Referencia de extensiones de esquema de Windows LAPS

• Se aplica a:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows 11, ✅ Windows 10

Use la información detallada sobre las extensiones de esquemas y derechos extendidos para poder implementar o administrar Solución de contraseñas de administrador local (LAPS de Windows) en la implementación de Windows Server Active Directory.

Extensiones de esquema

LAPS de Windows ofrece elementos de esquemas específicos para Windows Server Active Directory. Para usar una de las siguientes características basadas en Windows Server Active Directory de Windows LAPS, se deben agregar estos nuevos elementos de esquema al bosque ejecutando el cmdlet Update-LapsADSchema PowerShell.

Atributos del esquema

LAPS de Windows usa atributos de esquemas específicos que se almacenan en el objeto de equipo en Windows Server Active Directory para un dispositivo administrado. El cmdlet Update-LapsADSchema agrega los atributos de esquema al directorio y a la lista de la clase de esquema de equipo mayContain.

Sugerencia

Muchos de los siguientes atributos especifican un valor SearchFlags de 904. Para facilitar las consultas, este valor se compone de las marcas de bits siguientes:

• fRODCFilteredAttribute
• fNEVERVALUEAUDIT
• fCONFIDENTIAL
• fPRESERVEONDELETE

msLAPS-PasswordExpirationTime

Este atributo contiene un valor entero de 64 bits que especifica la hora de expiración de la contraseña programada actualmente en UTC.

Name: ms-LAPS-PasswordExpirationTime
LDAP display name: msLAPS-PasswordExpirationTime
OID: 1.2.840.113556.1.6.44.1.1
Syntax: 2.5.5.16
OmSyntax: 65
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 0
AttributeSecurityGuid: <not set>

msLAPS-Password

Este atributo contiene una cadena de Unicode que especifica la versión de texto no cifrada de la contraseña actual y otra información.

Name: ms-LAPS-Password
LDAP display name: msLAPS-Password
OID: 1.2.840.113556.1.6.44.1.2
Syntax: 2.5.5.5
OmSyntax: 19
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: <not set>

Los datos que se almacenan en este atributo son una cadena JSON que contiene varios pares nombre-valor. Por ejemplo:

{"n":"Administrator","t":"1d8161b41c41cde","p":"A6a3#7%eb!57be4a4B95Z43394ba956de69e5d8975#$8a6d)4f82da6ad500HGx"}

Cada par nombre-valor de la cadena JSON tiene un significado específico:

Nombre	Valor
"n"	Contiene el nombre de la cuenta de administrador local administrada
"t"	Contiene la hora de actualización de contraseña en UTC representada como un número hexadecimal de 64 bits
"p"	Contiene la contraseña de texto no cifrada

msLAPS-EncryptedPassword

Este atributo contiene una cadena de bytes que contiene una versión cifrada de la contraseña actual.

Name: ms-LAPS-EncryptedPassword
LDAP display name: msLAPS-EncryptedPassword
OID: 1.2.840.113556.1.6.44.1.3
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-EncryptedPasswordHistory

Este atributo contiene una cadena de bytes de varios valores. Cada valor contiene una versión cifrada de una contraseña anterior.

Name: ms-LAPS-EncryptedPasswordHistory
LDAP display name: msLAPS-EncryptedPasswordHistory
OID: 1.2.840.113556.1.6.44.1.4
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: False
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-EncryptedDSRMPassword

Este atributo contiene una cadena de bytes que contiene una versión cifrada de la contraseña actual del modo de restauración de servicios de directorio (DSRM).

Name: ms-LAPS-EncryptedDSRMPassword
LDAP display name: msLAPS-EncryptedDSRMPassword
OID: 1.2.840.113556.1.6.44.1.5
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-EncryptedDSRMPasswordHistory

Este atributo contiene una cadena de bytes de varios valores. Cada valor contiene una versión cifrada de una contraseña de cuenta de DSRM anterior.

Name: ms-LAPS-EncryptedDSRMPasswordHistory
LDAP display name: msLAPS-EncryptedDSRMPasswordHistory
OID: 1.2.840.113556.1.6.44.1.6
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: False
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-CurrentPasswordVersion

Este atributo contiene un GUID binario. El valor representa la versión lógica de la contraseña guardada más recientemente.

Name: ms-LAPS-CurrentPasswordVersion
LDAP display name: msLAPS-CurrentPasswordVersion
OID: 1.2.840.113556.1.6.44.1.7
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
RangerLower: 16
RangerUpper: 16
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

Derechos extendidos

LAPS de Windows extiende los derechos ms-LAPS-Encrypted-Password-Attributes en Windows Server Active Directory. Se pueden usar los derechos extendidos ms-LAPS-Encrypted-Password-Attributes para conceder permisos SELF a los dispositivos administrados para leer y escribir varios atributos descritos en las secciones anteriores.

Name: ms-LAPS-Encrypted-Password-Attributes
Rights guid: f3531ec6-6330-4f8e-8d39-7a671fbac605
Valid accesses: 48 (RIGHT_DS_READ_PROPERTY | RIGHT_DS_WRITE_PROPERTY)

Comparación entre LAPS de Windows y el esquema de LAPS de Microsoft heredado

Al igual que en LAPS de Windows, LAPS de Microsoft heredada necesita que se usen extensiones de esquema para una implementación de Windows Server Active Directory. Para poder planear una migración desde LAPS de Microsoft heredada a LAPS de Windows, en la siguiente tabla se muestra una asignación lógica de elementos de extensión de esquemas:

Elemento de esquema de LAPS de Windows	Elemento de esquema de LAPS de Microsoft heredada
msLAPS-PasswordExpirationTime	ms-Mcs-AdmPwdExpirationTime
msLAPS-Password	ms-Mcs-AdmPwd
msLAPS-EncryptedPassword	No procede
msLAPS-EncryptedPasswordHistory	No procede
msLAPS-EncryptedDSRMPassword	No procede
msLAPS-EncryptedDSRMPasswordHistory	No procede

Pasos siguientes

• Conceptos clave en Windows LAPS
• Uso de registros de eventos de Windows LAPS