Windows LAPS と Windows Server Active Directory の概要

Windows ローカル管理者パスワード ソリューション (Windows LAPS) と Windows Server Active Directory の使用を開始する方法について説明します。 この記事では、Windows LAPS を使用して Windows Server Active Directory にパスワードをバックアップするための基本的な手順と、バックアップしたパスワードを取得する方法について説明します。

ドメインの機能レベルとドメイン コントローラーの OS バージョンの要件

ドメインが、2016 以前のドメインの機能レベル (DFL) で構成されている場合は、Windows LAPS パスワード暗号化期間を有効にすることができません。 パスワード暗号化を使用しない場合、クライアントは、クリア テキスト (Active Directory ACL によってセキュリティで保護) にパスワードを格納するようにのみ構成でき、DC はローカル DSRM アカウントを管理するようには構成できません。

ドメインが 2016 DFL に達したら、Windows LAPS パスワード暗号化を有効にすることができます。 ただし、引き続き WS2016 DC を実行している場合、これらの WS2016 DC は Windows LAPS をサポートしていないため、DSRM アカウント管理機能を使用できません。

これらの制限事項を認識していれば、WS2016 より前のサポートされているオペレーティング システムをドメイン コントローラーで使用しても問題ありません。

次の表は、サポート有無の違いがあるさまざまなシナリオの概要を示しています。

ドメインの詳細 クリア テキストのパスワード ストレージのサポートあり 暗号化されたパスワード ストレージのサポートあり (ドメインに参加しているクライアントの場合) DSRM アカウント管理のサポートあり (DC の場合)
2016 以前の DFL はい いいえ いいえ
2016 の DFL (WS2016 DC が 1 つ以上) はい はい あり。ただし、WS2019 以降の DC の場合のみ
2016 DFL (WS2019 以降の DC のみ) はい イエス はい

最新の機能およびセキュリティ強化をご利用いただくために、Microsoft は、クライアント、サーバー、およびドメイン コントローラーで利用可能な最新のオペレーティング システムへのアップグレードを強くお勧めしています。

Windows Server Active Directory スキーマの更新

Windows Server Active Directory スキーマは、Windows LAPS を使用する前に更新する必要があります。 このアクションを実行するには、Update-LapsADSchema コマンドレットを使用します。 これは、フォレスト全体で 1 回限りの操作です。 Update-LapsADSchema cmdlet は、Windows LAPS で更新された Windows Server 2022 または Windows Server 2019 ドメインコントローラでローカルで実行できますが、Windows LAPS PowerShell モジュールに対応していれば、ドメインコントローラ以外でも実行できます。

PS C:\> Update-LapsADSchema

ヒント

-Verbose パラメーターを渡して、Update-LapsADSchema コマンドレット (または LAPS PowerShell モジュールの他のコマンドレット) の実行内容に関する詳細情報を確認します。

マネージド デバイス パスワード更新権限を許可する

管理対象デバイスには、そのパスワードを更新するためのアクセス許可が付与されている必要があります。 このアクションを実行するには、デバイスが含まれる組織単位 (OU) に継承可能なアクセス許可を設定します。 そのためには Set-LapsADComputerSelfPermission が使用されます。例えば次のようにします。

PS C:\> Set-LapsADComputerSelfPermission -Identity NewLaps
Name    DistinguishedName
----    -----------------
NewLAPS OU=NewLAPS,DC=laps,DC=com

ヒント

ドメインのルートに継承可能なアクセス許可を設定する場合は、DN 構文を使用してドメイン ルート全体を指定することで可能になります。 たとえば、-Identity パラメーターに 'DC=laps,DC=com' を指定します。

拡張権限のアクセス許可のクエリを実行する

一部のユーザーまたはグループには、管理対象デバイスの OU に対する拡張権限のアクセス許可が既に付与されている場合があります。 このアクセス許可は、機密属性を読み取る権限を付与するため、問題があります (すべての Windows LAPS パスワード属性が機密としてマークされます)。 これらのアクセス許可が付与されているユーザーを確認する方法の 1 つは、Find-LapsADExtendedRights コマンドレットを使用することです。 次に例を示します。

PS C:\> Find-LapsADExtendedRights -Identity newlaps
ObjectDN                  ExtendedRightHolders
--------                  --------------------
OU=NewLAPS,DC=laps,DC=com {NT AUTHORITY\SYSTEM, LAPS\Domain Admins}

この例の出力では、信頼されたエンティティ (SYSTEM および Domain Admins) のみがこの特権を持っています。 それ以外のアクションは不要です。

デバイス ポリシーを構成する

いくつかの手順を実行して、デバイス ポリシーを構成します。

ポリシー展開メカニズムを選択する

最初の手順では、デバイスにポリシーを適用する方法を選択します。

ほとんどの環境では、Windows LAPS グループ ポリシーを使用して、Windows Server Active Directory ドメイン参加済みデバイスに必要な設定を展開します。

ご使用のデバイスが Microsoft Entra ID にハイブリッド参加もしている場合は、Microsoft IntuneWindows LAPS 構成サービス プロバイダー (CSP) を使用してポリシーをデプロイできます。

特定のポリシーを構成する

少なくとも、BackupDirectory 設定を値 2 (パスワードを Windows Server Active Directory にバックアップする) に構成する必要があります。

AdministratorAccountName 設定を構成しない場合、Windows LAPS の既定では、既定の組み込みローカル管理者アカウントを管理することになります。 この組み込みアカウントは、既知の相対識別子 (RID) を使用することで自動的に識別されるものであり、名前を使用することで識別されるものではありません。 組み込みのローカル管理者アカウントの名前は、デバイスの既定のロケールによって異なります。

カスタム ローカル管理者アカウントを構成する場合は、そのアカウントの名前を使用して AdministratorAccountName 設定を構成する必要があります。

重要

カスタム ローカル管理者アカウントを管理するように Windows LAPS を構成する場合は、そのアカウントが作成されていることを確認する必要があります。 Windows LAPS でアカウントの作成は行われません。 RestrictedGroups CSP を使用してアカウントを作成することをお勧めします。

組織に必要に応じて、PasswordLength などの他の設定を構成できます。

特定の設定を構成しない場合は、既定値が適用されます。これらの既定値を必ず理解しておいてください。 たとえば、パスワード暗号化を有効にしても、ADPasswordEncryptionPrincipal 設定を構成していない場合、パスワードは暗号化され、ドメイン管理のみが暗号化を解除できます。 AdPasswordEncryptionPrincipal は、ドメイン管理以外のユーザーが復号化できるようにする場合に、別の設定で構成できます。

Windows Server Active Directory のパスワードを更新する

Windows LAPS は、現在アクティブなポリシーを定期的 (1 時間ごと) に処理し、グループ ポリシー変更通知に応答します。 この応答は、ポリシーと変更通知に基づいて行われます。

Windows Server Active Directory でパスワードが正常に更新されたことを確認するには、イベント ログで 10018 イベントを探します。

Windows Server Active Directory パスワードの更新が正常に完了したイベント ログ メッセージを示すイベント ログのスクリーンショット。

ポリシー適用後の待機を避けるには、PowerShell コマンドレット Invoke-LapsPolicyProcessing を実行します。

Windows Server Active Directory からパスワードを取得する

Get-LapsADPassword コマンドレットを使用して、Windows Server Active Directory からパスワードを取得します。 次に例を示します。

PS C:\> Get-LapsADPassword -Identity lapsAD2 -AsPlainText
ComputerName        : LAPSAD2
DistinguishedName   : CN=LAPSAD2,OU=NewLAPS,DC=laps,DC=com
Account             : Administrator
Password            : Zlh+lzC[0e0/VU
PasswordUpdateTime  : 7/1/2022 1:23:19 PM
ExpirationTimestamp : 7/31/2022 1:23:19 PM
Source              : EncryptedPassword
DecryptionStatus    : Success
AuthorizedDecryptor : LAPS\Domain Admins

この出力結果は、パスワード暗号化が有効になっていることを示します (Source を参照)。 パスワード暗号化を使用するには、ドメインが Windows Server 2016 ドメイン機能レベル以降用に構成されている必要があります。

パスワードをローテーションする

Windows LAPS は、各ポリシー処理サイクル中に Windows Server Active Directory からパスワードの有効期限を読み取ります。 パスワードの有効期限が切れている場合は、すぐに新しいパスワードが生成されて保存されます。

状況によっては (セキュリティ違反の後やアドホック テストの場合など)、パスワードを早期にローテーションすることをお勧めします。 パスワードのローテーションを手動で強制するには、Reset-LapsPassword コマンドレットを使用します。

Set-LapsADPasswordExpirationTime コマンドレットを使用して、Windows Server Active Directory に格納されている、スケジュールされたパスワードの有効期限を設定できます。 次に例を示します。

PS C:\> Set-LapsADPasswordExpirationTime -Identity lapsAD2
DistinguishedName                           Status
-----------------                           ------
CN=LAPSAD2,OU=NewLAPS,DC=laps,DC=com PasswordReset

Windows LAPS は、次に現行ポリシーを処理するためにウェイクアップしたときに、変更されたパスワードの有効期限を確認し、パスワードをローテーションします。 それまで待てない場合は、Invoke-LapsPolicyProcessing コマンドレットを実行できます。

Reset-LapsPassword コマンドレットを使用すると、パスワードの即時ローテーションを強制的にローカルで実行できます。

AD 障害復旧シナリオ中におけるパスワードの取得

通常、Windows LAPS パスワード (DSRM パスワードを含む) を取得するには、少なくとも 1 つの Active Directory ドメイン コントローラーを使用できる必要があります。 ただし、ドメイン内のすべてのドメイン コントローラーがダウンしている壊滅的なシナリオを検討します。 そのような状況でパスワードを復旧するにはどうすればよいでしょうか?

Active Directory 管理のベスト プラクティスでは、すべてのドメイン コントローラーの定期的なバックアップを定期的に保存することが推奨されます。 マウントされたバックアップ AD データベースに格納されている Windows LAPS パスワードは、-Port パラメータを指定することで、Get-LapsADPassword PowerShell cmdlet を使用してクエリできます。Get-LapsADPassword cmdlet は最近改善されたので、-Port および -RecoveryMode パラメータの両方が指定された場合、ドメインコントローラに接続しなくても、パスワードを復旧できます。 さらに、Get-LapsADPassword は、ワークグループ(ドメインに参加していない)コンピューターでこのモードで実行できるようになりました。

次の例では、AD バックアップ データベースがポート 50000 にローカルでマウントされていることを前提としています。

PS C:\> Get-LapsADPassword -Identity lapsDC -AsPlainText -Port 50000 -RecoveryMode
ComputerName        : LAPSDC
DistinguishedName   : CN=LAPSDC,OU=Domain Controllers,DC=laps,DC=com
Account             : Administrator
Password            : ArrowheadArdentlyJustifyingKryptonVixen
PasswordUpdateTime  : 8/15/2024 10:31:51 AM
ExpirationTimestamp : 9/14/2024 10:31:51 AM
Source              : EncryptedDSRMPassword
DecryptionStatus    : Success
AuthorizedDecryptor : S-1-5-21-2127521184-1604012920-1887927527-35197

重要

ワークグループ コンピューターにマウントされている AD バックアップ データベースから暗号化された Windows LAPS パスワードを取得すると、ワークグループ コンピューターではその SID を分かりやすい名前に変換できないため、AuthorizedDecryptor フィールドは常に未加工の SID 形式で表示されます。

重要

強化された Get-LapsADPassword パスワード取得機能は、Windows Insider ビルド 27695 以降で、クライアントとサーバーの両方の OS バージョンでサポートされています。

関連項目

次のステップ