ローカル管理者のパスワードをLAPSで一括変更

LAPS(Local Administrator Password Solution)とは、Microsoftが提供する管理ツールであり 、このツールを使用することで、ローカル管理者のパスワードを「自動で」「定期的に」更新することができます。Active Directory環境を利用している企業の多くは、管理者のアカウントとして、ドメイン 管理者アカウントを使用しているかと思います。一方、ローカル管理者はほとんど使用されることがないため、「パスワードはセットアップ時のまま変更されていない」、あるいは「同一パスワードが使い回されている」という状況も少なくないのではないでしょうか。この場合、たとえドメイン管理者アカウントに対する管理を徹底していたとしても、一台のローカル管理者のパスワードが流出することで 、他のドメイン端末にも侵入され、被害が一気に拡大する危険があります。 このような被害を防ぐため、あまり使用されないローカル管理者のパスワードについても、適切な管理を行うことが求められてきます。

そこで、LAPSを使用することにより、各ドメイン端末の管理者アカウントに対して、ランダムなパスワードを自動発行し、定期的な更新を行うことができます。また、グループポリシーからの管理にも対応しているため、ドメイン全体での運用・管理を簡単に行うことが可能です。以下では、LAPSの導入方法について、ご紹介します。

2．LAPSの導入

2－1．環境の用意

LAPSで管理する端末（クライアント）と、LAPSで管理されているパスワードを一元管理する端末（マネージャー）を決定します。また、LAPSの動作には「Windows PowerShell 2.0」以上と、「Microsoft .NET Framework 4.0」が必要となるため、ない場合はインストールしておきます。

2－2．LAPSのインストール

MicrosoftのダウロードセンターからLAPSのインストーラーを入手して、クライアント側とマネージャー側にてそれぞれ実行します。また、途中でインストールするコンポーネントの選択画面が表示されますが、クライアント側では「AdmPwd GPO Extension」を選択し、マネジャー側では「Management Tools」を選択します。

2－3．スキーマの拡張やアクセス権の設定

ドメインコントローラーに、クライアントのパスワード情報と有効期限の値を格納するため、スキーマの拡張を行う必要があります。LAPSモジュールを組み込み、スキーマを拡張するには、ドメインコントローラー上でPowerShellを管理者権限で起動し、以下のコマンドを実行します。

> Import-module AdmPwd.PS
> Update-AdmPwdADSchema

これにより、コンピューターアカウントのスキーマに「ms-Mcs-AdmPwd」（コンピューターアカウントに対するパスワード）と「ms-Mcs-AdmPwdExpirationTime」（パスワードの有効期限）が追加されます。

次に、クライアントが登録されているOUに対して、上記の属性への書き込み権限を付与するため、以下のように指定します。

> Set-AdmPwdComputerSelfPermission -Identity "CN=Computers,DC=metech,DC=local"

※例として、ドメイン名を「metech.local」としています。

なお、デフォルトでは「NT AUTHORITY\SYSTEM」と「Domain Admins」に拡張属性へのアクセス権限が付与されていますが、 他のユーザーやグループを追加する場合は、以下のように指定します。

> Set-AdmPwdReadPasswordPermission -Identity "OU=Computers,DC=metech,DC=local" -AllowedPrincipals "ユーザーまたはグループ名"

2－4．GPOにてLAPSの項目を設定

マネージャー側のグループポリシーでLAPS用のテンプレートが追加されるため、ここからクライアントに対してLAPSのポリシーを追加します。

設定手順：
コンピューターの構成 > 管理用テンプレート > LAPS からLAPSの項目を設定

最低限、パスワードのルール (Password Setting)と、LAPSの有効化 (Enable local admin password management)を設定することで、LAPによる管理が可能となります。クライアントにグループポリシーが反映された時点で、ローカル管理者パスワードが変更されます。

2－5．パスワードの確認

クライアントのローカル管理者アカウントに対して、割り当てられたパスワードを確認するための方法として、以下の2つのが挙げられます。
１）ドメインコントローラーにログオン > ユーザーとコンピューター > クライアントのプロパティ画面 > 属性エディター から確認

※「属性エディター」は「表示」メニューから「拡張機能」を有効にする必要があります。

２）マネージャー側にインストールされる、「LAPS UI」から確認

3．LAPSの監査

LAPSにより、正常にパスワードの変更が行われているかを確認するための監査ツールとして、最後に、弊社製品のADAudit Plusをご紹介させていただきたいと思います。ADAudit Plusはビルド5031から、監査対象として、LAPSによるパスワード変更を追加しました。ADAudit Plusを使用していただくことで、定期的にパスワードの変更が行われているかを確認する際、各クライアントPCのプロパティ画面や、マネージャー側の「LAPS UI」を開く必要がなく、ワンクリックで変更履歴を表示することができ、また過去の変更履歴を証跡として残すことが可能となります。

確認方法：
レポート > コンピューター管理 > コンピューター属性の新しい / 古い値

※「コンピューター属性の新しい/古い値」にて、変更済み属性が「ms-Mcs-AdmPwdExpirationTime」となっているイベントが、LAPSにより変更されたものになります。

もし、少しでもADAudit Plusにご興味を持っていただけましたら、「30日間の無料トライアル（評価版）」を是非お試しください。評価期間中は、技術サポートもご利用可能です。

≪ADAudit Plusのダウンロードページ≫
https://www.manageengine.jp/products/ADAudit_Plus/download.html

Password Manager Proもおすすめ！

LAPSでは解決できないようなローカル管理者パスワードの課題には、特権ID管理ツール「Password Manager Pro」がおすすめです。ユーザーにパスワードを貸し出す際のパスワード利用時間の制限や、録画による操作内容の記録、さらに操作終了後のパスワードの自動変更など、ローカル管理者アカウントを効率的かつ安全に運用するための機能を豊富にそろえています。
詳しくは、【Password Manager Pro ローカル管理者アカウント管理 ページ】でご紹介していますので、ぜひご覧ください。