Odniesienia do rozszerzeń schematu systemu Windows LAPS

Dotyczy: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows 11, ✅ Windows 10

Użyj szczegółowych informacji o rozszerzeniach schematu i rozszerzonych prawach, aby ułatwić wdrażanie rozwiązania Windows Local Administrator Password Solution (Windows LAPS) lub zarządzanie nim we wdrożeniu usługi Active Directory systemu Windows Server.

Schema extensions

System Windows LAPS oferuje określone elementy schematu dla usługi Active Directory systemu Windows Server. Aby użyć dowolnej z następujących funkcji opartych na usłudze Windows LAPS systemu Windows Server Active Directory, należy dodać te nowe elementy schematu do lasu Update-LapsADSchema PowerShell , uruchamiając polecenie cmdlet .

Schema attributes

System Windows LAPS używa określonych atrybutów schematu przechowywanych w obiekcie komputera w usłudze Active Directory systemu Windows Server dla urządzenia zarządzanego. Polecenie Update-LapsADSchema cmdlet dodaje atrybuty schematu do katalogu i do mayContain listy w klasie schematu komputera.

Tip

Wiele z następujących atrybutów określa SearchFlags wartość 904. Aby ułatwić odwołanie, ta wartość składa się z następujących flag bitowych:

fRODCFilteredAttribute
fNEVERVALUEAUDIT
fCONFIDENTIAL
fPRESERVEONDELETE

msLAPS-PasswordExpirationTime

Ten atrybut zawiera 64-bitową liczbę całkowitą określającą obecnie zaplanowany czas wygaśnięcia hasła w formacie UTC.

Name: ms-LAPS-PasswordExpirationTime
LDAP display name: msLAPS-PasswordExpirationTime
OID: 1.2.840.113556.1.6.44.1.1
Syntax: 2.5.5.16
OmSyntax: 65
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 0
AttributeSecurityGuid: <not set>

msLAPS-Password

Ten atrybut zawiera ciąg Unicode, który określa wersję zwykłego tekstu bieżącego hasła i inne informacje.

Name: ms-LAPS-Password
LDAP display name: msLAPS-Password
OID: 1.2.840.113556.1.6.44.1.2
Syntax: 2.5.5.5
OmSyntax: 19
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: <not set>

Dane przechowywane w tym atrybucie to ciąg JSON zawierający wiele par nazwa-wartość. For example:

{"n":"Administrator","t":"1d8161b41c41cde","p":"A6a3#7%eb!57be4a4B95Z43394ba956de69e5d8975#$8a6d)4f82da6ad500HGx"}

Każda para nazwa-wartość w ciągu JSON ma określone znaczenie:

Name	Value
`"n"`	Zawiera nazwę zarządzanego konta administratora lokalnego
`"t"`	Zawiera czas aktualizacji hasła UTC reprezentowany jako 64-bitowa liczba szesnastkowa
`"p"`	Zawiera hasło w postaci zwykłego tekstu

msLAPS-EncryptedPassword

Ten atrybut zawiera ciąg bajtów zawierający zaszyfrowaną wersję bieżącego hasła.

Name: ms-LAPS-EncryptedPassword
LDAP display name: msLAPS-EncryptedPassword
OID: 1.2.840.113556.1.6.44.1.3
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-EncryptedPasswordHistory

Ten atrybut zawiera ciąg bajtów wielowartych. Każda wartość zawiera zaszyfrowaną wersję wcześniejszego hasła.

Name: ms-LAPS-EncryptedPasswordHistory
LDAP display name: msLAPS-EncryptedPasswordHistory
OID: 1.2.840.113556.1.6.44.1.4
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: False
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-EncryptedDSRMPassword

Ten atrybut zawiera ciąg bajtów zawierający zaszyfrowaną wersję bieżącego hasła konta trybu przywracania usług katalogowych (DSRM).

Name: ms-LAPS-EncryptedDSRMPassword
LDAP display name: msLAPS-EncryptedDSRMPassword
OID: 1.2.840.113556.1.6.44.1.5
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-EncryptedDSRMPasswordHistory

Ten atrybut zawiera ciąg bajtów wielowartych. Każda wartość zawiera zaszyfrowaną wersję wcześniejszego hasła konta DSRM.

Name: ms-LAPS-EncryptedDSRMPasswordHistory
LDAP display name: msLAPS-EncryptedDSRMPasswordHistory
OID: 1.2.840.113556.1.6.44.1.6
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: False
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-CurrentPasswordVersion

Ten atrybut zawiera binarny identyfikator GUID. Wartość reprezentuje wersję logiczną ostatnio utrwalonego hasła.

Name: ms-LAPS-CurrentPasswordVersion
LDAP display name: msLAPS-CurrentPasswordVersion
OID: 1.2.840.113556.1.6.44.1.7
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
RangerLower: 16
RangerUpper: 16
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

Important

Atrybut ten msLAPS-CurrentPasswordVersion jest dostępny tylko przy użyciu schematu lasu Windows Server 2025. Ten atrybut jest automatycznie uwzględniany przy promocji pierwszego kontrolera domeny Windows Server 2025 w swoim lesie; Nie jest instalowany przez uruchomienie Update-LapsADSchema cmdlet. Jeśli Twój las nie ma przynajmniej jednego kontrolera domeny Windows Server 2025, ten atrybut nie będzie dostępny, a funkcja wykrywania i ograniczania efektów cofania obrazu systemu operacyjnego nie będzie działać.

Extended rights

System Windows LAPS rozszerza prawa w usłudze ms-LAPS-Encrypted-Password-Attributes Active Directory systemu Windows Server. Możesz użyć ms-LAPS-Encrypted-Password-Attributes rozszerzonych praw, aby przyznać zarządzanym urządzeniom uprawnienia SELF do odczytywania i zapisywania różnych atrybutów opisanych w poprzednich sekcjach.

Name: ms-LAPS-Encrypted-Password-Attributes
Rights guid: f3531ec6-6330-4f8e-8d39-7a671fbac605
Valid accesses: 48 (RIGHT_DS_READ_PROPERTY | RIGHT_DS_WRITE_PROPERTY)

Schemat systemu Windows LAPS a starszy schemat usługi Microsoft LAPS

Podobnie jak system Windows LAPS, starsza wersja rozwiązania Microsoft LAPS wymaga również używania rozszerzeń schematu do wdrożenia usługi Active Directory systemu Windows Server. Aby ułatwić zaplanowanie migracji ze starszej wersji rozwiązania Microsoft LAPS do systemu Windows LAPS, w poniższej tabeli przedstawiono logiczne mapowanie elementów rozszerzenia schematu:

Windows LAPS, element schematu	Starszy element schematu rozwiązania Microsoft LAPS
`msLAPS-PasswordExpirationTime`	`ms-Mcs-AdmPwdExpirationTime`
`msLAPS-Password`	`ms-Mcs-AdmPwd`
`msLAPS-EncryptedPassword`	Doesn't apply
`msLAPS-EncryptedPasswordHistory`	Doesn't apply
`msLAPS-EncryptedDSRMPassword`	Doesn't apply
`msLAPS-EncryptedDSRMPasswordHistory`	Doesn't apply

Next steps

Sprzężenie zwrotne

Czy ta strona była pomocna?

Last updated on 2025-12-15