PowerShell LAPS (Local Administrator Password Solution)

PowerShell で LAPS の設定ができるようにする

PS> Import-Module -Name AdmPwd.PS

コマンドレット一覧

Get-Command -Module AdmPwd.PS | Select-Object -Property Name

取得

LAPS で管理されているコンピューターのローカル管理者パスワードを確認する

  • コンピューター (W10-1) のローカル管理者パスワードを確認する
    Get-AdmPwdPassword -ComputerName W10-1
  • 全コンピューターのローカル管理者パスワードを確認する (全コンテナーのコンピューター一覧が取得される)
    Get-AdmPwdPassword -ComputerName *

探索

拡張属性の読み取り権限 (CONTROL_ACCESS) 設定状況を確認する

  • Computers コンテナーの権限設定状況を確認する
    Find-AdmPwdExtendedRights -Identity "CN=Computers,DC=example,DC=local"
  • Computers コンテナーと、コンテナーに存在するコンピューターの権限設定状況を確認する
    Find-AdmPwdExtendedRights -Identity "CN=Computers,DC=example,DC=local" -IncludeComputers
  • Update-AdmPwdADSchema によりスキーマの拡張を行う前に拡張属性の権限設定状況を確認する
    Find-AdmPwdExtendedRights -Identity "CN=Computers,DC=example,DC=local" -SchemaNotUpdated

設定

コンテナーにローカル管理者パスワードについての監査を追加する

  • Computers コンテナー配下のコンピューターへのローカル管理パスワードの変更について、Authenticated Users による成功の監査を追加する。
    Set-AdmPwdAuditing -Identity "CN=Computers,DC=example,DC=local" -AuditedPrincipals "Authenticated Users"
  • Computers コンテナー配下のコンピューターへのローカル管理パスワードの変更について、ReadPwds グループ による失敗の監査を追加する。
    Set-AdmPwdAuditing -Identity "CN=Computers,DC=example,DC=local" -AuditedPrincipals "example\ReadPwds" -AuditType Failure

コンテナーにローカル管理者パスワードを報告する権限を与える

  • Computers コンテナーへ、ローカル管理者パスワードを報告するための権限を与える
    Set-AdmPwdComputerSelfPermission -Identity "CN=Computers,DC=example,DC=local"
  • MyComputers コンテナーへ、ローカル管理者パスワードを報告するための権限を与える
    Set-AdmPwdComputerSelfPermission -Identity MyComputers
  • DomainPCs OU へ、ローカル管理者パスワードを報告するための権限を与える
    Set-AdmPwdComputerSelfPermission -Identity "OU=DomainPCs,DC=example,DC=local"

指定したアカウントやグループに対して、ローカル管理者パスワードの読み取り権限を与える

  • ReadPwds グループに Computers コンテナーに属するコンピューターのローカル管理者パスワード読み取り権限を与える
    Set-AdmPwdReadPasswordPermission -Identity "CN=Computers,DC=example,DC=local" -AllowedPrincipals "example\ReadPwds"

指定したアカウントやグループに対して、ローカル管理者パスワードのリセット権限を与える

  • ResetPwds グループに Computers コンテナーに属するコンピューターのローカル管理者パスワードリセット権限を与える
    Set-AdmPwdResetPasswordPermission -Identity "CN=Computers,DC=example,DC=local" -AllowedPrincipals "example\ResetPwds"

ローカル管理者パスワードをリセットする

  • W10-1 コンピューターのローカル管理者パスワードをすぐ (次回のグループポリシー更新時) にリセットする
    Reset-AdmPwdPassword -ComputerName W10-1
  • W10-1 コンピューターのローカル管理者パスワードを 2017/01/28 22:15 (指定した日時を過ぎた次のグループポリシー更新時) にリセットする
    Reset-AdmPwdPassword -ComputerName W10-1 -WhenEffective "2017/01/28 22:15"

更新

LAPS 用の拡張属性を追加するよう Active Directory のスキーマを更新する

  • Active Directory のスキーマを更新する
    Update-AdmPwdSchema

トップ   編集 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2017-01-29 (日) 09:30:00 (510d)