PowerShell LAPS (Local Administrator Password Solution) †
#enull{{
&tag(PowerShell,LAPS,Local Administrator Password Solution,AdmPwd.PS,ローカル管理者,パスワード);
}}
PowerShell で LAPS の設定ができるようにする †
PS> Import-Module -Name AdmPwd.PS
コマンドレット一覧 †
Get-Command -Module AdmPwd.PS | Select-Object -Property Name
取得 †
LAPS で管理されているコンピューターのローカル管理者パスワードを確認する †
探索 †
拡張属性の読み取り権限 (CONTROL_ACCESS) 設定状況を確認する †
- Computers コンテナーの権限設定状況を確認する
Find-AdmPwdExtendedRights -Identity "CN=Computers,DC=example,DC=local"
- Computers コンテナーと、コンテナーに存在するコンピューターの権限設定状況を確認する
Find-AdmPwdExtendedRights -Identity "CN=Computers,DC=example,DC=local" -IncludeComputers
- Update-AdmPwdADSchema によりスキーマの拡張を行う前に拡張属性の権限設定状況を確認する
Find-AdmPwdExtendedRights -Identity "CN=Computers,DC=example,DC=local" -SchemaNotUpdated
設定 †
コンテナーにローカル管理者パスワードについての監査を追加する †
- Computers コンテナー配下のコンピューターへのローカル管理パスワードの変更について、Authenticated Users による成功の監査を追加する。
Set-AdmPwdAuditing -Identity "CN=Computers,DC=example,DC=local" -AuditedPrincipals "Authenticated Users"
- Computers コンテナー配下のコンピューターへのローカル管理パスワードの変更について、ReadPwds グループ による失敗の監査を追加する。
Set-AdmPwdAuditing -Identity "CN=Computers,DC=example,DC=local" -AuditedPrincipals "example\ReadPwds" -AuditType Failure
コンテナーにローカル管理者パスワードを報告する権限を与える †
- Computers コンテナーへ、ローカル管理者パスワードを報告するための権限を与える
Set-AdmPwdComputerSelfPermission -Identity "CN=Computers,DC=example,DC=local"
- MyComputers コンテナーへ、ローカル管理者パスワードを報告するための権限を与える
Set-AdmPwdComputerSelfPermission -Identity MyComputers
- DomainPCs OU へ、ローカル管理者パスワードを報告するための権限を与える
Set-AdmPwdComputerSelfPermission -Identity "OU=DomainPCs,DC=example,DC=local"
指定したアカウントやグループに対して、ローカル管理者パスワードの読み取り権限を与える †
指定したアカウントやグループに対して、ローカル管理者パスワードのリセット権限を与える †
ローカル管理者パスワードをリセットする †
更新 †
LAPS 用の拡張属性を追加するよう Active Directory のスキーマを更新する †
- Active Directory のスキーマを更新する
Update-AdmPwdSchema