ローカル管理者アカウントのパスワード管理に LAPS (Local Administrator Password Solution) を使う

皆さん、こんにちは。

今回は、各クライアント コンピューターのローカル管理者アカウントのパスワードを管理する方法を紹介したいと思います。

今回ご紹介する Local Administrator Password Solution (LAPS) を使うとドメイン傘下のコンピューターのローカル管理者アカウントのパスワードを定期的に自動更新する事が出来ます。

ローカル管理者アカウントのパスワードは Active Directory のスキーマに記録されます。

また、GUI が用意されていて各コンピューターのローカル管理者アカウントのパスワードを知る事も出来ます。

【LAPS 導入手順】

  1. Microsoft Download Center から LAPS (Local Administrator Password Solution) をダウンロードします
    Local Administrator Password Solution (LAPS)

    64 ビット環境に導入するため、[LAPS.x64.msi] をダウンロードします。
  2. 管理用コンピューターにログオンします。今回の例では、ドメイン コントローラー上のコンピューターでセットアップします。
    ドメイン コントローラーのコンピューターにログオンし、ダウンロードしたファイルを任意の場所にコピーします。
  3. インターネットからダウンロードしてきたファイルには Zone ID が付与されているためインストール前に解除します。ファイルの [プロパティ] を選択します。
  4. [ブロックの解除] を選択します。
  5. ブロックが解除できたら、ダウンロードしてきた msi を実行します。
  6. セットアップ画面が表示されますので、[Next] で次に進みます。
  7. [End-User License Agreement] が表示されますので、読み、[I accept the terms in the License Agreement] をにチェックを入れ、[Next] を選択します。
  8. [Custom Setup] にて、管理コンピューターには、[Management Tools] をインストールする必要があるため、選択し直します。
  9. 下記のように選択出来たら、[Next] を選択します。
  10. [Ready to install Local Administrator Password Solution] 画面にて、[Install] を選択します。
  11. インストールが終わると下記の画面が表示されますので、[Finish] を選択し、インストール ウィザードを終了します。
  12. 次に、PowerShell を管理者権限で起動し、下記のコマンドを実行し、Local Administrator Password Solution 用のモジュールを読み込みます。
    Import-module AdmPwd.PS

  13. 次のコマンドでスキーマをアップデートします。
    Update-AdmPwdADSchema

  14. 次のコマンドでコンピューター アカウントのある OU に対して、ms-Mcs-AdmPwdExpirationTime および ms-Mcs-AdmPwd の書き込み権限を付与します。以下の例では、[Workstations] という OU に付与しています。
    Workstations の OU の中には下記のようにコンピューターが登録されています。

    Set-AdmPwdComputerSelfPermission -OrgUnit Workstations

  15. 次に、Local Administrator Password Solution 用グループ ポリシーを作成します。もし、グループ ポリシーをセントラル ストアに格納している場合は下記の手順を実行してください。
    セントラル ストアについて [Ask the Network & AD Support Team]下記のファイルをコピーします。
    C:\Windows\PolicyDefinitions\AdmPwd.admx > C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions\AdmPwd.admx
    C:\Windows\PolicyDefinitions\en-US\AdmPwd.adml > C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions\en-US\AdmPwd.adml
  16. グループ ポリシーの管理ツールを起動します。
  17. [Workstations] OU にて右クリックで、[このドメインに GPO を作成し、このコンテナーにリンクする] を選択します。
  18. [新しい GPO] 画面が表示されますので、適宜名前を設定し、[OK] を選択します。
  19. 作成したグループ ポリシー オブジェクトを選択し、右クリックで [編集] を選択します。
  20. Local Administrator Password Solution のグループ ポリシーは、[コンピューターの構成] > [ポリシー] > [管理用テンプレート] > [LAPS] に入っています。
  21. まず、[Enable local admin password management] では、Local Administrator Password Solution を利用するか設定します。利用する場合は、[有効] にチェックを付け、[OK] を選択します。
  22. [Password Settings] では、パスワードの複雑さやパスワード期限などを決めます。
    設定を行い、[OK] を選択します。
  23. [Do not allow password expiration time longer than required by policy] では、有効の場合、ローカル ポリシーなどでパスワード期限が決められていても無視し、Local Administrator Password Solution の設定に沿う設定になります。
  24. 以上でサーバー サイドでの設定は完了です。

後は、クライアントにクライアント ソフトウェアをインストールすれば、設定完了です。

クライアント ソフトウェアはサイレント インストールに対応していますので、下記のコマンドでインストール可能です。

msiexec /i <file location>\LAPS.x64.msi /quiet
msiexec /i <file location>\LAPS.x86.msi /quiet

SCCM を使ったインストールの紹介は次回以降に取り上げたいと思います。