Informations de référence sur les extensions de schéma Windows LAPS
Utilisez des informations détaillées sur les extensions de schéma et les droits étendus pour vous aider à déployer ou à gérer une solution de mot de passe d'administrateur local Windows (Windows LAPS) dans votre déploiement Windows Server Active Directory.
Extensions de schéma
Windows LAPS offre des éléments de schéma spécifiques pour Windows Server Active Directory. Pour utiliser l'une des fonctionnalités Windows APS basées sur Windows Server Active Directory suivantes, vous devez ajouter ces nouveaux éléments de schéma à la forêt en exécutant l'applet de commande Update-LapsADSchema PowerShell.
Attributs de schéma
Windows LAPS utilise des attributs de schéma spécifiques qui sont stockés sur l'objet ordinateur dans Windows Server Active Directory pour un appareil géré. L'applet de commande Update-LapsADSchema ajoute les attributs de schéma au répertoire et à la liste mayContain de la classe de schéma d'ordinateur.
Conseil
La plupart des attributs suivants spécifient 904 comme valeur SearchFlags. Afin de pouvoir s'y référer facilement, cette valeur est composée des indicateurs binaires suivants :
fRODCFilteredAttributefNEVERVALUEAUDITfCONFIDENTIALfPRESERVEONDELETE
msLAPS-PasswordExpirationTime
Cet attribut contient un entier 64 bits qui spécifie l'heure d'expiration du mot de passe actuellement planifiée, au format UTC.
Name: ms-LAPS-PasswordExpirationTime
LDAP display name: msLAPS-PasswordExpirationTime
OID: 1.2.840.113556.1.6.44.1.1
Syntax: 2.5.5.16
OmSyntax: 65
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 0
AttributeSecurityGuid: <not set>
msLAPS-Password
Cet attribut contient une chaîne Unicode qui spécifie la version en texte clair du mot de passe actuel et d'autres informations.
Name: ms-LAPS-Password
LDAP display name: msLAPS-Password
OID: 1.2.840.113556.1.6.44.1.2
Syntax: 2.5.5.5
OmSyntax: 19
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: <not set>
Les données stockées dans cet attribut sont une chaîne JSON qui contient plusieurs paires nom-valeur. Par exemple :
{"n":"Administrator","t":"1d8161b41c41cde","p":"A6a3#7%eb!57be4a4B95Z43394ba956de69e5d8975#$8a6d)4f82da6ad500HGx"}
Chaque paire nom-valeur dans la chaîne JSON a une signification spécifique :
| Nom | Valeur |
|---|---|
"n" |
Contient le nom du compte d'administrateur local géré |
"t" |
Contient l'heure UTC de mise à jour du mot de passe représentée sous la forme d'un nombre hexadécimal 64 bits |
"p" |
Contient le mot de passe en texte clair |
msLAPS-EncryptedPassword
Cet attribut contient une chaîne d'octets qui contient une version chiffrée du mot de passe actuel.
Name: ms-LAPS-EncryptedPassword
LDAP display name: msLAPS-EncryptedPassword
OID: 1.2.840.113556.1.6.44.1.3
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)
msLAPS-EncryptedPasswordHistory
Cet attribut contient une chaîne d'octets à valeurs multiples. Chaque valeur contient une version chiffrée d'un mot de passe antérieur.
Name: ms-LAPS-EncryptedPasswordHistory
LDAP display name: msLAPS-EncryptedPasswordHistory
OID: 1.2.840.113556.1.6.44.1.4
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: False
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)
msLAPS-EncryptedDSRMPassword
Cet attribut contient une chaîne d'octets qui inclut une version chiffrée du mot de passe actuel du compte en mode de restauration des services d'annuaire (DSRM).
Name: ms-LAPS-EncryptedDSRMPassword
LDAP display name: msLAPS-EncryptedDSRMPassword
OID: 1.2.840.113556.1.6.44.1.5
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)
msLAPS-EncryptedDSRMPasswordHistory
Cet attribut contient une chaîne d'octets à valeurs multiples. Chaque valeur contient une version chiffrée d'un mot de passe précédent du compte DSRM.
Name: ms-LAPS-EncryptedDSRMPasswordHistory
LDAP display name: msLAPS-EncryptedDSRMPasswordHistory
OID: 1.2.840.113556.1.6.44.1.6
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: False
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)
msLAPS-CurrentPasswordVersion
Cet attribut contient un GUID binaire. Sa valeur représente la version logique du mot de passe persistant le plus récent.
Name: ms-LAPS-CurrentPasswordVersion
LDAP display name: msLAPS-CurrentPasswordVersion
OID: 1.2.840.113556.1.6.44.1.7
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
RangerLower: 16
RangerUpper: 16
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)
Droits étendus
Windows LAPS étend les droits ms-LAPS-Encrypted-Password-Attributes dans Windows Server Active Directory. Vous pouvez utiliser les droits étendus ms-LAPS-Encrypted-Password-Attributes pour accorder aux appareils gérés des autorisations SELF de lecture et d'écriture de divers attributs décrits dans les sections précédentes.
Name: ms-LAPS-Encrypted-Password-Attributes
Rights guid: f3531ec6-6330-4f8e-8d39-7a671fbac605
Valid accesses: 48 (RIGHT_DS_READ_PROPERTY | RIGHT_DS_WRITE_PROPERTY)
Schéma Windows LAPS et schéma Microsoft LAPS hérité
Comme Windows LAPS, Microsoft LAPS hérité exige également que vous utilisiez des extensions de schéma pour un déploiement Windows Server Active Directory. Pour vous aider à planifier une migration de Microsoft LAPS hérité vers Windows LAPS, le tableau suivant montre un mappage logique des éléments d'extension de schéma :
| Élément de schéma Windows LAPS | Élément de schéma Microsoft LAPS hérité |
|---|---|
msLAPS-PasswordExpirationTime |
ms-Mcs-AdmPwdExpirationTime |
msLAPS-Password |
ms-Mcs-AdmPwd |
msLAPS-EncryptedPassword |
Ne s'applique pas |
msLAPS-EncryptedPasswordHistory |
Ne s'applique pas |
msLAPS-EncryptedDSRMPassword |
Ne s'applique pas |
msLAPS-EncryptedDSRMPasswordHistory |
Ne s'applique pas |