LAPS の管理者パスワードを Configuration Manager コンソールで確認する

Microsoft, SCCM

皆さん、こんにちは。

今回は、Local Administrator Password Solution (LAPS) ネタについて紹介していきたいと思います。

LAPS についてご存じない方は以前の記事をご確認ください。

ローカル管理者アカウントのパスワード管理に LAPS (Local Administrator Password Solution) を使う

SCCM を使って LAPS クライアントを配布しよう

今回の記事では、LAPS で管理しているクライアント コンピューターのローカル管理者アカウントのパスワードを Active Directory とは別の、Configuration Manager コンソールにて確認してみようという記事になります。下記のような形で見えるようになります。

<環境>

・ Active Directory

OS : Windows Server 2022 (20348.887)

ドメインの機能レベル : Windows Server 2016

フォレストの機能レベル : Windows Server 2016

・ Local Administrator Password Solution (LAPS)

Local Administrator Password Solution vesion 6.2.0.0

・ Microsoft Endpoint Configuration Manager (Configuration Manager)

OS : Windows Server 2022 (20348.887)

Microsoft Endpoint Configuration Manager CB 2207 (5.0.9088)

<前提条件>

事前に、Microsoft Endpoint Configuration Manager サイドにて、Active Directory フォレスト ([管理] > [概要] > [階層の構成] > [Active Directory フォレスト]) が設定されていること。

Active Directory システムの探索 ([管理] > [概要] > [階層の構成] > [探索方法]) が有効化されているか、有効化できる状態であること。

Active Directory システムの探索を、Microsoft Endpoint Configuration Manager のサイト サーバーのコンピューター アカウント (既定) で行っている場合は、LAPS で管理しているクライアント コンピューターのローカル管理者アカウントのパスワードへの読み取りアクセス権を付与しておきましょう。
これをしないと、読み取り権限が無く、Configuration Manager コンソールには LAPS で管理しているクライアント コンピューターのローカル管理者アカウントのパスワードが表示されませんので、ご注意を。

Set-AdmPwdReadPasswordPermission -OrgUnit Workstations -AllowedPrincipals TAMAI-CM01$
Set-AdmPwdReadPasswordPermission -OrgUnit <PC が格納されている OU の名前> -AllowedPrincipals <Configuration Manager サイト サーバーのコンピューター名 (最後に $ を追加することが重要)>

<実際の設定方法>

  1. Configuration Manager コンソールを開き、[管理] > [概要] > [階層の構成] > [探索方法] を開きます。その後、[Active Directory システムの探索] を選択し、[プロパティ] を選択します。
  2. 下記の [Active Directory システムの探索のプロパティ] が開きますので、[Active Directory の属性] タブを選択します。

  3. [Active Directory の属性] の画面にて、[利用可能な属性] の検索ボックスに [ms-Mcs] と入力して、Enter を押します。
  4. [ms-Mcs-AdmPwd] と [ms-Mcs-AdmPwdExpirationTime] が利用可能な属性に表示されるので、[ms-Mcs-AdmPwd] を選択して、[追加] を選択します。
    追加後、[OK] を押して、画面を閉じます。
  5. [管理] > [概要] > [階層の構成] > [探索方法] に戻り、[Active Directory システムの探索] を選択し、右クリックにて、[今すぐ完全な探索を実行する] を選択します。

<[確認] Configuration Manager コンソールにて、LAPS で管理しているパスワードを確認>

  1. Configuration Manager コンソールにて、[資産とコンプライアンス] > [概要] > [デバイス] を開き、パスワードを確認したいデバイスを右クリックして、[プロパティ] を開きます。
  2. [プロパティ] 画面が開いたら、[探索データ] の検索ボックスに [ms_Mcs] と入力して、Enter を押します。
  3. 下記のように、LAPS のパスワードが表示されます。

<まとめ>

今回は、Configuration Manager コンソールにて、LAPS で管理しているパスワードを表示する方法を紹介しましたが、この方法は Active Directory システムの探索にて行っているので、LAPS で管理しているパスワード以外にも、Active Directory の属性情報なら取得が可能です。是非、皆さんの組織でも Configuration Manager コンソールにて表示させる必要がある属性があれば、本方法を応用して対応してみてください。

今回紹介した内容は、来月開催予定の Local Administrator Password Solution (LAPS) 勉強会 でも紹介予定です。是非、ご都合が良ければ、本勉強会へも参加いただければと思います。

それでは、勉強会でお会いしましょう!