WindowsのLAPS(Local Administrator Password Solution)は、ローカル管理者パスワードをランダム化し、Active Directoryで管理する便利な機能です。しかし、いざパスワードを取得しようとしたときに「アクセスが拒否されました」や「パスワードが表示されない」といったエラーに遭遇することがあります。このような問題の多くは、適切な権限が付与されていないか、コンピュータオブジェクトが正しく登録されていないことに起因します。本記事では、権限と端末登録の観点から原因を切り分け、具体的な対処手順を解説します。
【要点】この記事で確認すること
- 最初に見る場所: Active Directoryユーザーとコンピュータ(dsa.msc)またはADSIエディターで、自分が属するグループにLAPSの読み取り権限があるか確認します。また、コンピュータオブジェクトの属性「ms-Mcs-AdmPwd」「ms-Mcs-AdmPwdExpirationTime」が存在するかも確認します。
- 切り分けの軸: パスワード取得失敗は「権限の問題」か「端末登録(コンピュータオブジェクトの更新)の問題」に大別されます。前者はユーザーやグループのアクセス権、後者はLAPSクライアント側でパスワードがADに書き込まれていない状態です。
- 注意点: 権限の変更やADSIエディターの操作は、環境によっては影響が大きいため、必ず管理者権限を持つ方に依頼するか、テスト用OUで実施してください。勝手にACLを変更すると、意図しないユーザーにパスワードが漏洩するリスクがあります。
ADVERTISEMENT
目次
1. LAPSパスワード取得に失敗する代表的な原因
LAPSパスワードの取得がうまくいかない原因は、大きく分けて2つです。1つはユーザー(またはグループ)にパスワードの読み取り権限が付与されていないケース、もう1つはLAPSクライアントがパスワードをADに書き戻せていないケースです。それぞれの詳細を見ていきましょう。
原因1:権限不足(LAPSの読み取り権限が無い)
LAPSでは、パスワードを読み取るために「ms-Mcs-AdmPwd」属性に対する読み取り権限が必要です。この権限は、コンピュータオブジェクトのセキュリティ設定で付与します。もし自分のアカウントや所属グループにこの権限が無ければ、PowerShellコマンド(Get-ADComputer -Identity PC名 -Property ms-Mcs-AdmPwd)などでパスワードを取得しようとしても空欄やエラーになります。
原因2:端末がADにパスワードを書き込めていない(端末登録の問題)
LAPSクライアント(Windows 10 1809以降に標準搭載)は、一定間隔(既定では24時間)でローカル管理者パスワードを変更し、その新しいパスワードをコンピュータオブジェクトの「ms-Mcs-AdmPwd」属性に書き込みます。この書き込みが行われていない場合、属性が空または古いパスワードのままとなり、最新パスワードを取得できません。原因として、グループポリシー設定の誤り、LAPSクライアントの未インストール、またはADのアクセス許可の欠如が考えられます。
2. 権限設定の確認手順
まずは、現在の権限設定を確認しましょう。以下の手順は、権限が正しく付与されているかどうかを調べる際に役立ちます。
- 管理者権限を持つアカウントで、Active Directoryユーザーとコンピュータ(dsa.msc)を開きます。
- パスワードを取得したいコンピュータが属するOUを選択し、該当コンピュータのプロパティを開きます。
- 「セキュリティ」タブを選択し、自分のアカウントまたは所属グループが一覧に表示されているか確認します。
- 表示されている場合、そのエントリを選択し、「詳細設定」をクリックします。
- 権限エントリ一覧から、「ms-Mcs-AdmPwd」に関連するアクセス許可を探します。「読み取り」が許可されていることを確認してください。
- もし権限が無ければ、「追加」から自分のアカウントまたはグループに「ms-Mcs-AdmPwd」の読み取り権限を付与します。
権限付与の具体的な操作は、Active Directoryのセキュリティ設定に詳しい管理者に依頼することを推奨します。また、グループポリシーを使って権限を委任する方法もあります。そちらは後述します。
3. 端末登録(コンピュータオブジェクト)の確認
権限が正しく設定されているにもかかわらずパスワードが取得できない場合、端末側の問題が疑われます。LAPSクライアントが正しく動作し、パスワードをADに書き込めているかどうかを確認しましょう。
3.1 LAPSクライアントが有効か確認する
Windows 10 1809以降ではLAPSクライアントは標準搭載ですが、有効にするにはグループポリシー構成が必要です。「コンピューターの構成」→「管理用テンプレート」→「システム」→「LAPS」に「ローカル管理者パスワードの管理を構成する」というポリシーがあり、ここを「有効」に設定します。また、パスワードの複雑さや変更頻度も設定できます。
3.2 コンピュータオブジェクトの属性を確認する
ADSIエディターを使用して、コンピュータオブジェクトの「ms-Mcs-AdmPwd」属性が存在し、値が入っているか確認します。
- 管理者としてADSIエディター(adsiedit.msc)を起動します。
- 「既定の名前付けコンテキストに接続」を選択し、対象のコンピュータがいるOUまでツリーを展開します。
- コンピュータオブジェクトを右クリックし「プロパティ」を開きます。
- 属性一覧から「ms-Mcs-AdmPwd」を探します。値が表示されていれば、パスワードが書き込まれています。空欄の場合は、まだ書き込まれていません。
- また「ms-Mcs-AdmPwdExpirationTime」が正しい将来の日時になっているかも確認します。
もし属性が空の場合、LAPSクライアントがパスワードを変更・書き込みできていない可能性があります。クライアントのイベントログ(イベントビューアー → アプリケーションとサービスログ → Microsoft → Windows → LAPS)を確認し、エラーが記録されていないか調べてください。
4. よくある失敗パターンと対処
実際に発生しやすい失敗パターンを表にまとめました。
| 症状 | 推定原因 | 対処 |
|---|---|---|
| PowerShellでパスワードを取得しようとすると空文字が返る | 権限不足(読み取り権限なし)または属性が空 | 権限を確認・付与。属性が空なら端末側のLAPS動作を確認 |
| 「アクセスが拒否されました」エラー | ユーザーにコンピュータオブジェクトの読み取り権限がない | ユーザーまたはグループに「ms-Mcs-AdmPwd」の読み取り権限を追加 |
| LAPSのイベントログに「書き込みエラー」が出る | コンピュータアカウントに属性書き込み権限がない、またはADのスキーマ拡張不足 | コンピュータアカウントに自己書き込み権限を付与(既定では付与済みだが確認) |
| 一部のコンピュータだけパスワードが取得できない | そのコンピュータのOUに対する権限委任が漏れている、またはLAPSポリシーが適用されていない | 該当OUに権限を委任し、ポリシーの適用範囲を確認 |
5. 管理者に確認すべき設定とグループポリシー
権限や端末登録の問題を解決するために、管理者に依頼する必要がある設定項目をまとめました。自分で変更できない場合は、これらの情報を参考に管理者へ伝えてください。
5.1 グループポリシーによるLAPS構成
LAPSのパスワード管理を有効にするには、グループポリシーで「ローカル管理者パスワードの管理を構成する」を「有効」に設定します。このポリシーが適用されているOUにコンピュータがあることを確認してください。また、パスワードの変更間隔(既定は24時間)や複雑さも設定できます。
5.2 権限の委任(グループポリシー経由)
LAPSパスワードの読み取り権限は、グループポリシー管理コンソールを使って「LAPS読み取り権限の追加」というWizardやスクリプトで委任する方法が一般的です。また、OUに対してセキュリティグループに権限を設定することもできます。管理者に「ヘルプデスクグループ」などのグループに権限を付与してもらうと、個別アカウントよりも管理が容易です。
5.3 LAPSスキーマ拡張の確認
LAPSを初めて導入する場合、Active Directoryスキーマを拡張する必要があります。スキーマ拡張が行われていないと、コンピュータオブジェクトにms-Mcs-AdmPwd属性が存在しないため、パスワードの書き込み・読み取りができません。管理者にスキーマ拡張が完了しているか確認してください。
6. よくある質問(FAQ)
現場でよく寄せられる質問とその回答をまとめました。
- Q: LAPSパスワードがいつ変更されるか分からない。強制的に変更できますか?
A: グループポリシーで変更間隔を短く設定するか、クライアントで「Reset-LapsPassword」PowerShellコマンドを実行すると即座に変更できます。管理者権限が必要です。 - Q: パスワードを取得できるユーザーを制限したい。どうすればいいですか?
A: コンピュータオブジェクトのセキュリティ設定で、必要なグループだけに「ms-Mcs-AdmPwd」の読み取り権限を付与します。デフォルトでは「Domain Admins」にのみ権限があります。 - Q: ADSIエディターでms-Mcs-AdmPwdが表示されない。スキーマ拡張はやったはずだが?
A: スキーマ拡張が正しく完了していても、既存のコンピュータオブジェクトには属性が追加されない場合があります。その場合は、LAPSポリシーが適用されて初めて属性が表示されるようになります。一度グループポリシーを適用し、GPUPDATE /FORCEを実行してください。 - Q: パスワードの取得にWebインターフェース(LAPS UI)を使っているが、アクセスできない。
A: Web UIの場合、IISの認証設定とアプリケーションプールの権限も確認してください。また、バックエンドでActive Directoryにアクセスするためのサービスアカウントにも権限が必要です。
7. まとめ
LAPSパスワードの取得に失敗した場合、まずは権限設定と端末登録(属性の書き込み)の2軸で問題を切り分けてください。権限の確認はActive Directoryユーザーとコンピュータのセキュリティタブから、端末登録の確認はADSIエディターでms-Mcs-AdmPwd属性の有無を調べます。原因が特定できたら、グループポリシーや委任設定を管理者と連携して修正します。定期的にLAPSの動作を監視し、イベントログをチェックすることで、潜在的な問題を早期に発見できます。本記事の手順を参考に、迅速なトラブル解決にお役立てください。
ADVERTISEMENT
超解決 第一編集部
疑問解決ポータル「超解決」の編集チーム。正確な検証と、現場視点での伝わりやすい解説を心がけています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【神技】保存せずに閉じたExcel・Wordファイルを復元する!消えたデータを復活させる4つの救出法
- 【Teams】会議の「参加者リスト」を出席後にダウンロードする!誰が参加したか確認する手順