Windows LAPS 架構方案延伸參考

使用架構延伸模組和延伸許可權的詳細資訊，協助您在 Windows Server Active Directory 部署中部署或管理 Windows 本機系統管理員密碼解決方案 （Windows LAPS）。

Schema extensions

Windows LAPS 為 Windows Server Active Directory 提供特定的架構元素。 若要使用下列任一 Windows LAPS Windows Server Active Directory 功能，您必須執行 Update-LapsADSchema PowerShell Cmdlet，將這些新的架構元素新增至樹系。

Schema attributes

Windows LAPS 會使用儲存在受管理裝置之 Windows Server Active Directory 中計算機物件的特定架構屬性。 Cmdlet 會將 Update-LapsADSchema 架構屬性新增至目錄和 mayContain 計算機架構類別的清單。

msLAPS-PasswordExpirationTime

此屬性包含64位整數，以UTC指定目前排程的密碼到期時間。

Name: ms-LAPS-PasswordExpirationTime
LDAP display name: msLAPS-PasswordExpirationTime
OID: 1.2.840.113556.1.6.44.1.1
Syntax: 2.5.5.16
OmSyntax: 65
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 0
AttributeSecurityGuid: <not set>

msLAPS-Password

此屬性包含 Unicode 字串，指定目前密碼的純文字版本和其他資訊。

Name: ms-LAPS-Password
LDAP display name: msLAPS-Password
OID: 1.2.840.113556.1.6.44.1.2
Syntax: 2.5.5.5
OmSyntax: 19
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: <not set>

儲存在此屬性中的數據是包含多個名稱/值組的 JSON 字串。 For example:

{"n":"Administrator","t":"1d8161b41c41cde","p":"A6a3#7%eb!57be4a4B95Z43394ba956de69e5d8975#$8a6d)4f82da6ad500HGx"}

JSON 字串中的每個名稱/值組都有特定意義：

msLAPS-EncryptedPassword

這個屬性包含位元組位元串，其中包含目前密碼的加密版本。

Name: ms-LAPS-EncryptedPassword
LDAP display name: msLAPS-EncryptedPassword
OID: 1.2.840.113556.1.6.44.1.3
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-EncryptedPasswordHistory

這個屬性包含多重值的位元元元串。 每個值都包含舊版密碼的加密版本。

Name: ms-LAPS-EncryptedPasswordHistory
LDAP display name: msLAPS-EncryptedPasswordHistory
OID: 1.2.840.113556.1.6.44.1.4
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: False
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-EncryptedDSRMPassword

此屬性包含位元組字串，其中包含目前目錄服務還原模式 （DSRM） 帳戶密碼的加密版本。

Name: ms-LAPS-EncryptedDSRMPassword
LDAP display name: msLAPS-EncryptedDSRMPassword
OID: 1.2.840.113556.1.6.44.1.5
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-EncryptedDSRMPasswordHistory

這個屬性包含多重值的位元元元串。 每個值都包含舊版 DSRM 帳戶密碼的加密版本。

Name: ms-LAPS-EncryptedDSRMPasswordHistory
LDAP display name: msLAPS-EncryptedDSRMPasswordHistory
OID: 1.2.840.113556.1.6.44.1.6
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: False
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-CurrentPasswordVersion

此屬性包含二進位 GUID。 值代表最近保存之密碼的邏輯版本。

Name: ms-LAPS-CurrentPasswordVersion
LDAP display name: msLAPS-CurrentPasswordVersion
OID: 1.2.840.113556.1.6.44.1.7
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
RangerLower: 16
RangerUpper: 16
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

Extended rights

Windows LAPS 會 ms-LAPS-Encrypted-Password-Attributes 擴充 Windows Server Active Directory 中的許可權。 您可以使用 ms-LAPS-Encrypted-Password-Attributes 擴充許可權來授與受控裝置 SELF 許可權，以讀取和寫入上述各節所述的各種屬性。

Name: ms-LAPS-Encrypted-Password-Attributes
Rights guid: f3531ec6-6330-4f8e-8d39-7a671fbac605
Valid accesses: 48 (RIGHT_DS_READ_PROPERTY | RIGHT_DS_WRITE_PROPERTY)

Windows LAPS 架構與舊版 Microsoft LAPS 架構

如同 Windows LAPS，舊版Microsoft LAPS 也需要您將架構延伸模組用於 Windows Server Active Directory 部署。 為了協助您規劃從舊版Microsoft LAPS 移轉至 Windows LAPS，下表顯示架構延伸專案的邏輯對應：

Next steps

• Windows LAPS 中的重要概念
• 使用 Windows LAPS 事件記錄檔