LAPS のインストールと展開

LAPS のインストール

LAPS をインストールしてみます。以下の環境でテストしました。LAPS の概要は前の投稿で。

  • Active Directory (Domain Services): Windows Server 2016 (機能レベル: Windows Server 2016)
  • Active Directory ドメイン名: example.local
  • LAPS 管理コンピューター: Windows Server 2016 (役割: AD DS、コンピューター名: W2016-1)
  • LAPS 管理対象コンピューター 1: Windows 10 Pro (コンピューター名: W10-1)
  • LAPS 管理対象コンピューター 2: Windows 7 Professional SP1 (コンピューター名: W7-1)

  1. LAPS をダウンロードします。必要に応じて、32bit 版と 64bit 版を選択します。
  2. ダウンロードした MSI ファイルを実行してインストールを開始します。
  3. ウィザードが起動するので、Next を実行します。
  4. I accept the terms in the License Agreement にチェックを付け、Next を実行します。
  5. LAPS 管理コンピューターにインストールする場合、Management Tools 配下のモジュールを選択して、Next を実行します。
  6. LAPS 管理対象コンピューターにインストールする場合、AdmPwd GPO Extension のみを選択して、Next を実行します。
  7. Install を実行します。
  8. Finish を実行することで、インストールは完了です。

LAPS の初期設定

どのコンピューターを LAPS で管理するのか、ルールによって設定されたパスワードを誰が閲覧、リセットできるかを設定します。PowerShell の各コマンドレットについては、Wiki を確認してみてください。

  1. LAPS 管理コンピューターで PowerShell を管理者モードで起動します。
  2. Import-Module -Name AdmPwd.PS で LAPS モジュールを組み込みます。
  3. Get-Command -Module AdmPwd.PS で LAPS 関係のコマンドレットを確認できます。
  4. Update-AdmPwdADSchema で Active Directory に拡張属性を追加します。
  5. Find-AdmPwdExtendedRights で LAPS 管理対象コンピューターを保管するするために利用するコンテナーの設定状況を確認します。ドメイン参加コンピューターが管理される既定値である Computers コンテナーを LAPS で管理するために利用する場合は以下のように指定します。

    Computers コンテナーには既定で NT AUTHORITY\SYSTEMDomain Admins に拡張属性へのアクセス権限が付与されています。
  6. Set-AdmPwdComputerSelfPermission で LAPS で管理するコンテナーを指定します。今回は Computers コンテナーを利用します。
  7. Computers コンテナーで LAPS 管理対象コンピューターを管理し、拡張属性の管理を Domain Admins に所属するユーザーのみで行う場合には、これで初期設定は完了です。管理するコンテナーやローカル管理者パスワードの管理者を変更する場合は、LAPS の管理対象や管理ユーザーを指定する を確認してください。

グループポリシーでの設定

PowerShell での初期設定 (事前準備) が完了したら、グループポリシーによって LAPS 管理対象コンピューターへ、ローカル管理者パスワードのルールを展開します。

  1. ドメイン コントローラーなどから、グループポリシーの管理 を開きます。
  2. LAPS 管理対象コンピューターが存在するコンテナーに対して、GPO を作成します。
  3. GPO の名前を今回は LAPS としておきます。
  4. 作成した GPO を編集します。
  5. コンピューターの構成 – ポリシー – 管理用テンプレート – LAPS を開きます。
  6. 最低限 Password Settings (パスワードのルール) の内容を設定し、Enable local admin password management (LAPS の有効化) を有効にすれば設定は完了です。
  7. LAPS 管理対象コンピューターにグループポリシーが反映された時点でローカル管理者パスワードが変更されます。
  8. これで、LAPS を利用したローカル管理者パスワードの展開は完了です。

LAPS のインストールと展開」への2件のフィードバック

  1. ピンバック: ローカル管理者のパスワードを LAPS で管理する | blog.yottun8.com

  2. ピンバック: LAPS の管理対象や管理ユーザーを指定する | blog.yottun8.com

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です