LAPS (Local Administrator Password Solution) でローカル管理者パスワードの一括管理を Computers コンテナーで行う場合は、LAPS のインストールと展開 の内容のみで完結できます。ただ、ローカル管理者パスワードの管理対象を絞りたい場合には、ドメイン参加コンピューターの既定値である Computers コンテナーでは不都合があるかもしれません。以下のようにすることで、ローカル管理者パスワードの管理対象を指定することができます。
LAPS の初期設定 (管理対象コンテナーを指定する)
- LAPS 管理コンピューターで PowerShell を管理者モードで起動します。
- Import-Module -Name AdmPwd.PS で LAPS モジュールを組み込みます。
- Update-AdmPwdADSchema で Active Directory に拡張属性を追加します。
- Set-AdmPwdComputerSelfPermission で LAPS で管理するコンテナーを指定します。今回は ManagedByLAPS OU を LAPS で利用することにします。
1Set-AdmPwdComputerSelfPermission -Identity "OU=ManagedByLAPS,DC=example,DC=local" - ManagedByLAPS OU に所属するコンピューターのローカル管理者パスワードの読み取りを、Domain Admins だけではなく LAPSManager グループにも管理させる場合は、次のようにします。
1Set-AdmPwdReadPasswordPermission -Identity "OU=ManagedByLAPS,DC=example,DC=local" -AllowedPrincipals "example\LAPSManager" - ManagedByLAPS OU に所属するコンピューターのローカル管理者パスワードのリセットを、Domain Admins だけではなく LAPSManager グループにも管理させる場合は、次のようにします。
1Set-AdmPwdResetPasswordPermission -Identity "OU=ManagedByLAPS,DC=example,DC=local" -AllowedPrincipals "example\LAPSManager" - Find-AdmPwdExtendedRights で LAPS 管理対象コンピューターを保管するするために利用するコンテナーの設定状況を確認します。
1Find-AdmPwdExtendedRights -Identity "OU=ManagedByLAPS,DC=example,DC=local" - これらの作業により、ManagedByLAPS OU で LAPS 管理対象コンピューターを管理し、拡張属性の管理を Domain Admins と LAPSManager に所属するユーザーで行うことができます。
ピンバック: LAPS のインストールと展開 | blog.yottun8.com