LAPS (Local Administrator Password Solution) est un utilitaire permettant de gérer les mots de passe des administrateurs locaux des ordinateurs du domaine. LAPS rend aléatoire les mots de passe des administrateurs locaux afin d'éviter la réutilisation des informations d'identification et les change périodiquement.

Pour cela, LAPS ajoute deux propriétés aux objets ordinateurs du domaine : ms-Mcs-AdmPwd et ms-Mcs-AdmPwdExpirationTime.

La propriété ms-Mcs-AdmPwd stocke le mot de passe de l'administrateur local de la machine, et ne peut être vue que si elle est explicitement accordée. Si vous êtes capable d'obtenir le mot de passe de l'administrateur local, vous pouvez vous connecter à l'ordinateur (en utilisant l'authentification NTLM) avec des droits d'administrateur.

L'autre propriété ms-Mcs-AdmPwdExpirationTime peut être lue par n'importe qui (par défaut), donc afin d'identifier les ordinateurs gérés par LAPS, il est possible de rechercher les machines qui contiennent cette propriété.