Referenz zu Windows LAPS-Schemaerweiterungen
Nutzen Sie die detaillierten Informationen zu Schema- und -Rechteerweiterungen, um Windows Local Administrator Password Solution (Windows LAPS) in Ihrer Windows Server Active Directory-Bereitstellung zu implementieren oder zu verwalten.
Schemaerweiterungen
Windows LAPS bietet spezifische Schemaelemente für Windows Server Active Directory. Um eines der folgenden Windows Server Active Directory-Features für Windows LAPS verwenden zu können, müssen Sie diese neuen Schemaelemente der Gesamtstruktur hinzufügen, indem Sie das Cmdlet Update-LapsADSchema PowerShell
ausführen.
Schemaattribute
Windows LAPS verwendet spezifische Schemaattribute, die in Windows Server Active Directory im Objekt „Computer“ für ein verwaltetes Gerät gespeichert sind. Das Cmdlet Update-LapsADSchema
fügt die Schemaattribute zum Verzeichnis und zur Liste mayContain
der Computerschemaklasse hinzu.
Tipp
Viele der folgenden Attribute geben 904
als Wert von SearchFlags
an. Zur einfachen Bezugnahme besteht dieser Wert aus den folgenden Bitflags:
fRODCFilteredAttribute
fNEVERVALUEAUDIT
fCONFIDENTIAL
fPRESERVEONDELETE
msLAPS-PasswordExpirationTime
Dieses Attribut enthält eine ganze 64-Bit-Zahl, die die derzeit geplante Kennwortablaufzeit in UTC angibt.
Name: ms-LAPS-PasswordExpirationTime
LDAP display name: msLAPS-PasswordExpirationTime
OID: 1.2.840.113556.1.6.44.1.1
Syntax: 2.5.5.16
OmSyntax: 65
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 0
AttributeSecurityGuid: <not set>
msLAPS-Password
Dieses Attribut enthält eine Unicode-Zeichenfolge mit der Klartextversion des aktuellen Kennworts und anderen Informationen.
Name: ms-LAPS-Password
LDAP display name: msLAPS-Password
OID: 1.2.840.113556.1.6.44.1.2
Syntax: 2.5.5.5
OmSyntax: 19
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: <not set>
Die in diesem Attribut gespeicherten Daten sind eine JSON-Zeichenfolge mit mehreren Name-Wert-Paaren. Zum Beispiel:
{"n":"Administrator","t":"1d8161b41c41cde","p":"A6a3#7%eb!57be4a4B95Z43394ba956de69e5d8975#$8a6d)4f82da6ad500HGx"}
Jedes Name-Wert-Paar in der JSON-Zeichenfolge hat eine bestimmte Bedeutung:
Name | Wert |
---|---|
"n" |
Enthält den Namen des verwalteten lokalen Administratorkontos |
"t" |
Enthält die UTC-Kennwortaktualisierungszeit, dargestellt als 64-Bit-Hexadezimalzahl |
"p" |
Enthält das Kennwort als Klartext |
msLAPS-EncryptedPassword
Dieses Attribut enthält eine Bytezeichenfolge mit einer verschlüsselten Version des aktuellen Kennworts.
Name: ms-LAPS-EncryptedPassword
LDAP display name: msLAPS-EncryptedPassword
OID: 1.2.840.113556.1.6.44.1.3
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)
msLAPS-EncryptedPasswordHistory
Dieses Attribut enthält eine Bytezeichenfolge mit mehreren Werten. Jeder Wert enthält eine verschlüsselte Version eines früheren Kennworts.
Name: ms-LAPS-EncryptedPasswordHistory
LDAP display name: msLAPS-EncryptedPasswordHistory
OID: 1.2.840.113556.1.6.44.1.4
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: False
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)
msLAPS-EncryptedDSRMPassword
Dieses Attribut enthält eine Bytezeichenfolge mit einer verschlüsselten Version des aktuellen DSRM-Kontokennworts (Directory Services Restore Mode, Reparaturmodus für Verzeichnisdienste).
Name: ms-LAPS-EncryptedDSRMPassword
LDAP display name: msLAPS-EncryptedDSRMPassword
OID: 1.2.840.113556.1.6.44.1.5
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)
msLAPS-EncryptedDSRMPasswordHistory
Dieses Attribut enthält eine Bytezeichenfolge mit mehreren Werten. Jeder Wert enthält eine verschlüsselte Version eines früheren Kennworts eines DSRM-Kontos.
Name: ms-LAPS-EncryptedDSRMPasswordHistory
LDAP display name: msLAPS-EncryptedDSRMPasswordHistory
OID: 1.2.840.113556.1.6.44.1.6
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: False
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)
msLAPS-CurrentPasswordVersion
Dieses Attribut enthält eine binäre GUID. Der Wert stellt die logische Version des zuletzt bestehenden Passworts dar.
Name: ms-LAPS-CurrentPasswordVersion
LDAP display name: msLAPS-CurrentPasswordVersion
OID: 1.2.840.113556.1.6.44.1.7
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
RangerLower: 16
RangerUpper: 16
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)
Erweiterte Rechte
Windows LAPS erweitert die ms-LAPS-Encrypted-Password-Attributes
-Rechte in Windows Server Active Directory. Sie können die erweiterten ms-LAPS-Encrypted-Password-Attributes
-Rechte verwenden, um verwalteten Geräten SELF-Berechtigungen zum Lesen und Schreiben verschiedener Attribute zu erteilen, die in den vorherigen Abschnitten beschrieben sind.
Name: ms-LAPS-Encrypted-Password-Attributes
Rights guid: f3531ec6-6330-4f8e-8d39-7a671fbac605
Valid accesses: 48 (RIGHT_DS_READ_PROPERTY | RIGHT_DS_WRITE_PROPERTY)
Schema von Windows LAPS im Vergleich zum Schema von Legacy-Microsoft LAPS
Wie Windows LAPS erfordert auch Legacy-Microsoft LAPS die Verwendung von Schemaerweiterungen für eine Windows Server Active Directory-Bereitstellung. Um Ihnen bei der Planung einer Migration von Legacy-Microsoft LAPS zu Windows LAPS zu helfen, zeigt die folgende Tabelle eine logische Zuordnung von Schemaerweiterungselementen:
Windows LAPS-Schemaelement | Legacy-Microsoft LAPS-Schemaelement |
---|---|
msLAPS-PasswordExpirationTime |
ms-Mcs-AdmPwdExpirationTime |
msLAPS-Password |
ms-Mcs-AdmPwd |
msLAPS-EncryptedPassword |
Nicht zutreffend |
msLAPS-EncryptedPasswordHistory |
Nicht zutreffend |
msLAPS-EncryptedDSRMPassword |
Nicht zutreffend |
msLAPS-EncryptedDSRMPasswordHistory |
Nicht zutreffend |