Windows LAPS を実装した後、一部の管理者には LAPS ローカル管理者のアカウント名とパスワードが表示されますが、他の管理者には両方のフィールドが空であることが表示されます。なぜこのようなことが起こっているのでしょうか?また、その解決策は何ですか?この記事では、Windows LAPS アカウントのパスワード復号化許可エラーを修正する方法を説明します。
アカウントのパスワードを復号化する権限がありません
表示されるエラーを見てみましょう。
始めるActive Directory ユーザーとコンピュータLAPS パスワードを取得するコンピューターのプロパティに移動します。をクリックしてくださいラップタブ。
次の警告が表示されます。
アカウントのパスワードは暗号化されていますが、それを復号化する権限がありません。
LAPS ローカル管理者アカウント名と LAPS ローカル管理者アカウントのパスワード フィールドは両方とも空です。ただし、両方のフィールドにデータが入力されることを確認したいと考えています。
この問題が発生する理由と、警告メッセージを修正する方法 アカウントのパスワードは暗号化されていますが、それを復号化する権限がありません。
Windows LAPS を構成し、ドメイン管理者権限を持つアカウントでサインインすると、この警告は表示されません。
この警告は、LAPS ローカル管理者のアカウント名とパスワードを取得するためにサインインしたユーザー アカウントがドメイン管理者ではないために表示されます。たとえば、ヘルプ デスク チームのユーザーにはドメイン管理者権限が割り当てられていません。
この警告を修正するには、すべてのメンバーを含むセキュリティ グループを作成する必要があります。次に、LAPS 読み取り権限を設定し、そのセキュリティ グループのアクセス許可をリセットします。最後に、グループを Windows LAPS 認証パスワード復号化ポリシーに追加します。
ステップ 1. セキュリティグループを作成する
にセキュリティグループを作成しますActive Directory ユーザーとコンピュータ。
メンバーをグループに追加します。また、このグループは LAPS パスワードの読み取りとリセットができる唯一のグループとなるため、ドメイン管理者も追加します。
ステップ 2. セキュリティグループ SID を取得する
PowerShell を使用してセキュリティ グループ SID を見つけます。
Get-ADGroup "Windows_LAPS"出力にはグループ SID が表示されます。
DistinguishedName : CN=Windows_LAPS,OU=AD,OU=Groups,OU=Company,DC=exoip,DC=local
GroupCategory : Security
GroupScope : Universal
Name : Windows_LAPS
ObjectClass : group
ObjectGUID : 05c3f8a0-4f46-4441-ab41-796538b45a82
SamAccountName : Windows_LAPS
SID : S-1-5-21-1083891243-2317051905-4228426097-3278セキュリティ グループの SID 値をコピーします。次の手順でそれを使用する必要があります。
ステップ 3. LAPS 権限を設定する
両方のコマンドのセキュリティ グループ SID を置き換えて、PowerShell で実行します。
のSet-LapsADReadPasswordPermissionコマンドレットは、Windows ローカル管理者パスワード ソリューション (LAPS) のパスワードを照会するためのアクセス許可をグループに付与します。
Set-LapsADReadPasswordPermission -Identity "OU=Company,DC=exoip,DC=local" -AllowedPrincipals @("S-1-5-21-1083891243-2317051905-4228426097-3278")のSet-LapsADResetPasswordPermissionコマンドレットは、Windows ローカル管理者パスワード ソリューション (LAPS) パスワードの有効期限を設定するためのアクセス許可をグループに付与します。
Set-LapsADResetPasswordPermission -Identity "OU=Company,DC=exoip,DC=local" -AllowedPrincipals @("S-1-5-21-1083891243-2317051905-4228426097-3278")開けるグループポリシー管理。
もっと詳しく知る:暗号化された ZIP ファイルを復号化するための ZIP パスワードを見つける方法
に移動しますコンピュータの構成>ポリシー>管理用テンプレート>システム>ラップ。
セキュリティ グループ SID を [承認されたパスワード復号化] フィールドに追加します。
この例では、次のようになります。
S-1-5-21-1083891243-2317051905-4228426097-3278
ステップ 5. 作業内容を確認する
重要:管理サーバーまたはドメイン コントローラーでサインアウトし、再度サインインすると、アクセス許可の設定が有効になります。
始めるActive Directory ユーザーとコンピュータ。コンピュータのプロパティに移動し、ラップタブ。エラーは表示されなくなり、LAPS ローカル管理者のアカウント名とパスワードの値が表示されます。
それでおしまい!
結論
「アカウントのパスワードは暗号化されていますが、復号化する権限がありません」というエラーを修正する方法を学びました。まず、セキュリティ グループを作成し、LAPS パスワードを表示およびリセットできる必要があるすべてのユーザーを追加します。その後、LAPS グループ ポリシーの承認済みパスワード復号化ツールを構成し、それにグループを追加します。アクセス許可を有効にするには、必ずサインアウトしてから再度サインインしてください。
この記事は楽しかったですか? 「Active Directory セキュリティ評価レポートを作成する方法」もお勧めします。ぜひフォローしてこの記事をシェアしてください。
