ローカル管理者アカウントのパスワード管理に LAPS (Local Administrator Password Solution) を使う

皆さん、こんにちは。

今回は、各クライアント コンピューターのローカル管理者アカウントのパスワードを管理する方法を紹介したいと思います。

今回ご紹介する Local Administrator Password Solution (LAPS) を使うとドメイン傘下のコンピューターのローカル管理者アカウントのパスワードを定期的に自動更新する事が出来ます。

ローカル管理者アカウントのパスワードは Active Directory のスキーマに記録されます。

また、GUI が用意されていて各コンピューターのローカル管理者アカウントのパスワードを知る事も出来ます。

【LAPS 導入手順】

1. Microsoft Download Center から LAPS (Local Administrator Password Solution) をダウンロードします。
   Local Administrator Password Solution (LAPS)
   
   64 ビット環境に導入するため、[LAPS.x64.msi] をダウンロードします。
   
2. 管理用コンピューターにログオンします。今回の例では、ドメイン コントローラー上のコンピューターでセットアップします。
   ドメイン コントローラーのコンピューターにログオンし、ダウンロードしたファイルを任意の場所にコピーします。
   
3. インターネットからダウンロードしてきたファイルには Zone ID が付与されているためインストール前に解除します。ファイルの [プロパティ] を選択します。
   
4. [ブロックの解除] を選択します。
5. ブロックが解除できたら、ダウンロードしてきた msi を実行します。
   
6. セットアップ画面が表示されますので、[Next] で次に進みます。
   
7. [End-User License Agreement] が表示されますので、読み、[I accept the terms in the License Agreement] をにチェックを入れ、[Next] を選択します。
   
8. [Custom Setup] にて、管理コンピューターには、[Management Tools] をインストールする必要があるため、選択し直します。
   
9. 下記のように選択出来たら、[Next] を選択します。
   
10. [Ready to install Local Administrator Password Solution] 画面にて、[Install] を選択します。
    
11. インストールが終わると下記の画面が表示されますので、[Finish] を選択し、インストール ウィザードを終了します。
    
12. 次に、PowerShell を管理者権限で起動し、下記のコマンドを実行し、Local Administrator Password Solution 用のモジュールを読み込みます。

    Import-module AdmPwd.PS

    

13. 次のコマンドでスキーマをアップデートします。

    Update-AdmPwdADSchema

    

14. 次のコマンドでコンピューター アカウントのある OU に対して、ms-Mcs-AdmPwdExpirationTime および ms-Mcs-AdmPwd の書き込み権限を付与します。以下の例では、[Workstations] という OU に付与しています。
    Workstations の OU の中には下記のようにコンピューターが登録されています。
    

    Set-AdmPwdComputerSelfPermission -OrgUnit Workstations

    

15. 次に、Local Administrator Password Solution 用グループ ポリシーを作成します。もし、グループ ポリシーをセントラル ストアに格納している場合は下記の手順を実行してください。
    セントラル ストアについて [Ask the Network & AD Support Team]下記のファイルをコピーします。
    C:\Windows\PolicyDefinitions\AdmPwd.admx > C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions\AdmPwd.admx
    C:\Windows\PolicyDefinitions\en-US\AdmPwd.adml > C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions\en-US\AdmPwd.adml
    
16. グループ ポリシーの管理ツールを起動します。
    
17. [Workstations] OU にて右クリックで、[このドメインに GPO を作成し、このコンテナーにリンクする] を選択します。
    
18. [新しい GPO] 画面が表示されますので、適宜名前を設定し、[OK] を選択します。
    
19. 作成したグループ ポリシー オブジェクトを選択し、右クリックで [編集] を選択します。
    
20. Local Administrator Password Solution のグループ ポリシーは、[コンピューターの構成] > [ポリシー] > [管理用テンプレート] > [LAPS] に入っています。
    
21. まず、[Enable local admin password management] では、Local Administrator Password Solution を利用するか設定します。利用する場合は、[有効] にチェックを付け、[OK] を選択します。
    
22. [Password Settings] では、パスワードの複雑さやパスワード期限などを決めます。
    設定を行い、[OK] を選択します。
    
23. [Do not allow password expiration time longer than required by policy] では、有効の場合、ローカル ポリシーなどでパスワード期限が決められていても無視し、Local Administrator Password Solution の設定に沿う設定になります。
    
24. 以上でサーバー サイドでの設定は完了です。

後は、クライアントにクライアント ソフトウェアをインストールすれば、設定完了です。

クライアント ソフトウェアはサイレント インストールに対応していますので、下記のコマンドでインストール可能です。

msiexec /i <file location>\LAPS.x64.msi /quiet
msiexec /i <file location>\LAPS.x86.msi /quiet

SCCM を使ったインストールの紹介は次回以降に取り上げたいと思います。