Windows LAPSを使ってローカル管理者のパスワードを管理

• URL: https://zenn.dev/8chikuwa3/articles/e3be0d5e4cbe8b
• 日付: 2026-06-26
• Tier: Tier 3
• 要旨: Windows LAPS（Local Administrator Password Solution）を使い、ADドメイン参加端末のローカル管理者パスワードを自動生成・管理する構築手順の記録。キッティング時に共通パスワードが残る問題を解消するため、ADスキーマを更新してOUにパスワード更新権限を付与し、グループポリシーでパスワード複雑度・有効期間・バックアップ先などを設定する。パスワードはActive Directoryに暗号化保存され、承認済み管理者のみ参照可能。認証後アクション機能を使えば、ローカル管理者でログインされた後に猶予時間を経てパスワードリセット＋強制ログオフや再起動を自動実行できる。

詳細

• 検証環境: ADサーバ Windows Server 2016 Datacenter、クライアント Windows 11 Pro 23H2
• Windows Server 2016ではサーバ上でLAPS設定不可のため、クライアントにAD DS + グループポリシーのRSATツールをインストールして操作
• 操作手順:
  1. スキーマ更新: Update-LapsADSchema（フォレスト全体で1回のみ実行）
  2. OU権限付与: Set-LapsADComputerSelfPermission -Identity
  3. グループポリシー設定: [コンピュータの構成]-[管理用テンプレート]-[システム]-[LAPS]
• GPO設定項目:
  • パスワードバックアップディレクトリ: Active Directory
  • パスワードの暗号化: 有効（ドメイン機能レベルWS2016以上で有効）
  • パスワード複雑さ: 大文字+小文字+数字+特殊文字、長さ14、有効期間180日
  • 暗号化パスワード履歴サイズ: 3
  • 管理アカウント名: キッティング時に使用したアカウントを指定
  • 認証後アクション: 猶予8時間後にパスワードリセット＋デバイス再起動
• 確認: ADユーザーとコンピューターでコンピュータオブジェクトのLAPSタブからパスワード確認可能