Windows LAPS 結構描述延伸模組參考

發行項
11/02/2024
適用於:

✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows 11, ✅ Windows 10

使用結構描述延伸模組和擴充權限的詳細資訊，協助您在 Windows Server Active Directory 部署中部署或管理 Windows 區域系統管理員密碼解決方案 (Windows LAPS)。

架構延伸模組

Windows LAPS 提供適用於 Windows Server Active Directory 的特定結構描述元素。若要使用下列任一 Windows LAPS Windows Server Active Directory 功能，您必須執行 Update-LapsADSchema PowerShell Cmdlet，將這些新的結構描述元素新增至樹系。

結構描述屬性

Windows LAPS 會對受控裝置使用特定結構描述屬性，其儲存在 Windows Server Active Directory 中的電腦物件上。 Update-LapsADSchema Cmdlet 會將結構描述屬性新增至目錄和電腦結構描述類別上的 mayContain 清單。

提示

下列許多屬性都會指定 904 SearchFlags。為了方便參考，此值是由下列位元旗標所組成：

fRODCFilteredAttribute
fNEVERVALUEAUDIT
fCONFIDENTIAL
fPRESERVEONDELETE

msLAPS-PasswordExpirationTime

此屬性包含 64 位元整數，以 UTC 指定目前排定的密碼到期時間。

Name: ms-LAPS-PasswordExpirationTime
LDAP display name: msLAPS-PasswordExpirationTime
OID: 1.2.840.113556.1.6.44.1.1
Syntax: 2.5.5.16
OmSyntax: 65
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 0
AttributeSecurityGuid: <not set>

msLAPS-Password

此屬性包含 Unicode 字串，指定目前密碼的純文字版本和其他資訊。

Name: ms-LAPS-Password
LDAP display name: msLAPS-Password
OID: 1.2.840.113556.1.6.44.1.2
Syntax: 2.5.5.5
OmSyntax: 19
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: <not set>

此屬性中儲存的資料是包含多個名稱/值對的 JSON 字串。例如：

{"n":"Administrator","t":"1d8161b41c41cde","p":"A6a3#7%eb!57be4a4B95Z43394ba956de69e5d8975#$8a6d)4f82da6ad500HGx"}

JSON 字串中的每個名稱/值組都有特定意義：

名稱	值
`"n"`	包含受控區域系統管理員帳戶的名稱
`"t"`	包含以 64 位元十六進位數字表示的 UTC 密碼更新時間
`"p"`	包含純文字的密碼

msLAPS-EncryptedPassword

此屬性包含位元組字串，其中包含目前密碼的加密版本。

Name: ms-LAPS-EncryptedPassword
LDAP display name: msLAPS-EncryptedPassword
OID: 1.2.840.113556.1.6.44.1.3
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-EncryptedPasswordHistory

此屬性包含多重值的位元組字串。每個值都包含舊版密碼的加密版本。

Name: ms-LAPS-EncryptedPasswordHistory
LDAP display name: msLAPS-EncryptedPasswordHistory
OID: 1.2.840.113556.1.6.44.1.4
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: False
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-EncryptedDSRMPassword

此屬性包含位元組字串，其中包含目前目錄服務還原模式 (DSRM) 帳戶密碼的加密版本。

Name: ms-LAPS-EncryptedDSRMPassword
LDAP display name: msLAPS-EncryptedDSRMPassword
OID: 1.2.840.113556.1.6.44.1.5
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-EncryptedDSRMPasswordHistory

此屬性包含多重值的位元組字串。每個值都包含舊版 DSRM 帳戶密碼的加密版本。

Name: ms-LAPS-EncryptedDSRMPasswordHistory
LDAP display name: msLAPS-EncryptedDSRMPasswordHistory
OID: 1.2.840.113556.1.6.44.1.6
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: False
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-CurrentPasswordVersion

此屬性包含二進位 GUID。值代表最近保存之密碼的邏輯版本。

Name: ms-LAPS-CurrentPasswordVersion
LDAP display name: msLAPS-CurrentPasswordVersion
OID: 1.2.840.113556.1.6.44.1.7
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
RangerLower: 16
RangerUpper: 16
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

擴充權限

Windows LAPS 會擴充 Windows Server Active Directory 中的 ms-LAPS-Encrypted-Password-Attributes 權限。您可以使用 ms-LAPS-Encrypted-Password-Attributes 擴展權利以授予受控裝置 SELF 權限，以讀取和寫入前面章節中描述的各種屬性。

Name: ms-LAPS-Encrypted-Password-Attributes
Rights guid: f3531ec6-6330-4f8e-8d39-7a671fbac605
Valid accesses: 48 (RIGHT_DS_READ_PROPERTY | RIGHT_DS_WRITE_PROPERTY)

Windows LAPS 結構描述與舊版 Microsoft LAPS 結構描述

如同 Windows LAPS，舊版 Microsoft LAPS 也要求您針對 Windows Server Active Directory 部署使用結構描述延伸模組。為了協助您規劃從舊版 Microsoft LAPS 移轉至 Windows LAPS，下表顯示結構描述擴充元素的邏輯對應：

Windows LAPS 結構描述元素	舊版 Microsoft LAPS 結構描述元素
`msLAPS-PasswordExpirationTime`	`ms-Mcs-AdmPwdExpirationTime`
`msLAPS-Password`	`ms-Mcs-AdmPwd`
`msLAPS-EncryptedPassword`	不適用
`msLAPS-EncryptedPasswordHistory`	不適用
`msLAPS-EncryptedDSRMPassword`	不適用
`msLAPS-EncryptedDSRMPasswordHistory`	不適用

共用方式為