Windows LAPS の PowerShell コマンドレットを使用する

Windows ローカル管理者パスワード ソリューション (Windows LAPS) には、LAPS という名前の特定の PowerShell モジュールが含まれています。 このモジュールでコマンドレットを使用する方法とその動作について説明します。

コマンドレットの説明

次の表で、LAPS PowerShell モジュールで使用できるコマンドレットについて説明します。

Name 説明
Get-LapsAADPassword Windows LAPS パスワードの Microsoft Entra ID を照会するために使用します。
Get-LapsDiagnostics 問題を調査するための診断情報を収集するために使用します。
Find-LapsADExtendedRights Windows Server Active Directory で、組織単位 (OU) に対するアクセス許可が付与されている ID を検出するために使用します。
Get-LapsADPassword Windows Server Active Directory に対して Windows LAPS パスワードのクエリを実行するために使用します。
Invoke-LapsPolicyProcessing ポリシー処理サイクルを開始するために使用します。
Reset-LapsPassword パスワードの即時ローテーションを開始するために使用します。 パスワードを Microsoft Entra ID か Windows Server Active Directory のいずれかにバックアップするときに使用します。
Set-LapsADAuditing Windows Server Active Directory で、OU に対する Windows LAPS 関連の監査を構成するために使用します。
Set-LapsADComputerSelfPermission Windows Server Active Directory で、コンピューター オブジェクトが Windows LAPS パスワードを更新できるように OU を構成するために使用します。
Set-LapsADPasswordExpirationTime Windows Server Active Directory で、コンピューターの Windows LAPS パスワードの有効期限を更新するために使用します。
Set-LapsADReadPasswordPermission Windows Server Active Directory で、Windows LAPS パスワード情報を読み取るアクセス許可を付与するために使用します。
Set-LapsADResetPasswordPermission Windows Server Active Directory で、Windows LAPS パスワードの有効期限を更新するアクセス許可を付与するために使用します。
Update-LapsADSchema Windows LAPS スキーマ属性で Windows Server Active Directory スキーマを拡張するために使用します。

ヒント

  • Invoke-LapsPolicyProcessing および Reset-LapsPassword コマンドレットは、パスワードが現在バックアップされているのが Microsoft Entra ID でも Windows Server Active Directory でも影響を受けません。 このシナリオでは、両方のオプションがサポートされます。
  • -Verbose パラメーターを使用すると、Windows LAPS PowerShell モジュールのすべてのコマンドレットが詳細なログ記録をサポートします。

各コマンドレットの詳細については、LAPS PowerShell モジュールに関するページを参照してください。

Windows LAPS PowerShell と従来の Microsoft LAPS PowerShell

従来の Microsoft LAPS には、AdmPwd.PS という名前の PowerShell モジュールが含まれています。 2 つのモジュールには多くの機能の類似点がありますが、多くの違いもあります。 次の表に、2 つのモジュール間のマッピングを示します。

Windows LAPS コマンドレット 従来の Microsoft LAPS コマンドレット
Get-LapsAADPassword なし
Get-LapsDiagnostics なし
Find-LapsADExtendedRights Find-AdmPwdExtendedRights
Get-LapsADPassword Get-AdmPwdPassword
Invoke-LapsPolicyProcessing なし
Reset-LapsPassword なし
Set-LapsADAuditing Set-AdmPwdAuditing
Set-LapsADComputerSelfPermission Set-AdmPwdComputerSelfPermission
Set-LapsADPasswordExpirationTime Reset-AdmPwdPassword
Set-LapsADReadPasswordPermission Set-AdmPwdReadPasswordPermission
Set-LapsADResetPasswordPermission Set-AdmPwdResetPasswordPermission
Update-LapsADSchema Update-AdmPwdADSchema

名前付けに関連する変更に加えて、Windows Server Active Directory の Windows LAPS PowerShell コマンドレットは、まったく異なるスキーマ拡張機能のセットで動作します。 詳細については、Windows LAPS スキーマ拡張機能のリファレンスを参照してください。

次の手順