LAPS の管理対象や管理ユーザーを指定する

LAPS (Local Administrator Password Solution) でローカル管理者パスワードの一括管理を Computers コンテナーで行う場合は、LAPS のインストールと展開 の内容のみで完結できます。ただ、ローカル管理者パスワードの管理対象を絞りたい場合には、ドメイン参加コンピューターの既定値である Computers コンテナーでは不都合があるかもしれません。以下のようにすることで、ローカル管理者パスワードの管理対象を指定することができます。

LAPS の初期設定 (管理対象コンテナーを指定する)

  1. LAPS 管理コンピューターで PowerShell を管理者モードで起動します。
  2. Import-Module -Name AdmPwd.PS で LAPS モジュールを組み込みます。
  3. Update-AdmPwdADSchema で Active Directory に拡張属性を追加します。
  4. Set-AdmPwdComputerSelfPermission で LAPS で管理するコンテナーを指定します。今回は ManagedByLAPS OU を LAPS で利用することにします。
  5. ManagedByLAPS OU に所属するコンピューターのローカル管理者パスワードの読み取りを、Domain Admins だけではなく LAPSManager グループにも管理させる場合は、次のようにします。
  6. ManagedByLAPS OU に所属するコンピューターのローカル管理者パスワードのリセットを、Domain Admins だけではなく LAPSManager グループにも管理させる場合は、次のようにします。
  7. Find-AdmPwdExtendedRights で LAPS 管理対象コンピューターを保管するするために利用するコンテナーの設定状況を確認します。
  8. これらの作業により、ManagedByLAPS OU で LAPS 管理対象コンピューターを管理し、拡張属性の管理を Domain Admins と LAPSManager に所属するユーザーで行うことができます。

LAPS の管理対象や管理ユーザーを指定する」への1件のフィードバック

  1. ピンバック: LAPS のインストールと展開 | blog.yottun8.com

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です