LAPS のプロパティ ダイアログで Windows LAPS を設定する
Windows Server Active Directory のユーザーとコンピューター管理スナップインの LAPS プロパティ ダイアログを使って、Windows Server Active Directory 用に Windows ローカル管理者パスワード ソリューション (Windows LAPS) を構成する方法について説明します。
Windows LAPS スナップインの可用性
Windows LAPS 対応 Active Directory ユーザーとコンピューター管理スナップインは、Windows LAPS 機能にパッチが適用されている Windows Server プラットフォームで使用できます。 Active Directory ユーザーとコンピューター管理スナップインは、より大規模な Active Directory Domain Services ロールの一部として、または個々の AD DS Snap-in and Command-Line Tools 機能の一部としてインストールする必要があります。
AD DS Snap-Ins and Command-Line Tools 機能をインストールする方法の 1 つとして、次のようにコマンド ラインから行います。
dism.exe /online /enable-feature:DirectoryServices-DomainController-Tools /all
Windows LAPS 対応 Active Directory ユーザーとコンピューター管理スナップインは、リモート サーバー管理ツール (RSAT) を使用して、Windows LAPS 機能にパッチが適用されているサポート対象の Windows クライアント プラットフォームで使用できます。 クライアント プラットフォームに RSAT を追加するには、[設定]、[システム] (Windows 10 22H2 より古いバージョンの場合は [アプリ])、[オプション機能] の順に移動し、RSAT を追加します (具体的には、"RSAT: Active Directory Domain Services およびライトウェイト ディレクトリ サービス ツール" を検索して追加します)。
Windows LAPS 対応 Active Directory ユーザーとコンピューター管理スナップインは、Windows LAPS をサポートしていない古いプラットフォームでは使用できません。 古いリモート サーバー管理ツール パッケージは、新しいスナップインをサポートするように更新されません。
管理スナップインの LAPS プロパティ ダイアログ
Windows Server Active Directory のユーザーとコンピューター管理スナップインには、コンピューター オブジェクトに使用できる LAPS プロパティ ダイアログが含まれています。
プロパティ ダイアログを使って、次のアクションを実行できます。
- 現在のパスワードの有効期限を表示します。
- パスワードの有効期限を変更します。
- パスワードを有効期限切れにします。
- 現在のアカウントの名前とパスワードを表示します。
重要
LAPS プロパティ ダイアログは、Microsoft LAPS の従来のパスワードまたはパスワードの有効期限の表示には対応していません。
現在のパスワードの有効期限を表示する
Windows Server Active Directory コンピューターのプロパティ ダイアログに初めて移動すると、日時コントロールに現在のパスワードの有効期限が表示されます。 次に例を示します。
パスワードの有効期限を変更する
日時コントロールを使って、パスワードの有効期限を変更できます。 次に例を示します。
日付または時刻を変更する場合は、[適用] を選んでから [OK] を選びます。
パスワードを手動で期限切れにする
パスワードをすぐに期限切れにするには、[今すぐ期限切れにする] を選びます。
[Apply](適用) を選択し、次に [OK] を選択します。
現在のアカウントの名前とパスワードを表示する
コンピューターの現在の Windows LAPS パスワード属性の読み取りと暗号化解除のアクセス許可を現在のユーザーが持っている場合、[アカウント名] と [パスワード] には現在のユーザーのユーザー名とパスワードが表示されます。 パスワードをクリップボードにコピーするには、[パスワードのコピー] を選びます。 パスワードを表示するには、[パスワードの表示] を選びます。
現在のパスワード情報の読み取りや暗号化解除のためのアクセス許可がない場合は、ダイアログに警告が表示されます。
重要
Active Directory ユーザーとコンピューター管理スナップインでは、最近保存されたパスワードの表示のみがサポートされています。 古いパスワードのクエリを実行するには (パスワード履歴を有効にした場合)、Get-LapsADPassword PowerShell コマンドレットを使用する必要があります。