Справочник по расширениям схемы Windows LAPS

Применяется к: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows 11, ✅ Windows 10

Используйте подробные сведения о расширениях схемы и расширенных правах для развертывания решения локального администратора Windows (WINDOWS LAPS) или управления ими в развертывании Windows Server Active Directory.

Schema extensions

Windows LAPS предлагает определенные элементы схемы для Windows Server Active Directory. Чтобы использовать любой из следующих компонентов Windows LAPS Windows Server Active Directory, необходимо добавить эти новые элементы схемы в лес, выполнив Update-LapsADSchema PowerShell командлет.

Schema attributes

Windows LAPS использует определенные атрибуты схемы, хранящиеся на объекте компьютера в Windows Server Active Directory для управляемого устройства. Командлет Update-LapsADSchema добавляет атрибуты схемы в каталог и mayContain список в классе схемы компьютера.

Tip

Многие из следующих атрибутов указывают SearchFlags значение 904. Для простой ссылки это значение состоит из следующих битовых флагов:

fRODCFilteredAttribute
fNEVERVALUEAUDIT
fCONFIDENTIAL
fPRESERVEONDELETE

msLAPS-PasswordExpirationTime

Этот атрибут содержит 64-разрядное целое число, указывающее текущее запланированное время истечения срока действия пароля в формате UTC.

Name: ms-LAPS-PasswordExpirationTime
LDAP display name: msLAPS-PasswordExpirationTime
OID: 1.2.840.113556.1.6.44.1.1
Syntax: 2.5.5.16
OmSyntax: 65
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 0
AttributeSecurityGuid: <not set>

msLAPS-Password

Этот атрибут содержит строку Юникода, которая указывает версию текущего пароля и другие сведения.

Name: ms-LAPS-Password
LDAP display name: msLAPS-Password
OID: 1.2.840.113556.1.6.44.1.2
Syntax: 2.5.5.5
OmSyntax: 19
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: <not set>

Данные, хранящиеся в этом атрибуте, — это строка JSON, содержащая несколько пар "имя-значение". For example:

{"n":"Administrator","t":"1d8161b41c41cde","p":"A6a3#7%eb!57be4a4B95Z43394ba956de69e5d8975#$8a6d)4f82da6ad500HGx"}

Каждая пара name-value в строке JSON имеет определенное значение:

Name	Value
`"n"`	Содержит имя управляемой учетной записи локального администратора.
`"t"`	Содержит время обновления пароля в формате UTC, представленное как шестнадцатеричное число 64-разрядного значения.
`"p"`	Содержит пароль с четким текстом

msLAPS-EncryptedPassword

Этот атрибут содержит строку байтов, содержащую зашифрованную версию текущего пароля.

Name: ms-LAPS-EncryptedPassword
LDAP display name: msLAPS-EncryptedPassword
OID: 1.2.840.113556.1.6.44.1.3
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-EncryptedPasswordHistory

Этот атрибут содержит многозначную строку байтов. Каждое значение содержит зашифрованную версию предыдущего пароля.

Name: ms-LAPS-EncryptedPasswordHistory
LDAP display name: msLAPS-EncryptedPasswordHistory
OID: 1.2.840.113556.1.6.44.1.4
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: False
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-EncryptedDSRMPassword

Этот атрибут содержит строку байтов, содержащую зашифрованную версию текущего пароля учетной записи службы каталогов (DSRM).

Name: ms-LAPS-EncryptedDSRMPassword
LDAP display name: msLAPS-EncryptedDSRMPassword
OID: 1.2.840.113556.1.6.44.1.5
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-EncryptedDSRMPasswordHistory

Этот атрибут содержит многозначную строку байтов. Каждое значение содержит зашифрованную версию более ранней учетной записи DSRM.

Name: ms-LAPS-EncryptedDSRMPasswordHistory
LDAP display name: msLAPS-EncryptedDSRMPasswordHistory
OID: 1.2.840.113556.1.6.44.1.6
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: False
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-CurrentPasswordVersion

Этот атрибут содержит двоичный GUID. Значение представляет логическую версию последнего сохраненного пароля.

Name: ms-LAPS-CurrentPasswordVersion
LDAP display name: msLAPS-CurrentPasswordVersion
OID: 1.2.840.113556.1.6.44.1.7
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
RangerLower: 16
RangerUpper: 16
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

Important

msLAPS-CurrentPasswordVersion Атрибут доступен только при использовании лесной схемы Windows Server 2025. Этот атрибут автоматически добавляется при продвижении первого контроллера домена Windows Server 2025 в вашем лесу; Он не устанавливается при запуске Update-LapsADSchema cmdlet. Если в вашем лесу нет хотя бы одного контроллера домена Windows Server 2025, этот атрибут не будет доступен, а функция обнаружения и предотвращения отката образов ОС не будет работать.

Extended rights

Windows LAPS расширяет ms-LAPS-Encrypted-Password-Attributes права в Windows Server Active Directory. Расширенные ms-LAPS-Encrypted-Password-Attributes права можно использовать для предоставления управляемым устройствам разрешений SELF для чтения и записи различных атрибутов, описанных в предыдущих разделах.

Name: ms-LAPS-Encrypted-Password-Attributes
Rights guid: f3531ec6-6330-4f8e-8d39-7a671fbac605
Valid accesses: 48 (RIGHT_DS_READ_PROPERTY | RIGHT_DS_WRITE_PROPERTY)

Схема Windows LAPS и устаревшая схема Microsoft LAPS

Как и windows LAPS, устаревшая версия Microsoft LAPS также требует использования расширений схемы для развертывания Windows Server Active Directory. Чтобы спланировать миграцию из устаревшей версии Microsoft LAPS в Windows LAPS, в следующей таблице показано логическое сопоставление элементов расширения схемы:

Элемент схемы Windows LAPS	Устаревший элемент схемы Microsoft LAPS
`msLAPS-PasswordExpirationTime`	`ms-Mcs-AdmPwdExpirationTime`
`msLAPS-Password`	`ms-Mcs-AdmPwd`
`msLAPS-EncryptedPassword`	Doesn't apply
`msLAPS-EncryptedPasswordHistory`	Doesn't apply
`msLAPS-EncryptedDSRMPassword`	Doesn't apply
`msLAPS-EncryptedDSRMPasswordHistory`	Doesn't apply

Next steps

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2025-07-13