Windows LAPS とは

Active Directory, Microsoft, Security

皆さん、おはようございます。

今回は、Windows LAPS について紹介したいと思います。

本記事は、Active Directory Security Advent Calendar 2025 の Day 2 (12/2) の記事として公開します。是非、Active Directory Security Advent Calendar 2025 の今後公開される記事もご覧ください。

宇田さん、本 Advent Calendar の企画およびご紹介いただき、ありがとうございます!

本記事は、12/2 (火曜日) 3:00 AM くらいから書き始めました (笑)

<Windows LAPS の概要>

まず、Windows LAPS (Windows Local Administrator Password Solution) とは何かを説明しておこうと思います。

Windows LAPS は簡単に説明すると、Windows OS のローカル Administrator アカウント パスワードをシステム的に管理する仕組みとなります。Windows LAPS を使用することにより、各 Windows OS 内のローカル Administrator アカウント パスワードをランダム化して管理することができます。

では、Windows LAPS がなぜ必要なのかを説明しておきたいと思います。というのも、Windows Autopilot から Windows Client OS のセットアップを始めた人にとっては、なぜ、ローカル Administrator アカウント パスワードの管理が必要なのか疑問に思う人も居ると思ったからです。(Windows Autopilot で Windows Client OS をセットアップすると、基本的には、ローカル Administrator アカウントは無効化されているため)

組織や企業において、Windows マシンをセットアップする際、オンプレミス環境では、事前に準備したイメージを用いて展開する、ワイプ & ロードという展開手法を採用しているところが多いと思います。ワイプ & ロードとは、OS 展開時に PC 出荷時のデータや PC 再利用時のデータを一度ワイプ (削除) して、組織や企業で作成したイメージをロード (書き込み) するということです。

イメージ作成の際やイメージ展開の過程で、Windows Client OS 内のローカル Administrator アカウントのパスワードを共通のパスワードにしているケースが多い傾向です。これは展開時の工数削減や管理目的により、共通のパスワードを使用せざるを得ないケースがあります。一例をあげておくと、オンプレミス環境での OS 展開の際に利用する、Microsoft Configuration Manager (旧 SCCM) のタスク シーケンスでは、下記スクリーン ショットのように、ローカル Administrator の設定箇所があります。この例では、[アカウントを有効にし、ローカル管理者パスワードを指定する] を設定しています。

上記のケースでは、OS 展開 (OSD: Operating System Deployment) を行う度に同じローカル Administrator アカウント パスワードが設定されたマシンが組織や企業内に増えていきます。

ヘルプデスク観点や管理業務観点上、各 Windows Client OS のローカル Administrator アカウント パスワードが共通の方が助かりますが、セキュリティ上は好ましい構成ではありません。むしろ、是正する必要がある構成です。

例えば、ローカル Administrator のパスワードが共通だと、管理業務を行う人が退社した場合、組織や企業内で IT 部門以外にパスワードが漏れてしまった場合等が挙げられます。

それ以外にも、最近世間を騒がせているランサムウェア被害にも影響があります。ランサムウェアでの被害の場合、ラテラル ムーブメント (横移動) という手法で使用されるパターンですが、組織や企業内の PC に侵入された後、その PC のローカル特権を取得し、ローカル Administrator のパスワード (パスワード ハッシュ) を入手し、そのパスワード (パスワード ハッシュ) を用いて隣の PC に侵入していき、さらに高い権限を奪取していくという手法があります。その場合、ローカル Administrator のパスワードが共通だとあっという間に横移動を許してしまいます。

このようなケースで有用な対策の一つに、Windows LAPS があります。Windows LAPS は各 Windows Client OS のローカル Administrator のパスワードをランダム化して管理することができます。

前置きが長くなりましたので、早速、Windows LAPS の設定の仕方をみていきたいと思います。

<Windows LAPS の要件>

Windows LAPS を利用するには、下記の Windows Client OS バージョンまたは Windows Server OS バージョンである必要があります。

Windows Client OS

・ Windows 11 23H2 またはそれ以上

・ Windows 11 22H2 (2023 年 4 月 月例セキュリティ更新プログラムまたはそれ以上) Build 22621.1555 またはそれ以上

・ Windows 11 21H2 (2023 年 4 月 月例セキュリティ更新プログラムまたはそれ以上) Build 22000.1817 またはそれ以上

・ Windows 10 (2023 年 4 月 月例セキュリティ更新プログラムまたはそれ以上) Build 19045.2846 またはそれ以上

Windows Server OS

・ Windows Server 2025 またはそれ以上

・ Windows Server Annual Channel for Containers 23H2 またはそれ以上

・ Windows Server 2022 (2023 年 4 月 月例セキュリティ更新プログラムまたはそれ以上) Build 20348.1668 またはそれ以上

・ Windows Server 2019 (2023 年 4 月 月例セキュリティ更新プログラムまたはそれ以上) Build 17763.4252 またはそれ以上

https://learn.microsoft.com/ja-jp/windows-server/identity/laps/laps-overview#windows-laps-supported-platforms

<Windows LAPS セットアップ方法 (オンプレミス Active Directory 環境の場合)>

今回の記事では、オンプレミス環境で Active Directory を運用しており、その Active Directory に参加している Windows Client OS のローカル Administrator アカウントを管理するというシナリオで紹介していきたいと思います。

<今回の環境>

ドメイン コントローラー : Windows Server 2019 (Build 17763.8027)

※ グループ ポリシーの管理にセントラル ストアを利用している環境

Windows Client OS: Windows 11 version 25H2 (Build 26200.6584)

<セットアップ手順>

まず、Windows LAPS のグループ ポリシーをセントラル ストアにコピーします。

  1. ドメイン コントローラーにログオンします。
  2. C:\Windows\PolicyDefinitions を開きます。
  3. LAPS.admx と ja-JP 内にある LAPS.adml を見つけ (ja-JP フォルダー以外も存在する場合はそれぞれの言語に応じて同様の対応を実施)、下記のようにセントラル ストアにコピーします。

    LAPS.admx
    コピー元 : “C:\Windows\PolicyDefinitions\LAPS.admx”
    コピー先 : “\\corp.sccm.jp\SYSVOL\corp.sccm.jp\Policies\PolicyDefinitions\LAPS.admx”
    (ドメイン名の部分を自組織のドメインに書き換えてください)

    LAPS.adml (ja-JP フォルダー以外も存在する場合はそれぞれの言語に応じて同様の対応を実施)
    コピー元 : “C:\Windows\PolicyDefinitions\ja-JP\LAPS.adml”
    コピー先 : “\\corp.sccm.jp\SYSVOL\corp.sccm.jp\Policies\PolicyDefinitions\ja-JP\LAPS.adml”
    (ドメイン名の部分を自組織のドメインに書き換えてください) 

Windows LAPS を使用する前に、Active Directory スキーマの更新が必要になります。
この作業はフォレストに対して実施します。

  1. ドメイン コントローラーにログオンします。
  2. PowerShell を管理者権限で起動し、下記のコマンドを実行します。 
    Update-LapsADSchema

Windows LAPS を使用してデバイスのパスワードを管理するには、そのデバイスのパスワードを更新するアクセス許可を付与する必要があります。

デバイスが含まれる組織単位 (OU: Organizational Unit) 単位で指定します。

今回の環境は、検証環境ということもあり、既定の Computers OU にデバイスを作成していますので、その OU にアクセス許可を付与します。

  1. ドメイン コントローラーにログオンします。
  2. PowerShell を管理者権限で起動し、下記のコマンドを実行します。 
    Set-LapsADComputerSelfPermission -Identity "CN=Computers,DC=corp,DC=sccm,DC=jp"

    ※ 今回のケースでは、デフォルト コンテナである Computers に設定するため、Identity 引数に distinguishedName 形式で設定しています。
    自身で作成された OU の場合は、OU 名だけで大丈夫です。

あとは、対象デバイスにグループ ポリシーを適用して Windows LAPS を設定します。

  1. ドメイン コントローラーにログオンします。
  2. [グループ ポリシーの管理] を起動します。
  3. [フォレスト] > [ドメイン] > [ドメイン名] > [グループ ポリシー オブジェクト] を選択し、右クリックで [新規] を選択します。
  4. [新しい GPO] ウィザードで [名前] に任意の名前を設定します。
  5. 作成された GPO を右クリックで [編集] を選択します。
  6. 表示されたウィンドウで、[コンピューターの構成] > [ポリシー] > [管理用テンプレート] > [システム] > [LAPS] を開きます。
  7. 今回は最低限必要なポリシーだけ設定します。
    まず、[パスワード バックアップ ディレクトリの構成] を開きます。
  8. [パスワード バックアップ ディレクトリの構成] にて、[有効] にチェックを入れ、[バックアップ ディレクトリ] を [Active Directory] に設定します。
  9. 次に、[パスワードの設定] を開き、[有効] にチェックを入れます。必要に応じて、[パスワードの複雑さ] を変更します。今回は既定のまま設定します。
  10. あとは、作成したグループ ポリシーを割り当てます。
    今回のケースでは、Computers OU 配下にあるデバイスに適用させるため、ドメイン名の表示されているところを選択し、右クリックで、[既存の GPO のリンク] を選択します。
  11. [GPO の選択] にて、作成した GPO を選択します。
  12. 以上でドメイン コントローラー側での作業は終了です。

<動作確認>

では、動作をみていきましょう。

まず、管理対象の PC 側で gpupdate /force を実行します。
(通常運用環境では管理対象のマシンで gpupdate /force を個別に実行する必要はありません。
検証時にすぐに結果を確認したいためだけとなります。)

その後、クライアント マシンのイベント ログにて、下記のイベントが記録されます。

ドメイン コントローラーに戻り、[Active Directory ユーザーとコンピューター] (dsa.msc) を開きます。

対象の PC を開き、[LAPS] タブを開きます。
そうすると、[LAPS ローカル管理者アカウントのパスワード] というところに、マスキングされたパスワードが設定されています。

パスワードを確認したいときは、[パスワードの表示] を選択すると、下記の画面のようにパスワードが表示されます。

これで、管理対象の PC のローカル Administrator アカウント パスワードの管理ができました。

今回のシナリオでは紹介しませんでしたが、Windows LAPS は細かい設定も可能ですので、是非、Microsoft Learn の記事をご確認ください。

また、Windows Client OS のみならず、Windows LAPS の管理対象マシンに Windows Server OS も設定可能なので、Windows Server も Windows LAPS で管理することを検討してみてください。

https://learn.microsoft.com/ja-jp/windows-server/identity/laps/laps-overview

<まとめ>

今回は、Active Directory Security Advent Calendar 2025 の一環として、Windows LAPS について紹介しました。

2022 年には、マイクロソフトのゆりか先生をお迎えして、Local Administrator Password Solution (LAPS) 勉強会というイベントを開催しました。この時は、まだ Windows LAPS がリリースされておらず、現在の名称でいうところの Microsoft LAPS (当時は Local Administrator Password Solution (LAPS) と呼んでいた) について紹介していました。

あ、冒頭で Windows LAPS と Microsoft LAPS の歴史を語ろうと思ったのですが、本記事が長くなるので、やめました。また何か機会のあった際に。

今回のブログにて、久々に LAPS の話題に触れたので、Windows LAPS 勉強会開催したいな~と思った今日この頃です。機会があれば、Windows LAPS 勉強会も開催したいと思います。(気長にお待ちください)

今回はいつもの検証環境とは異なる環境で設定したため、いつも利用している検証環境も Microsoft LAPS から Windows LAPS へ移行しないとと改めて思いました。