ローカル管理者パスワードの確認

LAPS を有効化すると、各管理対象コンピューターのローカル管理者パスワードが自動でユニークなものに変更されます。現在設定されているローカル管理者パスワードは Active Directory に拡張属性として平文で保管されているため、対象のコンピューターにサインインする場合に利用できます。この拡張属性は LAPS の初期設定では、Find-AdmPwdExtendedRights で確認できたアカウントやグループのみが閲覧、リセットできるようになっていますが、Set-AdmPwdReadPasswordPermission や Set-AdmPwdResetPasswordPermission コマンドレットを利用することで、追加することもできます。

Active Directory ユーザーとコンピューターでの確認

1. Active Directory ユーザーとコンピューター を開きます。
2. 拡張属性を表示する設定になっていない場合は、表示 – 拡張機能 を指定します。
3. LAPS 管理対象コンピューターの プロパティ を開き、属性エディター タブを選択します。ms-Mcs-AdmPwd 属性に LAPS で設定されたローカル管理者パスワードが、ms-Mcs-AdmPwdExpirationTime にパスワードの有効期限が保存されていることを確認できます。
4. パスワード有効期限の値は NT システム時刻表記になっていて分かりにくいため、w32tm コマンドを利用することで、読み取り可能な形式で確認できます。

LAPS UI での確認

1. LAPS 管理コンピューターで、LAPS UI を開きます。
2. ComputerName 欄に確認したい LAPS 管理対象コンピューター名を入力し、Search を実行します。
3. 該当するコンピューターのローカル管理者パスワードとパスワード有効期限を確認できます。

PowerShell での確認

1. LAPS 管理コンピューターで PowerShell を起動し、LAPS 用モジュールをインポートします。
2. Get-AdmPwdPassword コマンドレットにより、指定したコンピューターのローカル管理者パスワードとパスワード有効期限を確認できます。