Informazioni di riferimento sulle estensioni dello schema Windows LAPS
Usare informazioni dettagliate sulle estensioni dello schema e sui diritti estesi per facilitare la distribuzione o la gestione della Soluzione password dell'amministratore locale di Windows (Windows LAPS) nella distribuzione di Windows Server Active Directory.
Estensioni dello schema
Windows LAPS offre elementi dello schema specifici per Windows Server Active Directory. Per usare una delle seguenti funzionalità basate su Windows LAPS di Windows Server Active Directory, è necessario aggiungere questi nuovi elementi dello schema alla foresta eseguendo il cmdlet Update-LapsADSchema PowerShell.
Attributi dello schema
Windows LAPS usa attributi dello schema specifici archiviati nell'oggetto computer in Windows Server Active Directory per un dispositivo gestito. Il cmdlet Update-LapsADSchema aggiunge gli attributi dello schema alla directory e all'elenco mayContain nella classe dello schema del computer.
Suggerimento
Molti degli attributi seguenti specificano un valore SearchFlags di 904. Per facilità, questo valore è composto dai flag di bit seguenti:
fRODCFilteredAttributefNEVERVALUEAUDITfCONFIDENTIALfPRESERVEONDELETE
msLAPS-PasswordExpirationTime
Questo attributo contiene un valore integer a 64 bit che specifica l'ora di scadenza della password attualmente pianificata nel fuso orario UTC.
Name: ms-LAPS-PasswordExpirationTime
LDAP display name: msLAPS-PasswordExpirationTime
OID: 1.2.840.113556.1.6.44.1.1
Syntax: 2.5.5.16
OmSyntax: 65
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 0
AttributeSecurityGuid: <not set>
msLAPS-Password
Questo attributo contiene una stringa Unicode che specifica la versione non crittografata della password corrente e altre informazioni.
Name: ms-LAPS-Password
LDAP display name: msLAPS-Password
OID: 1.2.840.113556.1.6.44.1.2
Syntax: 2.5.5.5
OmSyntax: 19
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: <not set>
I dati archiviati in questo attributo sono una stringa JSON che contiene più coppie nome-valore. Ad esempio:
{"n":"Administrator","t":"1d8161b41c41cde","p":"A6a3#7%eb!57be4a4B95Z43394ba956de69e5d8975#$8a6d)4f82da6ad500HGx"}
Ogni coppia nome-valore nella stringa JSON ha un significato specifico:
| Nome | Valore |
|---|---|
"n" |
Contiene il nome dell'account amministratore locale gestito |
"t" |
Contiene l'ora di aggiornamento della password UTC rappresentata come numero esadecimale a 64 bit |
"p" |
Contiene la password non crittografata |
msLAPS-EncryptedPassword
Questo attributo contiene una stringa di byte che include una versione crittografata della password corrente.
Name: ms-LAPS-EncryptedPassword
LDAP display name: msLAPS-EncryptedPassword
OID: 1.2.840.113556.1.6.44.1.3
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)
msLAPS-EncryptedPasswordHistory
Questo attributo contiene una stringa di byte multivalore. Ogni valore contiene una versione crittografata di una password precedente.
Name: ms-LAPS-EncryptedPasswordHistory
LDAP display name: msLAPS-EncryptedPasswordHistory
OID: 1.2.840.113556.1.6.44.1.4
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: False
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)
msLAPS-EncryptedDSRMPassword
Questo attributo contiene una stringa di byte che include una versione crittografata della password corrente dell'account della modalità ripristino servizi directory (DSRM).
Name: ms-LAPS-EncryptedDSRMPassword
LDAP display name: msLAPS-EncryptedDSRMPassword
OID: 1.2.840.113556.1.6.44.1.5
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)
msLAPS-EncryptedDSRMPasswordHistory
Questo attributo contiene una stringa di byte multivalore. Ogni valore contiene una versione crittografata di una password dell'account DSRM precedente.
Name: ms-LAPS-EncryptedDSRMPasswordHistory
LDAP display name: msLAPS-EncryptedDSRMPasswordHistory
OID: 1.2.840.113556.1.6.44.1.6
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: False
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)
msLAPS-CurrentPasswordVersion
Questo attributo contiene un GUID binario. Il valore rappresenta la versione logica della password più usata di recente.
Name: ms-LAPS-CurrentPasswordVersion
LDAP display name: msLAPS-CurrentPasswordVersion
OID: 1.2.840.113556.1.6.44.1.7
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
RangerLower: 16
RangerUpper: 16
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)
Diritti estesi
Windows LAPS estende i diritti di ms-LAPS-Encrypted-Password-Attributes in Windows Server Active Directory. È possibile utilizzare i ms-LAPS-Encrypted-Password-Attributes diritti estesi per concedere ai dispositivi gestiti le autorizzazioni SELF per leggere e scrivere vari attributi descritti nelle sezioni precedenti.
Name: ms-LAPS-Encrypted-Password-Attributes
Rights guid: f3531ec6-6330-4f8e-8d39-7a671fbac605
Valid accesses: 48 (RIGHT_DS_READ_PROPERTY | RIGHT_DS_WRITE_PROPERTY)
Schema di Windows LAPS e schema Microsoft LAPS legacy
Come Windows LAPS, anche Microsoft LAPS legacy richiede l'uso delle estensioni dello schema per una distribuzione di Windows Server Active Directory. Per pianificare una migrazione da Microsoft LAPS legacy a Windows LAPS, la tabella seguente illustra un mapping logico degli elementi dell'estensione dello schema:
| Elemento dello schema Windows LAPS | Elemento dello schema Microsoft LAPS legacy |
|---|---|
msLAPS-PasswordExpirationTime |
ms-Mcs-AdmPwdExpirationTime |
msLAPS-Password |
ms-Mcs-AdmPwd |
msLAPS-EncryptedPassword |
Non applicabile |
msLAPS-EncryptedPasswordHistory |
Non applicabile |
msLAPS-EncryptedDSRMPassword |
Non applicabile |
msLAPS-EncryptedDSRMPasswordHistory |
Non applicabile |
Passaggi successivi
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per