インターネット技術は重要な部分でより洗練された、端末管理、情報セキュリティになってきた企業内の被写体の情報セキュリティの重要性を見つけるために続けている、それはエンドユーザーに要求することはできませんし、サーバーの管理者が同じセキュリティリスクを持っていますユーザーの行動を規制するための意識と技術レベル、したがって、どのようによく発達した端末管理システムと既存の技術の使用は、管理者の端末層に非常に重要です。行う場合は著作権管理は最優先事項である、およびエンタープライズパスワード管理端末は、著作権管理のための基礎です。

小規模ビジネス、直接クライアントを使用してPCクライアントでは、これはあまり熟練している唯一のワーキンググループパスワードアカウントのパスワードような方法で管理する端末のニーズは、唯一の他のガジェットは、Excelや他の用途に管理します。大企業では、Active DirectoryのAD、ドメインユーザーアカウントのパスワードは、データベースとユーザー権利もADに予約されている中央集中型のADに保持され、この時間を利用して認証を統一され、ADのセキュリティが非常に高い、通常よりもPC、したがって、セキュリティが大幅に強化されます。

しかし、コンピュータのローカル管理者のパスワードにドメインを管理する方法を、Active Directoryを使用すると、時間に一つの企業ITの運用、保守、管理者の頭痛の種、巨大なベースと失敗との契約で、ローカルの管理者アカウントを必要としない、次のように私は、いくつかご紹介しますLAPS（ローカル管理者パスワードソリューション）に焦点を当てて、共通のローカル企業のコンピュータドメイン管理者アカウントの管理、。

いくつかの一般的なローカル管理者パスワードの管理

1.直接無効ローカル管理者

これは、ローカルアカウントの直接管理の必要性を排除し、シンプルかつ粗製の方法です、あなたが実装するグループポリシーを使用することができ、この方法は、問題は、コンピュータのドメインからの障害が原因である、またはドメインアカウントのログインを使用することはできません、コンピュータにログオンすることはできません、 PEなどのツールによって、マシンの管理者を有効にし、パスワードを設定する必要があります。管理は簡単ですが、セキュリティが保証されています。

2.統一ローカル管理者パスワードを使用します

このスタイルは、とヘルプデスクの運用・保守作業のための理想的である一貫性のあるローカルの管理者パスワードを維持するために、いくつかの、会社全体または個々の部門（グループポリシーによって達成することができます）、の手の中にローカル管理者管理者管理者パスワードの休符の企業の中で最も一般的です非常に便利に、しかし限りがあり、パスワードの開示は大きなリスクをもたらすとして、それは非常にお勧めできません。

3.各コンピュータは、同じパスワードを設定されていません

すべてのコンピュータは、異なる管理者パスワードを設定するITスタッフはExcelやノートブックに記録され;しかし、問題がある：、コンピュータの管理者パスワードを見つけ、ファイルまたはレコードに移動するたびに、しかし、タイミングも変更することはできません！運用・保守を大幅にこのようにITスタッフの負担を増やします。

4.各PCのローカル管理者のためのランダムなパスワードを設定します

企業の少数では、コンピュータの起動スクリプトを使用して、各コンピュータのランダムなパスワードを設定し、他の方法で禁止ユーザーが直接無効の長所と短所このように、ローカルの管理者アカウントをローカルアカウントのパスワードを変更するには、ローカルの管理者権限を持ってフィットあまりの違い。

5. LAPS統一された管理コンピュータのローカル管理者パスワード

利点：

全自動、ローカル管理者は、コンピュータアカウントの更新を設定することができます
シンプルOUが保存されたパスワードにアクセスすることにより委任しました。
Active Directoryの構成部品のLAPS（グループポリシー、コンピュータオブジェクトの属性など）、ので、追加のサーバーを使用しているため。
コンピュータアカウントは、パスワードのみを読み取ることがないプロパティから、書き込み/自分のローカル管理者アカウントのパスワード（MS-MCS-AdmPwdプロパティ）を更新することができます。
パスワードの更新トラフィックが暗号化されます。
あなたは簡単にOU内の各コンピュータのパスワードを変更することができます。
自由な

短所：

唯一の現在のパスワード保存、および使用可能な検索
あなただけのLAPS（一つだけパスワード属性）によってローカルの管理者アカウントのパスワードを管理することができます
ハザードドメインコントローラは、ドメイン内のすべてのローカル管理者アカウントのパスワードを危険にさらす可能性があります。
パスワードは、いつでもアクセスすることができ、いつでもパスワードを任命した担当者が使用することができます。あなたは、監査を有効にすることができますが、各OUには、各グループは、ドメインコントローラ上のイベントID 4662を記録するように構成されている必要がありますが。

LAPSコンポーネント

エージェント - MSIによってインストール - グループポリシークライアント側の拡張子（CSE）

イベントログ
ランダムパスワード生成 - クライアントコンピュータからの書き込みADのコンピュータオブジェクト

PowerShellのモジュール

権利プロファイル

アクティブディレクトリ - 集中制御

ドメインコントローラセキュリティログ監査証跡
コンピュータオブジェクトの特別な性質（MS-MCS-AdmPwd、MS-MCS-AdmPwdExpirationTime）

LAPSは、バージョンをサポート

Active Directoryの：

Windows 2003のSP1以降

マネージド/クライアントコンピュータ：

Windows Server 2016
Windows Serverの2012 R2データセンター（x86またはx64）
Windows Serverの2012 R2の標準（x86またはx64）
Windows Serverの2012 R2ベース（x86またはx64）
Windowsの8.1のEnterprise Edition（x86またはx64）
Windowsの8.1プロフェッショナル（x86またはx64）
WindowsのServer 2012のデータセンター（x86またはx64）
Windows Serverの2012、Standard Editionの（x86またはx64）
Windows Serverの2012 Essentialsの（x86の或x64の）
WindowsのServer 2012のベース（x86またはx64）
Windowsの8のEnterprise Edition（x86またはx64）
Windows 8のプロフェッショナル版（x86またはx64）
Windows Server 2008のR2のService Pack 1（x86の或x64の）
Windows 7のサービスパック1（x86の或x64の）
Windows Server 2008のサービスパック2（x86の或x64の）
Windows Vistaのサービスパック2（x86の或x64の）
マイクロソフトのWindows Server 2003のサービスパック2（x86の或x64の）
Itaniumはサポートされていません。

管理ツール：

NET Framework4.0
PowerShellのバージョン2.0以降

LAPSコアの動作

LAPS簡素化、パスワード管理、***ネットワークに対する防御の勧告を実施するために顧客を支援しながら。具体的には、ソリューションが顧客のリスクが発生する横減らすことができたときに、コンピュータ上の同じローカルアカウント管理とパスワードの組み合わせ。LAPSローカルの管理者アカウントのパスワードは、Active Directory内の各コンピュータのために格納され、コンピュータに対応する属性のActive Directoryオブジェクトのセキュリティを保護するために。これは、コンピュータがActive Directoryのパスワードに自分のデータを更新することができ、およびドメイン管理者は、許可されたユーザーまたは（例えば、ワークステーションデスク管理者など）のグループへの読み取りアクセス権を付与することができます。

使用LAPSは、自動的にコンピュータのローカル管理者パスワードを管理することができ、コンピュータのパスワードの各チューブは、ランダムに生成され、安全にActive Directoryインフラストラクチャに保存され、一意であるように、ドメインに参加します。解決策は、Active Directoryインフラストラクチャは、他の技術的なサポート上に構築されています。あなたはすべての管理タスクを実行するために管理されたコンピューターにインストールすることを、グループポリシークライアント側の拡張子（CSE）を使用してLAPS。簡単な設定と管理のためのソリューションの管理ツール。

コアGPO LAPSソリューションは、クライアント側拡張機能（CSE）で、それは次のタスクを実行し、更新のGPOの間に次のアクションを実行できます。

ローカルの管理者アカウントのパスワードの有効期限が切れているか確認してください。
古いパスワードが期限切れになるか、期限が切れる前に新しいパスワードを生成するために、変更する必要がある場合。
パスワードポリシーに応じて新しいパスワードを確認してください。
パスワードは、Active Directoryに報告され、機密パスワードと属性が一緒にActive Directoryに格納されています。
パスワードの有効期限が切れる次回は、Active Directoryへの報告、およびコンピュータアカウントと一緒にプロパティのActive Directoryの属性に格納されます。
アカウントの管理者パスワードを変更します。
そして、ユーザは、Active Directoryからパスワードを読んでそうすることを許可することができます。承認されたユーザは、コンピュータのパスワードを変更することを要求することができます。

LDAPSのインストールと展開

1.インストールアセンブリLAPS.exe

インストール時にDCが、一般的に、サーバ側として使用され、影響ADドメイン管理者のパスワードを発行し、誤った政策を防ぐために、最初に確認してくださいではありません。

2.拡張アーキテクチャ

DCで実行します。

インポートモジュールAdmpwd.ps

更新-AdmPwdADSchema

このとき、ADの表示コンピュータのプロパティには、2つの新しいプロパティは、MS-MCS-AdmPwd（店舗のパスワード）、およびMS-MCS-AdmPwd（ストレージの有効期限）あるだろう。

3.デフォルトの拡張アクセス権を削除します。

設定が間違っているコンピュータのOU権は、パスワードを読み取るために権限のないユーザーを作るので、ユーザおよびグループのアクセス権の財産権の「すべての拡張された権利」を削除することができた場合に保存されたパスワードは、機密である、読み取ることが許可されていませんMS-MCS-AdmPwdのプロパティの値。

必要に応じて、それぞれに以下を繰り返すコンピュータOUを置き、そしてあなたの子供OUのアクセス許可の継承が無効になっている場合、各サブOUも同様の構成を行います。
打开ADSIEdit
在你需要配置的计算机所在OU上点击右键、属性
单击安全选项卡
单击高级
选择不想要能读取密码的组或用户，然后单击编辑。
取消选中所有扩展的权限