.aspx?id=46899

 

 

 

②「Management Tools」前の四角ボックスをクリック

③「Entire featue will be installed on local hard drive」を選択して「Next」をクリック

④管理対象のOUを作成し、クライアントPCを中に移動

⑤以下コマンドを実行してスキーマ拡張を行う

　Import-module AdmPwd.PS

 

Update-AdmPwdADSchema

Set-AdmPwdComputerSelfPermission -OrgUnit <管理対象のOU名>

 

上記コマンドを実行後、もしセントラルストアでグループポリシーを管理する場合、
以下URLを参考しながらセントラルストアについて対応する必要があります。
https://docs.microsoft.com/ja-jp/archive/blogs/jpntsblog/433

 

⑥LAPS設定のグループポリシー作成

⑦グループポリシーを右クリックして「編集」をクリック

⑧LAPSの設定ですが、必要に応じてパスワードの長さや期限を設定してください。

　任意で良い場合は、1番と4番を有効で大丈夫かと思います。

 

 

LAPS自動配布

⑨管理用PCで共有フォルダを作成し、フォルダ中にLAPSインストーラーを配置

⑩作成した共有フォルダにアクセス権を設定

⑪クライアントPCが入っているグループにアクセス権を付与

⑫自動配布用グループポリシーを別途作成して編集を行う

⑬「コンピューターの構成」→「ソフトウェア配置」にてパッケージを登録

　【注意】パッケージ登録時のフォルダパスですが、以下の形式で登録必要です。

　　\\PC名\\フォルダ名\\LAPS.x65.msi

⑭管理用PCとクライアントPCを再起動

⑮クライアントPCのプログラムを確認し、LAPSがインストールされているか確認

⑯クライアントPCにLAPSがインストールされたら次へ進む

 

ローカルPW変更

▼手動変更

⑰管理用PCでLAPSを開き、クライアントPCを検索

⑱「Set」ボタンを押下後、管理用PCとクライアントPCを再起動

▼自動変更

設定した期間が過ぎると自動変更

 

最終確認

⑲管理用PCでLAPSを開き、クライアントPCを検索後、PWが変わっているか確認

⑳もしくは新しいパスワードでクライアントPCにログイン可能か確認

 

補足

同じドメインのドメインコントローラーであれば、LAPSをインストールしなくても

「Active DirectoryユーザーとPC」の「表示」メニューから「拡張機能」を有効にした後、

コンピューターアカウントの「属性エディター」タブよりローカル管理者パスワードが確認できます。

 

以上となります。

 

参考資料

Local Administrator Password Solution (LAPS) 導入ガイド (日本語版) – Microsoft Security Response Center