Active Directoryドメインでラップをセットアップおよび構成する方法。

、 最後に更新されました：2025年4月2日

この記事には、Active Directoryドメイン環境にMicrosoftラップをインストールおよび構成する方法に関する段階的な指示が含まれています。

Microsoftのローカル管理者パスワードソリューション（LAPS）は、安全で自動化された方法でドメイン接合コンピューターのローカル管理者パスワードを管理する方法を提供するセキュリティ機能です。これは、ローカル管理者のパスワードが複数のコンピューターで同じである企業環境のセキュリティギャップに特に対処しているため、攻撃者が1つのコンピューターを損なうとネットワーク上のすべてのコンピューターにアクセスしやすくなります。

ラップはどのように機能しますか？

各ドメイン接合コンピューター（クライアント側）に、一意のローカル管理者パスワードを生成し、新しいパスワードでActive Directoryを更新する新しいGPO拡張機能がインストールされます。

Active Directoryでは、ディレクトリスキーマが拡張されており、各ドメインに接続されたコンピューターからローカル管理者のパスワードを保存するため、管理者がパスワード管理を簡単にすることが簡単になります。

Microsoftのローカル管理者パスワードソリューション（ラップ）のインストールと構成方法。

ステップ1。ラップを使用するすべてのコンピューターで新しいOUを作成します。（オプションのステップ）。

* 注記：ラップが機能するには、ラップを使用してローカル管理者のパスワードを管理するすべてのワークステーション（クライアント）を備えた組織ユニット（OU）が必要です。したがって、このタスクのOUがない場合は、先に進んで新しいOUを作成してから、ラップを使用するすべてのワークステーションを追加します。それをするために：

1。開けるActive Directoryユーザーとコンピューター。

2。右クリックしますあなたにドメイン選択します新しい>組織ユニット。

3。新しいOUに名前（「ワークステーション」など）を付けてクリックしますわかりました。

4。今開いてくださいコンピューターオブジェクト、ラップを使用するすべてのコンピューター（ワークステーション）を選択してクリックします動く。

5。最後に、前に作成した新しいOUをリストから選択して、クリックしますわかりました。

6。最後に、新しいOUのラップで管理したいすべてのワークステーションが必要です。

ステップ2。管理コンピューターにマイクロソフトラップをインストールします。

ローカル管理者パスワードソリューション（ラップ）をセットアップする最初のステップは、管理コンピューターにラップをインストールすることです。

* 注記：管理コンピューターは、ドメインコントローラーまたはドメインに結合された他のコンピューターのいずれかにすることができます。（この記事では、サーバー2016ドメインコントローラーにラップをインストールします）

1。ラップソフトウェアをダウンロードします（laps.x64.msi）以下のリンクから：

https://www.microsoft.com/en-us/download/details.aspx?id=46899

2。ダブルクリックしますでlaps.x64.msiインストールを開始して選択します次最初の画面で。それから受け入れるライセンス契約とクリック次また。

3。次の画面では、の左側の矢印をクリックします管理ツール選択します機能全体がローカルハードドライブにインストールされます。次に、クリックします次その後インストール管理コンピューターにラップをインストールします。

ステップ3。クライアント（ワークステーション）にマイクロソフトラップをインストールします。

次に、先に進み、ラップをインストールしますADMPWD GPO拡張ドメインに結合されたすべてのワークステーションのコンポーネント。それをするために：

1。ラップソフトウェアをダウンロードします（laps.x64.msi）以下のリンクから：

3。次の画面では、ADMPWD GPO拡張コンポーネントが選択されてクリックされます次その後インストール。

ステップ4。アクティブディレクトリスキーマを変更します。

次に、ドメインコントローラーで、アクティブディレクトリの「コンピューター」オブジェクトに次の2つの新しい属性を追加することにより、ディレクトリスキーマを進めて変更します。

MS-MCS-ADMPWD：この属性は、ラップのセットアップが完了したときに、コンピューターの管理者パスワードをクリアテキストに表示します。
MS-MCS-ADMPWDEXPIRATIONTIME：この属性には、パスワードの有効期限が表示されます。

1。上記の属性を追加するには、ドメインコントローラーにPowerShellを開き、次の2つのコマンドを指定します。

Import-Module admpwd.ps
Update-Admpwdadschema

2。PowerShellウィンドウを閉じることなく、次のステップに進みます。 *

* 注記：PowerShellウィンドウを閉じて新しいウィンドウを開くと、「Import-Module Admpwd.ps」を再度実行する必要がある場合があります。

ステップ5。ラップのワークステーション権限を設定します。

ラップセットアップの次のステップは、ワークステーション（クライアント）に必要なアクセス許可を提供して、独自の管理されたローカル管理者パスワードのパスワードとタイムスタンプをLaps Managementコンピューターに更新することです。これを行うには、次のコマンドをPowerShellで発行して、ラップを使用するOUに許可を付与します（例：ワークステーション「この例のou）。*

set -admpwdcomputerselfpermission -orgunit "ワークステーション「

* 注記：上記の例では、「ワークステーション」をラップを使用するOU名に置き換えます。

ステップ6。ラップのグループポリシーを作成します。

ラップセットアップの最後のステップは、ラップ設定の新しいグループポリシーを作成することです。

1。開けるサーバーマネージャーそしてからツールメニューしてから開きますグループポリシー管理。

2。グループポリシー管理コンソールでは、ドメインを拡張し、ドメインの下に、右クリックしますラップ用のコンピューターを含むOUでこのドメインでGPOを作成し、ここにリンクしてください…

3。新しいポリシー（「ラップ」など）の認識可能な名前を付けてクリックしますわかりました。

4。今右クリックします>編集新しいGPO。

5。行きますコンピューター構成>ポリシー>管理テンプレート>ラップ

6a。開きますローカル管理パスワード管理を有効にしますポリシー。

6b。選んだ有効になっていますクリックしますわかりました。

7a。ここで開きますパスワード設定ポリシー

7b。選択します有効になっています以下にパスワードの複雑さ、長さ、年齢を設定します。（有効期限）。完了したら、クリックしますわかりました。

8。この時点で、ラップを使用して標準のローカルビルトイン管理アカウント「管理者」を使用する場合、ラップの基本的な構成が完了しました。*

* 注記：場合に備えて、ワークステーションでカスタムローカル管理アカウントをセットアップし（例：「LocalAdmin」という名前）、ラップで「管理者」の代わりにそのアカウントを使用する必要があります。有効にする管理する管理者アカウントの名前ポリシーと入力カスタムローカル管理アカウントの名前を入力します。

ラップを使用してローカル管理者のパスワードを表示する方法。

上記の手順を使用してラップを設定した後、次の方法でラップがインストールされているワークステーションでローカル管理者のパスワードを表示できるはずです。

方法1。ラップUIを使用してローカル管理者パスワードを表示します。

1。管理コンピューターでラップUIアプリケーションを開き、ローカル管理者のパスワードとその有効期限を表示するマシンの名前を検索します。

方法2。コンピューターの属性を使用してローカル管理者のパスワードを表示します。

1。Active Directoryユーザーとコンピューターでは、ラップを有効にしたOUに移動します。2。 右クリックしますコンピューターオブジェクトでパスワードを表示して選択したいプロパティ。
3。を選択します属性エディタータブ、そして下にスクロールして「」を見つけますMS-MCS-ADMPWD"＆"MS-MCS-ADMPWDEXPIRATIONTIME「価値。

* 情報：MS-MCS-ADMPWD属性は、プレーンテキストのパスワードを表示します。MS-MCS-ADMPWDEXPIRATIONTIME属性は、有効期限を、1601年1月1日の0時間以来、保存されている日付/時刻まで経過した100ナノ秒間隔として表示されます。時間は常にアクティブディレクトリのグリニッジ平均時間（GMT）に保存されます。手動で変換する場合は、このコマンドを使用してください。