Windows LAPS 架构扩展参考
使用有关架构扩展和扩展权限的详细信息,帮助你在 Windows Server Active Directory 部署中部署或管理 Windows 本地管理员密码解决方案 (Windows LAPS)。
架构扩展
Windows LAPS 为 Windows Server Active Directory 提供特定的架构元素。 若要使用以下任何基于 Windows LAPS Windows Server Active Directory 的功能,必须通过运行 Update-LapsADSchema PowerShell
cmdlet 将这些新架构元素添加到林中。
架构属性
Windows LAPS 使用存储在托管设备的 Windows Server Active Directory 中的计算机对象上的特定架构属性。 Update-LapsADSchema
cmdlet 将架构属性添加到目录和计算机架构类上的 mayContain
列表中。
提示
以下许多属性将 SearchFlags
值指定为 904
。 为便于参考,此值由以下位标志组成:
fRODCFilteredAttribute
fNEVERVALUEAUDIT
fCONFIDENTIAL
fPRESERVEONDELETE
msLAPS-PasswordExpirationTime
此属性包含一个 64 位整数,用于指定当前计划的密码过期时间 (UTC)。
Name: ms-LAPS-PasswordExpirationTime
LDAP display name: msLAPS-PasswordExpirationTime
OID: 1.2.840.113556.1.6.44.1.1
Syntax: 2.5.5.16
OmSyntax: 65
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 0
AttributeSecurityGuid: <not set>
msLAPS-Password
此属性包含一个 Unicode 字符串,用于指定当前密码和其他信息的明文版本。
Name: ms-LAPS-Password
LDAP display name: msLAPS-Password
OID: 1.2.840.113556.1.6.44.1.2
Syntax: 2.5.5.5
OmSyntax: 19
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: <not set>
存储在此属性中的数据是包含多个名称/值对的 JSON 字符串。 例如:
{"n":"Administrator","t":"1d8161b41c41cde","p":"A6a3#7%eb!57be4a4B95Z43394ba956de69e5d8975#$8a6d)4f82da6ad500HGx"}
JSON 字符串中的每个名称/值对都有特定的含义:
名称 | 值 |
---|---|
"n" |
包含托管本地管理员帐户的名称 |
"t" |
包含表示为 64 位十六进制数的 UTC 密码更新时间 |
"p" |
包含明文密码 |
msLAPS-EncryptedPassword
此属性包含一个字节字符串,它包含当前密码的加密版本。
Name: ms-LAPS-EncryptedPassword
LDAP display name: msLAPS-EncryptedPassword
OID: 1.2.840.113556.1.6.44.1.3
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)
msLAPS-EncryptedPasswordHistory
此属性包含一个多值字节字符串。 每个值都包含早期密码的加密版本。
Name: ms-LAPS-EncryptedPasswordHistory
LDAP display name: msLAPS-EncryptedPasswordHistory
OID: 1.2.840.113556.1.6.44.1.4
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: False
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)
msLAPS-EncryptedDSRMPassword
此属性包含一个字节字符串,它包含当前目录服务还原模式 (DSRM) 帐户密码的加密版本。
Name: ms-LAPS-EncryptedDSRMPassword
LDAP display name: msLAPS-EncryptedDSRMPassword
OID: 1.2.840.113556.1.6.44.1.5
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)
msLAPS-EncryptedDSRMPasswordHistory
此属性包含一个多值字节字符串。 每个值都包含早期 DSRM 帐户密码的加密版本。
Name: ms-LAPS-EncryptedDSRMPasswordHistory
LDAP display name: msLAPS-EncryptedDSRMPasswordHistory
OID: 1.2.840.113556.1.6.44.1.6
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: False
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)
msLAPS-CurrentPasswordVersion
该属性包含一个二进制 GUID。 该值表示最近暂留的密码的逻辑版本。
Name: ms-LAPS-CurrentPasswordVersion
LDAP display name: msLAPS-CurrentPasswordVersion
OID: 1.2.840.113556.1.6.44.1.7
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
RangerLower: 16
RangerUpper: 16
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)
扩展权限
Windows LAPS 扩展了 Windows Server Active Directory 中的 ms-LAPS-Encrypted-Password-Attributes
权限。 可以使用 ms-LAPS-Encrypted-Password-Attributes
扩展权限向受管理设备授予 SELF 权限,以读取和写入前面部分所述的各种属性。
Name: ms-LAPS-Encrypted-Password-Attributes
Rights guid: f3531ec6-6330-4f8e-8d39-7a671fbac605
Valid accesses: 48 (RIGHT_DS_READ_PROPERTY | RIGHT_DS_WRITE_PROPERTY)
Windows LAPS 架构与旧版 Microsoft LAPS 架构
与 Windows LAPS 一样,旧版 Microsoft LAPS 也要求使用架构扩展进行 Windows Server Active Directory 部署。 为了帮助你规划从旧版 Microsoft LAPS 到 Windows LAPS 的迁移,下表显示了架构扩展元素的逻辑映射:
Windows LAPS 架构元素 | 旧版 Microsoft LAPS 架构元素 |
---|---|
msLAPS-PasswordExpirationTime |
ms-Mcs-AdmPwdExpirationTime |
msLAPS-Password |
ms-Mcs-AdmPwd |
msLAPS-EncryptedPassword |
不适用 |
msLAPS-EncryptedPasswordHistory |
不适用 |
msLAPS-EncryptedDSRMPassword |
不适用 |
msLAPS-EncryptedDSRMPasswordHistory |
不适用 |