Windows ローカル管理者パスワード ソリューション (Windows LAPS) には、専用のイベント ログ チャネルがあります。 すべての Windows LAPS 操作は、リッチ イベントで追跡されます。 主要なイベントとログを表示する方法について説明します。
イベント ログの表示
Windows LAPS イベント ログ チャネルを表示するには、Windows Server イベント ビューアーで、 Applications and Services>Logs>Microsoft>Windows>LAPS>Operational に移動します。
主要なイベント
いくつかの重要な Windows LAPS イベントと、それらをイベント ログで表示する方法に注意することが重要です。
- ポリシー処理の開始イベントと終了イベント
- ポリシー構成の詳細
- パスワード更新の確認イベント
- ブロックされた外部パスワード変更要求
- 認証後のアクションに関連するイベント
ポリシー処理サイクルの開始と終了
Windows LAPS がバックグラウンド ポリシー処理サイクルを開始すると、操作の進行状況がイベント ログで追跡されます。 各サイクルの開始と終了を示す特定のイベントを知ることで、イベント ログを簡単に読み取り、イベントを理解できます。
各バックグラウンド ポリシー処理サイクルは、10003 イベントで始まります。
LAPS policy processing is now starting.
各 10003 イベントの後に、何が起こっているかを説明する他のいくつかのイベントが続きます。 サイクルが完了すると、最終的なイベントによって操作が成功または失敗としてマークされます。
成功したサイクルは、10004 イベントで追跡されます。 10004 イベントの例を次に示します。
LAPS policy processing succeeded.
失敗したサイクルは、10005 イベントで追跡されます。 10005 イベントの例を次に示します。
LAPS policy processing failed with the error code below.
Error code: 80070032
エラーが発生した場合は、エラー コードを使用してトラブルシューティングを行うことができます。 また、介在するイベントで詳細情報を確認することもできます。
ポリシー構成の詳細
パスワード バックアップを有効にすると、各 Windows LAPS バックグラウンド ポリシー処理サイクル中にポリシー構成イベントが生成されます。 このイベントは、各サイクルイテレーションの特定のポリシー設定値をログに記録します。
Windows Server Active Directory にパスワードをバックアップするようにポリシーを構成すると、10021 イベントがログに記録されます。 10021 イベントの例を次に示します。
The current LAPS policy is configured as follows:
Policy source: GPO
Backup directory: Active Directory
Local administrator account name:
Password age in days: 30
Password complexity: 4
Password length: 14
Password expiration protection enabled: 1
Password encryption enabled: 1
Password encryption target principal: LapsAdministrators@contoso.com
Password encrypted history size: 12
Backup DSRM password on ___domain controllers: 0
Post authentication grace period (hours): 8
Post authentication actions: 1
パスワードを Microsoft Entra ID にバックアップするようにポリシーを構成すると、10022 イベントがログに記録されます。 10022 イベントの例を次に示します。
The current LAPS policy is configured as follows:
Policy source: CSP
Backup directory: Azure AD
Local administrator account name: ContosoLocalAdminAccount
Password age in days: 7
Password complexity: 4
Password length: 64
Post authentication grace period (hours): 8
Post authentication actions: 3
Windows LAPS が従来の Microsoft LAPS ポリシーを使用するように構成されている場合、10023 イベントがログに記録されます。 10023 イベントの例を次に示します。
The current LAPS policy is configured as follows:
Policy source: Legacy LAPS
Backup directory: Active Directory
Local administrator account name:
Password age in days: 30
Password complexity: 4
Password length: 8
Password expiration protection enabled: 0
これらの特定のポリシー設定値は例であり、推奨事項と見なすべきではありません。
パスワード更新の確認イベント
Windows LAPS が新しいパスワードで構成されたディレクトリ (Windows Server Active Directory または Microsoft Entra ID) を正常に更新すると、成功イベントがログに記録されます。Windows Server Active Directory でのパスワード更新の場合は 10018、Microsoft Entra ID のパスワード更新の場合は 10029 です。
10018 イベントの例を次に示します。
LAPS successfully updated Active Directory with the new password.
10029 イベントの例を次に示します。
LAPS successfully updated Azure Active Directory with the new password.
ディレクトリが新しいパスワードで更新されると、Windows LAPS によってマネージド ローカル アカウントも更新されます。 10020 イベントは成功時に記録されます。
10020 イベントの例を次に示します。
LAPS successfully updated the local admin account with the new password.
Account name: ContosoLocalAdminAccount
Account RID: 1087
ブロックされた外部パスワード変更要求
Windows LAPS が有効になっている場合、Windows LAPS 以外のエンティティによる変更から、指定されたマネージド アカウントのパスワードが保護されます。 パスワードの変更がブロックされると、10031 イベントがログに記録されます。
10031 イベントの例を次に示します。
LAPS blocked an external request that tried to modify the password of the current managed account.
Account name: ContosoLocalAdminAccount
Account RID: 1087
認証後のアクション イベント
認証後のアクションが構成されている場合、Windows LAPS は、指定されたマネージド アカウントによる認証が成功したかどうか監視します。 認証が検出されると、10041 イベントがログに記録されます。
10041 イベントの例を次に示します。
LAPS detected a successful authentication for the currently managed account. A background task has been scheduled to execute the configured post-authentication actions after the configured grace period has expired.%n
Account name: ContosoLocalAdminAccount
Account RID: 1087
Password reset timer deadline: %3%n
10041 イベントに記載されている期限に達すると、Windows LAPS によって 10042 イベントがログに記録されます。
The post-authentication grace period has expired per policy. The configured post-authentication actions will now be executed.
Account name: ContosoLocalAdminAccount
Account RID: 1087
その後、Windows LAPS はパスワードのローテーションを試み、指定された認証後のアクションを実行します。 パスワードのローテーションが成功すると、10044 イベントがログに記録されます。
10044 イベントの例を次に示します。
LAPS successfully reset the password for the currently managed account and completed all configured post-authentication actions.%n
%n
Account name: ContosoLocalAdminAccount
Account RID: 1087
パスワードのローテーションが失敗すると、10043 イベントがログに記録されます。 10043 イベントの例を次に示します。
LAPS failed to reset the password for the currently managed account. The password is considered expired due to an authentication event. LAPS will continue retrying the password reset operation until it succeeds.
Account name: ContosoLocalAdminAccount
Account RID: 1087
Password reset retry count: 1
Error code: 80070032
クライアント イベント ログと AD ドメイン コントローラーのイベント ログ
Windows LAPS イベント ログ チャネルには、クライアントとして動作するローカル コンピューターに関連するイベントが含まれています。 Active Directory ドメイン コントローラー上の Windows LAPS イベント ログ チャネルには、ローカル DSRM アカウントの管理に関連するイベント (有効な場合) のみが含まれており、ドメイン参加済みクライアントの動作に関連するイベントは含まれていない。