none
Local Administrator Password Solution (LAPS) で保存されるパスワードの閲覧権限 RRS feed

  • 質問

  • Windows Server2008 R2にて、Local Administrator Password Solution (LAPS) をセットアップしました。
    各クライアントPCのパスワードが、ADのms-Mcs-AdmPwdという属性値に平文で書き込まれるようになりました。
    ただし、セキュリティ設定が悪いのか、すべてのAD上のユーザがパスワードを閲覧できてしまうという状態になってしまいました。
    初期値では、Domain AdminsとEnterprise Adminsのみが閲覧できると認識していたのですが、設定が間違っているのでしょうか?

    2019年2月25日 11:30

回答

  • チャブーンです。

    このスクリプトですが、さすがにLAPSを想定して作ったりはしていません。

    "EXAMPLE\Domain Users:SDRCLCRPDTLOCA" 等と指定されている権限の情報から CR を削除すれば良いかと

    そこなんですが、「RC」はあっても「CR」はそもそも定義していません。おそらく「特殊なアクセス」にあたるところです。あと、該当の資料はみたのですが、「Creator Owner」に対するデフォルトのアクセス許可を変えろ、ということですが、スクリプトでオブジェクトを作成した場合、Creator Ownerはスクリプト作成アカウント(Domain Admins等)で、ドメイン参加ユーザー自身にはならないので、直接の参考にはならないと思います。

    普通に考えると、RPで"ms-Mcs-AdmPwd"と"ms-Mcs-AdmPwdExpirationTime"拒否(要するにこの属性の読み取り拒否)を「特殊なアクセス」で指定するのが、早道かと思います。キチンと動作するかどうかは、実際に確かめてもらうしかないですね。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク Nakayama00 2019年5月30日 8:09
    2019年5月23日 19:04
    モデレータ

すべての返信

  • Microsoft コミュニティ「Local Administrator Password Solution (LAPS) で保存されるパスワードについて 」からの続きです。


    Hebikuzure aka Murachi Akira

    2019年2月25日 12:35
  • まずは、以下を参考にして Find-AdmPwdExtendedRights で、どのユーザーやグループにアクセス権が付与されるか確認された方が良いかと思います。

     

    http://blog.yottun8.com/archives/358

     

    その上で、ADSI エディタを用いて該当のユーザー・グループの対象OUにおける拡張属性のアクセス権を削除すれば良いかと思います。

    2019年2月25日 15:01
  • 本件の原因が判明しました。

    該当PCのコンピュータアカウント作成時に、ドメインに参加できる権限を、Domain Usersグループに付与しておりました。この権限によってLAPSパスワード(ms-Mcs-AdmPwd)が閲覧できていたようです。

    該当コンピュータは、以下の記事のチャブーン様のスクリプトを参考にして、権限を付与しました。
    https://social.technet.microsoft.com/Forums/ja-JP/d00e3f34-20cc-46f2-9bac-e886d316268b/12489125131245212531214422115212434124561253112489125181254012?forum=activedirectoryja

    また、以下の記事で「defaultSecurityDescriptor」にて、「RPCRLCLORCSDDT」という権限付与部分から「CR」を抜くことで、ドメイン参加権を持つユーザがms-Mcs-AdmPwd等の拡張属性を閲覧できなくなると記載されているのを発見しました。
    https://blogs.msdn.microsoft.com/laps/2015/07/17/laps-and-permission-to-join-computer-to-domain/

    チャブーン様のスクリプトを修正して、Domain Usersグループのユーザからms-Mcs-AdmPwdが閲覧できないようにしたいのですが、どの様に変更すればよいでしょうか?

    2019年5月23日 5:17
  • "EXAMPLE\Domain Users:SDRCLCRPDTLOCA" 等と指定されている権限の情報から CR を削除すれば良いかとは思いますが、スクリプトの内容に責任は持てませんので、まずは検証環境などでテストする事をお奨めします。
    2019年5月23日 13:46
  • チャブーンです。

    このスクリプトですが、さすがにLAPSを想定して作ったりはしていません。

    "EXAMPLE\Domain Users:SDRCLCRPDTLOCA" 等と指定されている権限の情報から CR を削除すれば良いかと

    そこなんですが、「RC」はあっても「CR」はそもそも定義していません。おそらく「特殊なアクセス」にあたるところです。あと、該当の資料はみたのですが、「Creator Owner」に対するデフォルトのアクセス許可を変えろ、ということですが、スクリプトでオブジェクトを作成した場合、Creator Ownerはスクリプト作成アカウント(Domain Admins等)で、ドメイン参加ユーザー自身にはならないので、直接の参考にはならないと思います。

    普通に考えると、RPで"ms-Mcs-AdmPwd"と"ms-Mcs-AdmPwdExpirationTime"拒否(要するにこの属性の読み取り拒否)を「特殊なアクセス」で指定するのが、早道かと思います。キチンと動作するかどうかは、実際に確かめてもらうしかないですね。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク Nakayama00 2019年5月30日 8:09
    2019年5月23日 19:04
    モデレータ
  • チャブーンさん
    私の確認不足だった様です。ご指摘ありがとうございます。
    2019年5月23日 23:16
  • チャブーン様、Lapivy様

    ご回答ありがとうございました。

    RPで"ms-Mcs-AdmPwd"と"ms-Mcs-AdmPwdExpirationTime"拒否(要するにこの属性の読み取り拒否)を「特殊なアクセス」で指定するという方法を試したところ、望んでいたとおり機能しました。

    ご助言ありがとうございました。



    2019年5月24日 4:38