Referenz zu Windows LAPS-Schemaerweiterungen

• Gilt für::

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows 11, ✅ Windows 10

Nutzen Sie die detaillierten Informationen zu Schema- und -Rechteerweiterungen, um Windows Local Administrator Password Solution (Windows LAPS) in Ihrer Windows Server Active Directory-Bereitstellung zu implementieren oder zu verwalten.

Schemaerweiterungen

Windows LAPS bietet spezifische Schemaelemente für Windows Server Active Directory. Um eines der folgenden Windows Server Active Directory-Features für Windows LAPS verwenden zu können, müssen Sie diese neuen Schemaelemente der Gesamtstruktur hinzufügen, indem Sie das Cmdlet Update-LapsADSchema PowerShell ausführen.

Schemaattribute

Windows LAPS verwendet spezifische Schemaattribute, die in Windows Server Active Directory im Objekt „Computer“ für ein verwaltetes Gerät gespeichert sind. Das Cmdlet Update-LapsADSchema fügt die Schemaattribute zum Verzeichnis und zur Liste mayContain der Computerschemaklasse hinzu.

Tipp

Viele der folgenden Attribute geben 904 als Wert von SearchFlags an. Zur einfachen Bezugnahme besteht dieser Wert aus den folgenden Bitflags:

• fRODCFilteredAttribute
• fNEVERVALUEAUDIT
• fCONFIDENTIAL
• fPRESERVEONDELETE

msLAPS-PasswordExpirationTime

Dieses Attribut enthält eine ganze 64-Bit-Zahl, die die derzeit geplante Kennwortablaufzeit in UTC angibt.

Name: ms-LAPS-PasswordExpirationTime
LDAP display name: msLAPS-PasswordExpirationTime
OID: 1.2.840.113556.1.6.44.1.1
Syntax: 2.5.5.16
OmSyntax: 65
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 0
AttributeSecurityGuid: <not set>

msLAPS-Password

Dieses Attribut enthält eine Unicode-Zeichenfolge mit der Klartextversion des aktuellen Kennworts und anderen Informationen.

Name: ms-LAPS-Password
LDAP display name: msLAPS-Password
OID: 1.2.840.113556.1.6.44.1.2
Syntax: 2.5.5.5
OmSyntax: 19
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: <not set>

Die in diesem Attribut gespeicherten Daten sind eine JSON-Zeichenfolge mit mehreren Name-Wert-Paaren. Zum Beispiel:

{"n":"Administrator","t":"1d8161b41c41cde","p":"A6a3#7%eb!57be4a4B95Z43394ba956de69e5d8975#$8a6d)4f82da6ad500HGx"}

Jedes Name-Wert-Paar in der JSON-Zeichenfolge hat eine bestimmte Bedeutung:

Name	Wert
"n"	Enthält den Namen des verwalteten lokalen Administratorkontos
"t"	Enthält die UTC-Kennwortaktualisierungszeit, dargestellt als 64-Bit-Hexadezimalzahl
"p"	Enthält das Kennwort als Klartext

msLAPS-EncryptedPassword

Dieses Attribut enthält eine Bytezeichenfolge mit einer verschlüsselten Version des aktuellen Kennworts.

Name: ms-LAPS-EncryptedPassword
LDAP display name: msLAPS-EncryptedPassword
OID: 1.2.840.113556.1.6.44.1.3
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-EncryptedPasswordHistory

Dieses Attribut enthält eine Bytezeichenfolge mit mehreren Werten. Jeder Wert enthält eine verschlüsselte Version eines früheren Kennworts.

Name: ms-LAPS-EncryptedPasswordHistory
LDAP display name: msLAPS-EncryptedPasswordHistory
OID: 1.2.840.113556.1.6.44.1.4
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: False
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-EncryptedDSRMPassword

Dieses Attribut enthält eine Bytezeichenfolge mit einer verschlüsselten Version des aktuellen DSRM-Kontokennworts (Directory Services Restore Mode, Reparaturmodus für Verzeichnisdienste).

Name: ms-LAPS-EncryptedDSRMPassword
LDAP display name: msLAPS-EncryptedDSRMPassword
OID: 1.2.840.113556.1.6.44.1.5
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-EncryptedDSRMPasswordHistory

Dieses Attribut enthält eine Bytezeichenfolge mit mehreren Werten. Jeder Wert enthält eine verschlüsselte Version eines früheren Kennworts eines DSRM-Kontos.

Name: ms-LAPS-EncryptedDSRMPasswordHistory
LDAP display name: msLAPS-EncryptedDSRMPasswordHistory
OID: 1.2.840.113556.1.6.44.1.6
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: False
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-CurrentPasswordVersion

Dieses Attribut enthält eine binäre GUID. Der Wert stellt die logische Version des zuletzt bestehenden Passworts dar.

Name: ms-LAPS-CurrentPasswordVersion
LDAP display name: msLAPS-CurrentPasswordVersion
OID: 1.2.840.113556.1.6.44.1.7
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
RangerLower: 16
RangerUpper: 16
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

Erweiterte Rechte

Windows LAPS erweitert die ms-LAPS-Encrypted-Password-Attributes-Rechte in Windows Server Active Directory. Sie können die erweiterten ms-LAPS-Encrypted-Password-Attributes-Rechte verwenden, um verwalteten Geräten SELF-Berechtigungen zum Lesen und Schreiben verschiedener Attribute zu erteilen, die in den vorherigen Abschnitten beschrieben sind.

Name: ms-LAPS-Encrypted-Password-Attributes
Rights guid: f3531ec6-6330-4f8e-8d39-7a671fbac605
Valid accesses: 48 (RIGHT_DS_READ_PROPERTY | RIGHT_DS_WRITE_PROPERTY)

Schema von Windows LAPS im Vergleich zum Schema von Legacy-Microsoft LAPS

Wie Windows LAPS erfordert auch Legacy-Microsoft LAPS die Verwendung von Schemaerweiterungen für eine Windows Server Active Directory-Bereitstellung. Um Ihnen bei der Planung einer Migration von Legacy-Microsoft LAPS zu Windows LAPS zu helfen, zeigt die folgende Tabelle eine logische Zuordnung von Schemaerweiterungselementen:

Windows LAPS-Schemaelement	Legacy-Microsoft LAPS-Schemaelement
msLAPS-PasswordExpirationTime	ms-Mcs-AdmPwdExpirationTime
msLAPS-Password	ms-Mcs-AdmPwd
msLAPS-EncryptedPassword	Nicht zutreffend
msLAPS-EncryptedPasswordHistory	Nicht zutreffend
msLAPS-EncryptedDSRMPassword	Nicht zutreffend
msLAPS-EncryptedDSRMPasswordHistory	Nicht zutreffend

Nächste Schritte

• Wichtige Konzepte in Windows LAPS
• Verwenden von Windows LAPS-Ereignisprotokollen