Partager via


Informations de référence sur les extensions de schéma Windows LAPS

Utilisez des informations détaillées sur les extensions de schéma et les droits étendus pour vous aider à déployer ou à gérer la solution de mot de passe d’administrateur local Windows (Windows LAPS) dans votre déploiement Windows Server Active Directory.

Schema extensions

Windows LAPS offre des éléments de schéma spécifiques pour Windows Server Active Directory. Pour utiliser l’une des fonctionnalités Windows LAPS Windows Server Active Directory suivantes, vous devez ajouter ces nouveaux éléments de schéma à la forêt en exécutant l’applet Update-LapsADSchema PowerShell de commande.

Schema attributes

Windows LAPS utilise des attributs de schéma spécifiques stockés sur l’objet ordinateur dans Windows Server Active Directory pour un appareil géré. L’applet Update-LapsADSchema de commande ajoute les attributs de schéma au répertoire et à la mayContain liste de la classe de schéma de l’ordinateur.

Tip

La plupart des attributs suivants spécifient une SearchFlags valeur de 904. Pour une référence simple, cette valeur est composée des indicateurs de bits suivants :

  • fRODCFilteredAttribute
  • fNEVERVALUEAUDIT
  • fCONFIDENTIAL
  • fPRESERVEONDELETE

msLAPS-PasswordExpirationTime

Cet attribut contient un entier 64 bits qui spécifie l’heure d’expiration du mot de passe actuellement planifiée au format UTC.

Name: ms-LAPS-PasswordExpirationTime
LDAP display name: msLAPS-PasswordExpirationTime
OID: 1.2.840.113556.1.6.44.1.1
Syntax: 2.5.5.16
OmSyntax: 65
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 0
AttributeSecurityGuid: <not set>

msLAPS-Password

Cet attribut contient une chaîne Unicode qui spécifie la version en texte clair du mot de passe actuel et d’autres informations.

Name: ms-LAPS-Password
LDAP display name: msLAPS-Password
OID: 1.2.840.113556.1.6.44.1.2
Syntax: 2.5.5.5
OmSyntax: 19
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: <not set>

Les données stockées dans cet attribut sont une chaîne JSON qui contient plusieurs paires nom-valeur. For example:

{"n":"Administrator","t":"1d8161b41c41cde","p":"A6a3#7%eb!57be4a4B95Z43394ba956de69e5d8975#$8a6d)4f82da6ad500HGx"}

Chaque paire nom-valeur dans la chaîne JSON a une signification spécifique :

Name Value
"n" Contient le nom du compte d’administrateur local géré
"t" Contient l’heure de mise à jour du mot de passe UTC représentée sous la forme d’un nombre hexadécimal 64 bits
"p" Contient le mot de passe en texte clair

msLAPS-EncryptedPassword

Cet attribut contient une chaîne d’octets qui contient une version chiffrée du mot de passe actuel.

Name: ms-LAPS-EncryptedPassword
LDAP display name: msLAPS-EncryptedPassword
OID: 1.2.840.113556.1.6.44.1.3
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-EncryptedPasswordHistory

Cet attribut contient une chaîne d’octets à valeurs multiples. Chaque valeur contient une version chiffrée d’un mot de passe antérieur.

Name: ms-LAPS-EncryptedPasswordHistory
LDAP display name: msLAPS-EncryptedPasswordHistory
OID: 1.2.840.113556.1.6.44.1.4
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: False
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-EncryptedDSRMPassword

Cet attribut contient une chaîne d’octets qui contient une version chiffrée du mot de passe de compte DSRM (Directory Services Restore Mode) actuel.

Name: ms-LAPS-EncryptedDSRMPassword
LDAP display name: msLAPS-EncryptedDSRMPassword
OID: 1.2.840.113556.1.6.44.1.5
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-EncryptedDSRMPasswordHistory

Cet attribut contient une chaîne d’octets à valeurs multiples. Chaque valeur contient une version chiffrée d’un mot de passe de compte DSRM antérieur.

Name: ms-LAPS-EncryptedDSRMPasswordHistory
LDAP display name: msLAPS-EncryptedDSRMPasswordHistory
OID: 1.2.840.113556.1.6.44.1.6
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: False
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-CurrentPasswordVersion

Cet attribut contient un GUID binaire. La valeur représente la version logique du mot de passe persistant le plus récent.

Name: ms-LAPS-CurrentPasswordVersion
LDAP display name: msLAPS-CurrentPasswordVersion
OID: 1.2.840.113556.1.6.44.1.7
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
RangerLower: 16
RangerUpper: 16
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

Extended rights

Windows LAPS étend les ms-LAPS-Encrypted-Password-Attributes droits dans Windows Server Active Directory. Vous pouvez utiliser les ms-LAPS-Encrypted-Password-Attributes droits étendus pour accorder aux appareils gérés des autorisations SELF pour lire et écrire différents attributs décrits dans les sections précédentes.

Name: ms-LAPS-Encrypted-Password-Attributes
Rights guid: f3531ec6-6330-4f8e-8d39-7a671fbac605
Valid accesses: 48 (RIGHT_DS_READ_PROPERTY | RIGHT_DS_WRITE_PROPERTY)

Schéma Windows LAPS et schéma Microsoft LAPS hérité

Comme Windows LAPS, microsoft LAPS hérité vous oblige également à utiliser des extensions de schéma pour un déploiement Windows Server Active Directory. Pour vous aider à planifier une migration de Microsoft LAPS hérité vers Windows LAPS, le tableau suivant présente un mappage logique des éléments d’extension de schéma :

Élément de schéma Windows LAPS Élément de schéma Microsoft LAPS hérité
msLAPS-PasswordExpirationTime ms-Mcs-AdmPwdExpirationTime
msLAPS-Password ms-Mcs-AdmPwd
msLAPS-EncryptedPassword Doesn't apply
msLAPS-EncryptedPasswordHistory Doesn't apply
msLAPS-EncryptedDSRMPassword Doesn't apply
msLAPS-EncryptedDSRMPasswordHistory Doesn't apply

Next steps