Windows ローカル管理者パスワード ソリューション (Windows LAPS) を使用して、ローカル管理者アカウントとドメイン コントローラーディレクトリ サービス復元モード (DSRM) アカウントのパスワードを管理できます。 この記事では、Windows LAPS と Windows Server Active Directory の使用を開始する方法について説明します。 Windows LAPS を使用して Windows Server Active Directory にパスワードをバックアップし、それらを取得するための基本的な手順について説明します。
ドメインの機能レベルとドメイン コントローラーのオペレーティング システムのバージョン要件
ドメイン機能レベル (DFL) が 2016 より前の場合、Windows LAPS パスワード暗号化を有効にすることはできません。 パスワード暗号化なし:
- Windows Server Active Directory アクセス制御リスト (ACL) によって保護されたクリア テキストにのみパスワードを格納するようにクライアントを構成できます。
- ローカル DSRM アカウントを管理するようにドメイン コントローラーを構成することはできません。
ドメインで 2016 以降の DFL を使用している場合は、Windows LAPS パスワード暗号化を有効にすることができます。 ただし、実行する Windows Server 2016 以前のドメイン コントローラーでは、Windows LAPS はサポートされていません。 その結果、これらのドメイン コントローラーは DSRM アカウント管理機能を使用できません。
Windows Server 2016 以前でサポートされているオペレーティング システムは、これらの制限を認識している限り、ドメイン コントローラーで使用しても問題ありません。
次の表は、さまざまなシナリオでサポートされる機能をまとめたものです。
| Domain details | クリア テキストのパスワード ストレージのサポートあり | 暗号化されたパスワード ストレージのサポートあり (ドメインに参加しているクライアントの場合) | DSRM アカウント管理がサポートされています (ドメイン コントローラーの場合) |
|---|---|---|---|
| 2016 より前の DFL | Yes | No | No |
| 2016 DFL および 1 つ以上の Windows Server 2016 またはそれ以前のドメイン コントローラー | Yes | Yes | はい(ただし、Windows Server 2019 以降のドメイン コントローラーの場合のみ) |
| Windows Server 2019 以降のドメイン コントローラーのみの 2016 DFL | Yes | Yes | Yes |
最新の機能とセキュリティの強化を利用するために、クライアント、サーバー、ドメイン コントローラーで利用可能な最新のオペレーティング システムにアップグレードすることを強くお勧めします。
Active Directory の準備
マネージド アカウントのパスワードを Active Directory にバックアップするように Active Directory 参加済みデバイスまたはハイブリッド参加済みデバイスを構成する前に、次の手順に従います。
Note
Microsoft Entra ID へのパスワードのバックアップのみを計画している場合は、AD スキーマの拡張など、これらの手順を実行する必要はありません。
- グループ ポリシーのセントラル ストアを使用している場合は、Windows LAPS グループ ポリシー テンプレート ファイルを中央ストアに手動でコピーします。 詳細については、「 Windows LAPS のポリシー設定を構成する」を参照してください。
- パスワードの有効期限とパスワードの取得に対する適切な AD アクセス許可を分析、決定、構成します。 「Windows Server Active Directory のパスワード」を参照してください。
- パスワードの暗号化を解除するための適切な承認済みグループを分析して決定します。 「Windows Server Active Directory のパスワード」を参照してください。
- 前の手順で決定した適切な設定を使用して、マネージド デバイスを対象とする新しい Windows LAPS ポリシーを作成します。
Windows Server Active Directory スキーマの更新
Windows LAPS を使用する前に、Windows Server Active Directory スキーマを更新する必要があります。 このアクションは、 Update-LapsADSchema コマンドレットを使用して実行できます。 これは、フォレスト全体で 1 回限りの操作です。
Update-LapsADSchema コマンドレットは、Windows LAPS で更新された Windows Server 2019 以降のドメイン コントローラーでローカルに実行できます。 ただし、サーバーが Windows LAPS PowerShell モジュールをサポートしている限り、ドメイン コントローラーではないサーバーでこのコマンドレットを実行することもできます。
PS C:\> Update-LapsADSchema
Tip
コマンド ラインに -Verbose パラメーターを含め、処理中のコマンドレットの進行状況に関する詳細情報を表示します。
-Verbose パラメーターは、LAPS PowerShell モジュール内の任意のコマンドレットで使用できます。
マネージド デバイスにパスワードを更新するアクセス許可を付与する
Windows LAPS を使用してデバイスのパスワードを管理する場合は、その管理対象デバイスにパスワードを更新するアクセス許可を付与する必要があります。 このアクションを実行するには、デバイスを含む組織単位 (OU) に継承可能なアクセス許可を設定します。 次のコードに示すように、この目的で Set-LapsADComputerSelfPermission コマンドレットを使用できます。
PS C:\> Set-LapsADComputerSelfPermission -Identity NewLaps
Name DistinguishedName
---- -----------------
NewLAPS OU=NewLAPS,DC=laps,DC=com
Tip
ドメインのルートに継承可能なアクセス許可を設定する場合は、識別名 (DN) 入力形式を使用してドメイン ルート全体を指定できます。 たとえば、-Identityの引数と共に DC=laps,DC=com パラメーターを使用できます。
パスワード クエリのアクセス許可を付与する
Active Directory からパスワードを照会するには、ユーザーにアクセス許可が付与されている必要があります。 このアクションを実行するには、デバイスを含む組織単位 (OU) に継承可能なアクセス許可を設定します。 次のコードに示すように、この目的で Set-LapsADReadPasswordPermission コマンドレットを使用できます。
PS C:\> Set-LapsADReadPasswordPermission -Identity NewLAPS -AllowedPrincipals @("laps\LapsPasswordReadersGroup")
Name DistinguishedName
---- -----------------
NewLAPS OU=NewLAPS,DC=laps,DC=com
Tip
Domain Admins グループのメンバーには、既定でパスワード クエリアクセス許可が既に付与されています。
Tip
ユーザーに Active Directory からのパスワードを照会するアクセス許可が付与されている場合、そのユーザーが暗号化されたパスワードの暗号化を解除するアクセス許可を自動的に持っていることを意味しません。 暗号化されたパスワードの暗号化を解除するアクセス許可は、デバイスが Active Directory にパスワードを格納する際に、 ADPasswordEncryptionPrincipal ポリシー設定を使用して構成されます。
ADPasswordEncryptionPrincipalの既定のポリシー設定は Domain Admins グループです。
パスワード有効期限の権限を与える
Active Directory に格納されているパスワードの有効期限を設定するには、ユーザーにアクセス許可が付与されている必要があります。 Active Directory でパスワードの有効期限が切れているとマークされると、デバイスは次の処理サイクルでパスワードをローテーションします。 ユーザーは、このメカニズムを使用して、残りの時間を次の予想されるパスワード ローテーションに短縮 (または延長) できます。
このアクションを実行するには、デバイスを含む組織単位 (OU) に継承可能なアクセス許可を設定します。 次のコードに示すように、この目的で Set-LapsADResetPasswordPermission コマンドレットを使用できます。
PS C:\> Set-LapsADResetPasswordPermission -Identity NewLAPS -AllowedPrincipals @("laps\LapsPasswordExpirersGroup")
Name DistinguishedName
---- -----------------
NewLAPS OU=NewLAPS,DC=laps,DC=com
Tip
Domain Admins グループのメンバーには、既定でパスワードの有効期限アクセス許可が既に付与されています。
Tip
Set-LapsADPasswordExpirationTime コマンドレットを使用すると、アクセス許可が付与されると、Active Directory 内の特定のデバイスのパスワードの有効期限を設定できます。
拡張権限のアクセス許可を照会する
一部のユーザーまたはグループには、マネージド デバイスの OU に対する拡張権限のアクセス許可がある場合があります。 このアクセス許可を持つユーザーは機密属性を読み取ることができ、すべての Windows LAPS パスワード属性が機密としてマークされるため、この状況は問題になります。
次のコードに示すように、 Find-LapsADExtendedRights コマンドレットを使用して、このアクセス許可を持つユーザーを確認できます。
PS C:\> Find-LapsADExtendedRights -Identity newlaps
ObjectDN ExtendedRightHolders
-------- --------------------
OU=NewLAPS,DC=laps,DC=com {NT AUTHORITY\SYSTEM, LAPS\Domain Admins}
出力では、信頼されたエンティティ SYSTEM と Domain Admins のみがアクセス許可を持ちます。 この場合、他のアクションは必要ありません。
デバイス ポリシーを構成する
次のセクションでは、デバイス ポリシーを構成する方法について説明します。
ポリシー展開メカニズムを選択する
最初の手順では、デバイスにポリシーを適用する方法を選択します。
ほとんどの環境では、Windows LAPS グループ ポリシーを使用して、Windows Server Active Directory ドメイン参加済みデバイスに必要な設定を展開します。
If your devices are also hybrid-joined to Microsoft Entra ID, you can deploy policy by using Microsoft Intune with the Windows LAPS configuration service provider (CSP).
特定のポリシーを構成する
少なくとも、BackupDirectory設定を行うには2値を設定する必要があります。 この値は、Windows Server Active Directory にパスワードをバックアップするために使用されます。
AdministratorAccountName設定を構成しない場合、Windows LAPS は既定で既定の組み込みローカル管理者アカウントを管理します。 この組み込みアカウントは、既知の相対識別子 (RID) を使用して自動的に識別されます。 名前を使用して識別しないでください。 組み込みのローカル管理者アカウントの名前は、デバイスの既定のロケールによって異なります。
カスタム ローカル管理者アカウントを構成する場合は、そのアカウントの名前で AdministratorAccountName 設定を構成する必要があります。
Important
カスタム ローカル管理者アカウントを管理するように Windows LAPS を構成する場合は、そのアカウントが作成されていることを確認する必要があります。 Windows LAPS でアカウントの作成は行われません。 We recommend that you use the RestrictedGroups CSP to create the account.
組織に必要に応じて、 PasswordLengthなどの他の設定を構成できます。
特定の設定を構成しない場合は、既定値が適用されます。 設定の既定値を理解していることを確認します。 たとえば、パスワード暗号化を有効にしても、 ADPasswordEncryptionPrincipal 設定を構成していない場合、パスワードは暗号化され、ドメイン管理者のみが暗号化を解除できます。 ドメイン管理者以外のユーザーが暗号化を解除できるようにする場合は、別の設定で ADPasswordEncryptionPrincipal を構成できます。
Windows Server Active Directory のパスワードを更新する
Windows LAPS は、アクティブなポリシーを 1 時間ごとに処理します。 Windows LAPS はグループ ポリシーの変更通知に応答するため、処理サイクルを手動で開始することもできます。
Windows Server Active Directory でパスワードが正常に更新されたことを確認するには、イベント ログで ID 10018 のイベントを調べます。
ポリシーの適用後に待機しないように、 Invoke-LapsPolicyProcessing PowerShell コマンドレットを実行してポリシーをすぐに処理できます。
Windows Server Active Directory からパスワードを取得する
次のコードに示すように、 Get-LapsADPassword コマンドレットを使用して Windows Server Active Directory からパスワードを取得できます。
PS C:\> Get-LapsADPassword -Identity lapsAD2 -AsPlainText
ComputerName : LAPSAD2
DistinguishedName : CN=LAPSAD2,OU=NewLAPS,DC=laps,DC=com
Account : Administrator
Password : <password>
PasswordUpdateTime : 7/1/2022 1:23:19 PM
ExpirationTimestamp : 7/31/2022 1:23:19 PM
Source : EncryptedPassword
DecryptionStatus : Success
AuthorizedDecryptor : LAPS\Domain Admins
この出力では、 Source 行はパスワード暗号化が有効になっていることを示します。 パスワード暗号化では、ドメインが Windows Server 2016 以降の DFL 用に構成されている必要があります。
パスワードのクエリへのアクセスが拒否された場合は、パスワードの読み取りアクセス許可を調整できます。 「パスワード クエリのアクセス許可を付与する」を参照してください。
パスワードをローテーションする
Windows LAPS は、各ポリシー処理サイクル中に Windows Server Active Directory からパスワードの有効期限を読み取ります。 パスワードの有効期限が切れている場合は、すぐに新しいパスワードが生成されて保存されます。
場合によっては、セキュリティ侵害の後や即興テスト中など、早い段階でパスワードをローテーションすることが必要になる場合があります。 パスワードのローテーションを手動で強制するには、Reset-LapsPassword コマンドレットを使用します。
Set-LapsADPasswordExpirationTime コマンドレットを使用して、Windows Server Active Directory に格納されているスケジュールされたパスワードの有効期限を設定できます。 次のコードは、有効期限を現在の時刻に設定します。
PS C:\> Set-LapsADPasswordExpirationTime -Identity lapsAD2
DistinguishedName Status
----------------- ------
CN=LAPSAD2,OU=NewLAPS,DC=laps,DC=com PasswordReset
次に Windows LAPS が現在のポリシーを処理すると、変更されたパスワードの有効期限が表示され、パスワードがローテーションされます。 次の処理サイクルを待機しない場合は、 Invoke-LapsPolicyProcessing コマンドレットを実行してポリシーをすぐに処理できます。
Reset-LapsPassword コマンドレットを使用すると、パスワードの即時ローテーションを強制的にローカルで実行できます。
Windows Server Active Directory のディザスター リカバリー シナリオ中にパスワードを取得する
Windows LAPS パスワード (DSRM パスワードを含む) を取得するには、通常、少なくとも 1 つの Windows Server Active Directory ドメイン コントローラーを使用できる必要があります。 致命的なシナリオでは、ドメイン内のすべてのドメイン コントローラーがダウンしている可能性があります。 そのような状況でパスワードを復旧するにはどうすればよいでしょうか?
Windows Server Active Directory の管理に関するベスト プラクティスでは、すべてのドメイン コントローラーを定期的にバックアップすることをお勧めします。
Get-LapsADPassword PowerShell コマンドレットを使用し、-Port パラメーターを指定することで、マウントされたバックアップ Windows Server Active Directory データベースに格納されている Windows LAPS パスワードに対してクエリを実行できます。
Windows Insider ビルド 27695 以降では、 Get-LapsADPassword コマンドレットにより、パスワード取得機能が強化されています。 具体的には、 Get-LapsADPassword コマンドレットを使用し、 -Port パラメーターと -RecoveryMode パラメーターの両方を指定すると、パスワードの回復は成功し、ドメイン コントローラーに接続する必要はありません。 また、ワークグループ (ドメインに参加していない) コンピューターで、このモードで Get-LapsADPassword を実行することもできます。 この機能は、クライアントとサーバーのオペレーティング システムで使用できます。
Tip
dsamain.exe ユーティリティを使用して、Windows Server Active Directory バックアップ メディアをマウントし、ライトウェイト ディレクトリ アクセス プロトコル (LDAP) 経由でクエリを実行できます。
dsamain.exe ツールは既定ではインストールされていないため、追加する必要があります。
Enable-WindowsOptionalFeature コマンドレットを使用して有効にすることができます。
- Windows クライアント コンピューターでは、
Enable-WindowsOptionalFeature -Online -FeatureName DirectoryServices-ADAM-Clientを実行できます。 - Windows Server コンピューターでは、
Enable-WindowsOptionalFeature -Online -FeatureName DirectoryServices-ADAMを実行できます。
次のコードは、ポート 50000 にローカルにマウントされている Windows Server Active Directory バックアップ データベースに格納されている Windows LAPS パスワードを照会します。
PS C:\> Get-LapsADPassword -Identity lapsDC -AsPlainText -Port 50000 -RecoveryMode
ComputerName : LAPSDC
DistinguishedName : CN=LAPSDC,OU=Domain Controllers,DC=laps,DC=com
Account : Administrator
Password : <password>
PasswordUpdateTime : 8/15/2024 10:31:51 AM
ExpirationTimestamp : 9/14/2024 10:31:51 AM
Source : EncryptedDSRMPassword
DecryptionStatus : Success
AuthorizedDecryptor : S-1-5-21-2127521184-1604012920-1887927527-35197
Important
ワークグループ コンピューターにマウントされている Windows Server Active Directory バックアップ データベースから暗号化された Windows LAPS パスワードを取得すると、 AuthorizedDecryptor フィールドは常に生のセキュリティ識別子 (SID) 形式で表示されます。 ワークグループ コンピューターは、SID をフレンドリ名に変換できません。
See also
- Microsoft Entra ID (Azure AD) を使用した Windows ローカル管理者パスワード ソリューションの概要
- Microsoft Entra ID での Windows Local Administrator Password Solution
- RestrictedGroups CSP
- Microsoft Intune
- Windows LAPS の Microsoft Intune サポート
- Windows LAPS CSP
- Windows LAPS のトラブルシューティング ガイダンス