Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Use informações detalhadas sobre extensões de esquema e direitos estendidos para ajudá-lo a implantar ou gerenciar a Solução de Senha de Administrador Local do Windows (Windows LAPS) em sua implantação do Ative Directory do Windows Server.
Schema extensions
O Windows LAPS oferece elementos de esquema específicos para o Ative Directory do Windows Server. Para usar qualquer um dos seguintes recursos baseados no Ative Directory do Windows LAPS do Windows Server, você deve adicionar esses novos elementos de esquema à floresta executando o Update-LapsADSchema PowerShell cmdlet.
Schema attributes
O Windows LAPS usa atributos de esquema específicos que são armazenados no objeto de computador no Ative Directory do Windows Server para um dispositivo gerenciado. O Update-LapsADSchema cmdlet adiciona os atributos de esquema ao diretório e à mayContain lista na classe de esquema de computador.
Tip
Muitos dos atributos a seguir especificam um SearchFlags valor de 904. Para facilitar a referência, esse valor é composto pelos seguintes sinalizadores de bits:
fRODCFilteredAttributefNEVERVALUEAUDITfCONFIDENTIALfPRESERVEONDELETE
msLAPS-PasswordExpirationTime
Este atributo contém um inteiro de 64 bits que especifica a hora de expiração da senha atualmente agendada no UTC.
Name: ms-LAPS-PasswordExpirationTime
LDAP display name: msLAPS-PasswordExpirationTime
OID: 1.2.840.113556.1.6.44.1.1
Syntax: 2.5.5.16
OmSyntax: 65
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 0
AttributeSecurityGuid: <not set>
msLAPS-Password
Este atributo contém uma cadeia de caracteres Unicode que especifica a versão de texto não criptografado da senha atual e outras informações.
Name: ms-LAPS-Password
LDAP display name: msLAPS-Password
OID: 1.2.840.113556.1.6.44.1.2
Syntax: 2.5.5.5
OmSyntax: 19
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: <not set>
Os dados armazenados neste atributo são uma cadeia de caracteres JSON que contém vários pares nome-valor. For example:
{"n":"Administrator","t":"1d8161b41c41cde","p":"A6a3#7%eb!57be4a4B95Z43394ba956de69e5d8975#$8a6d)4f82da6ad500HGx"}
Cada par nome-valor na cadeia de caracteres JSON tem um significado específico:
| Name | Value |
|---|---|
"n" |
Contém o nome da conta de administrador local gerenciado |
"t" |
Contém a hora de atualização da senha UTC representada como um número hexadecimal de 64 bits |
"p" |
Contém a senha de texto não criptografado |
msLAPS-EncryptedPassword
Este atributo contém uma cadeia de caracteres de byte que contém uma versão criptografada da senha atual.
Name: ms-LAPS-EncryptedPassword
LDAP display name: msLAPS-EncryptedPassword
OID: 1.2.840.113556.1.6.44.1.3
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)
msLAPS-EncryptedPasswordHistory
Este atributo contém uma cadeia de caracteres de bytes com vários valores. Cada valor contém uma versão criptografada de uma senha anterior.
Name: ms-LAPS-EncryptedPasswordHistory
LDAP display name: msLAPS-EncryptedPasswordHistory
OID: 1.2.840.113556.1.6.44.1.4
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: False
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)
msLAPS-EncryptedDSRMPassword
Este atributo contém uma cadeia de caracteres de bytes que contém uma versão criptografada da senha atual da conta do Modo de Restauração dos Serviços de Diretório (DSRM).
Name: ms-LAPS-EncryptedDSRMPassword
LDAP display name: msLAPS-EncryptedDSRMPassword
OID: 1.2.840.113556.1.6.44.1.5
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)
msLAPS-EncryptedDSRMPasswordHistory
Este atributo contém uma cadeia de caracteres de bytes com vários valores. Cada valor contém uma versão criptografada de uma senha de conta DSRM anterior.
Name: ms-LAPS-EncryptedDSRMPasswordHistory
LDAP display name: msLAPS-EncryptedDSRMPasswordHistory
OID: 1.2.840.113556.1.6.44.1.6
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: False
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)
msLAPS-CurrentPasswordVersion
Este atributo contém um GUID binário. O valor representa a versão lógica da senha persistente mais recente.
Name: ms-LAPS-CurrentPasswordVersion
LDAP display name: msLAPS-CurrentPasswordVersion
OID: 1.2.840.113556.1.6.44.1.7
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
RangerLower: 16
RangerUpper: 16
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)
Important
O msLAPS-CurrentPasswordVersion atributo só está disponível quando se utiliza o esquema florestal do Windows Server 2025. Este atributo é automaticamente incluído quando promove o primeiro controlador de domínio do Windows Server 2025 na sua floresta; Não é instalado ao executar o Update-LapsADSchema cmdlet. Se a sua floresta não tiver pelo menos um controlador de domínio do Windows Server 2025, este atributo não estará disponível e a funcionalidade de deteção e mitigação de rollback de imagens do sistema operativo não funcionará.
Extended rights
O Windows LAPS estende os ms-LAPS-Encrypted-Password-Attributes direitos no Ative Directory do Windows Server. Você pode usar os ms-LAPS-Encrypted-Password-Attributes direitos estendidos para conceder aos dispositivos gerenciados permissões SELF para ler e gravar vários atributos descritos nas seções anteriores.
Name: ms-LAPS-Encrypted-Password-Attributes
Rights guid: f3531ec6-6330-4f8e-8d39-7a671fbac605
Valid accesses: 48 (RIGHT_DS_READ_PROPERTY | RIGHT_DS_WRITE_PROPERTY)
Esquema LAPS do Windows versus esquema herdado do Microsoft LAPS
Como o Windows LAPS, o Microsoft LAPS herdado também exige que você use extensões de esquema para uma implantação do Ative Directory do Windows Server. Para ajudá-lo a planejar uma migração do Microsoft LAPS herdado para o Windows LAPS, a tabela a seguir mostra um mapeamento lógico de elementos de extensão de esquema:
| Elemento de esquema LAPS do Windows | Elemento de esquema Microsoft LAPS herdado |
|---|---|
msLAPS-PasswordExpirationTime |
ms-Mcs-AdmPwdExpirationTime |
msLAPS-Password |
ms-Mcs-AdmPwd |
msLAPS-EncryptedPassword |
Doesn't apply |
msLAPS-EncryptedPasswordHistory |
Doesn't apply |
msLAPS-EncryptedDSRMPassword |
Doesn't apply |
msLAPS-EncryptedDSRMPasswordHistory |
Doesn't apply |