Справочник по расширениям схемы Windows LAPS

Статья
01/03/2024
Применяется к:

✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows 11, ✅ Windows 10

Используйте подробные сведения о расширениях схемы и расширенных правах, чтобы помочь вам развернуть локальное решение Администратор istrator (Windows LAPS) в развертывании Windows Server Active Directory или управлять ими.

Расширения схемы

Windows LAPS предлагает определенные элементы схемы для Windows Server Active Directory. Чтобы использовать любой из следующих компонентов Windows LAPS Windows Server Active Directory, необходимо добавить эти новые элементы схемы в лес, выполнив Update-LapsADSchema PowerShell командлет.

Атрибуты схемы

Windows LAPS использует определенные атрибуты схемы, хранящиеся на объекте компьютера в Windows Server Active Directory для управляемого устройства. Командлет Update-LapsADSchema добавляет атрибуты схемы в каталог и mayContain список в классе схемы компьютера.

Совет

Многие из следующих атрибутов указывают SearchFlags значение 904. Для простой ссылки это значение состоит из следующих битовых флагов:

fRODCFilteredAttribute
fNEVERVALUEAUDIT
fCONFIDENTIAL
fPRESERVEONDELETE

msLAPS-PasswordExpirationTime

Этот атрибут содержит 64-разрядное целое число, указывающее текущее запланированное время истечения срока действия пароля в формате UTC.

Name: ms-LAPS-PasswordExpirationTime
LDAP display name: msLAPS-PasswordExpirationTime
OID: 1.2.840.113556.1.6.44.1.1
Syntax: 2.5.5.16
OmSyntax: 65
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 0
AttributeSecurityGuid: <not set>

msLAPS-Password

Этот атрибут содержит строку Юникода, которая указывает версию текущего пароля и другие сведения.

Name: ms-LAPS-Password
LDAP display name: msLAPS-Password
OID: 1.2.840.113556.1.6.44.1.2
Syntax: 2.5.5.5
OmSyntax: 19
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: <not set>

Данные, хранящиеся в этом атрибуте, — это строка JSON, содержащая несколько пар "имя-значение". Например:

{"n":"Administrator","t":"1d8161b41c41cde","p":"A6a3#7%eb!57be4a4B95Z43394ba956de69e5d8975#$8a6d)4f82da6ad500HGx"}

Каждая пара name-value в строке JSON имеет определенное значение:

Имя.	Значение
`"n"`	Содержит имя управляемой учетной записи локального администратора.
`"t"`	Содержит время обновления пароля в формате UTC, представленное как шестнадцатеричное число 64-разрядного значения.
`"p"`	Содержит пароль с четким текстом

msLAPS-EncryptedPassword

Этот атрибут содержит строку байтов, содержащую зашифрованную версию текущего пароля.

Name: ms-LAPS-EncryptedPassword
LDAP display name: msLAPS-EncryptedPassword
OID: 1.2.840.113556.1.6.44.1.3
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-EncryptedPasswordHistory

Этот атрибут содержит многозначную строку байтов. Каждое значение содержит зашифрованную версию предыдущего пароля.

Name: ms-LAPS-EncryptedPasswordHistory
LDAP display name: msLAPS-EncryptedPasswordHistory
OID: 1.2.840.113556.1.6.44.1.4
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: False
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-EncryptedDSRMPassword

Этот атрибут содержит строку байтов, содержащую зашифрованную версию текущего пароля учетной записи службы каталогов (DSRM).

Name: ms-LAPS-EncryptedDSRMPassword
LDAP display name: msLAPS-EncryptedDSRMPassword
OID: 1.2.840.113556.1.6.44.1.5
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-EncryptedDSRMPasswordHistory

Этот атрибут содержит многозначную строку байтов. Каждое значение содержит зашифрованную версию более ранней учетной записи DSRM.

Name: ms-LAPS-EncryptedDSRMPasswordHistory
LDAP display name: msLAPS-EncryptedDSRMPasswordHistory
OID: 1.2.840.113556.1.6.44.1.6
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: False
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-CurrentPasswordVersion

Этот атрибут содержит двоичный GUID. Значение представляет логическую версию последнего сохраненного пароля.

Name: ms-LAPS-CurrentPasswordVersion
LDAP display name: msLAPS-CurrentPasswordVersion
OID: 1.2.840.113556.1.6.44.1.7
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
RangerLower: 16
RangerUpper: 16
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

Расширенные права

Windows LAPS расширяет ms-LAPS-Encrypted-Password-Attributes права в Windows Server Active Directory. Расширенные ms-LAPS-Encrypted-Password-Attributes права можно использовать для предоставления управляемым устройствам разрешений SELF для чтения и записи различных атрибутов, описанных в предыдущих разделах.

Name: ms-LAPS-Encrypted-Password-Attributes
Rights guid: f3531ec6-6330-4f8e-8d39-7a671fbac605
Valid accesses: 48 (RIGHT_DS_READ_PROPERTY | RIGHT_DS_WRITE_PROPERTY)

Схема Windows LAPS и устаревшая схема Microsoft LAPS

Как и windows LAPS, устаревшая версия Microsoft LAPS также требует использования расширений схемы для развертывания Windows Server Active Directory. Чтобы спланировать миграцию из устаревшей версии Microsoft LAPS в Windows LAPS, в следующей таблице показано логическое сопоставление элементов расширения схемы:

Элемент схемы Windows LAPS	Устаревший элемент схемы Microsoft LAPS
`msLAPS-PasswordExpirationTime`	`ms-Mcs-AdmPwdExpirationTime`
`msLAPS-Password`	`ms-Mcs-AdmPwd`
`msLAPS-EncryptedPassword`	Не применяется
`msLAPS-EncryptedPasswordHistory`	Не применяется
`msLAPS-EncryptedDSRMPassword`	Не применяется
`msLAPS-EncryptedDSRMPasswordHistory`	Не применяется

Поделиться через