Informazioni di riferimento sulle estensioni dello schema Windows LAPS

• Si applica a:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows 11, ✅ Windows 10

Usare informazioni dettagliate sulle estensioni dello schema e sui diritti estesi per facilitare la distribuzione o la gestione della Soluzione password dell'amministratore locale di Windows (Windows LAPS) nella distribuzione di Windows Server Active Directory.

Estensioni dello schema

Windows LAPS offre elementi dello schema specifici per Windows Server Active Directory. Per usare una delle seguenti funzionalità basate su Windows LAPS di Windows Server Active Directory, è necessario aggiungere questi nuovi elementi dello schema alla foresta eseguendo il cmdlet Update-LapsADSchema PowerShell.

Attributi dello schema

Windows LAPS usa attributi dello schema specifici archiviati nell'oggetto computer in Windows Server Active Directory per un dispositivo gestito. Il cmdlet Update-LapsADSchema aggiunge gli attributi dello schema alla directory e all'elenco mayContain nella classe dello schema del computer.

Suggerimento

Molti degli attributi seguenti specificano un valore SearchFlags di 904. Per facilità, questo valore è composto dai flag di bit seguenti:

• fRODCFilteredAttribute
• fNEVERVALUEAUDIT
• fCONFIDENTIAL
• fPRESERVEONDELETE

msLAPS-PasswordExpirationTime

Questo attributo contiene un valore integer a 64 bit che specifica l'ora di scadenza della password attualmente pianificata nel fuso orario UTC.

Name: ms-LAPS-PasswordExpirationTime
LDAP display name: msLAPS-PasswordExpirationTime
OID: 1.2.840.113556.1.6.44.1.1
Syntax: 2.5.5.16
OmSyntax: 65
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 0
AttributeSecurityGuid: <not set>

msLAPS-Password

Questo attributo contiene una stringa Unicode che specifica la versione non crittografata della password corrente e altre informazioni.

Name: ms-LAPS-Password
LDAP display name: msLAPS-Password
OID: 1.2.840.113556.1.6.44.1.2
Syntax: 2.5.5.5
OmSyntax: 19
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: <not set>

I dati archiviati in questo attributo sono una stringa JSON che contiene più coppie nome-valore. Ad esempio:

{"n":"Administrator","t":"1d8161b41c41cde","p":"A6a3#7%eb!57be4a4B95Z43394ba956de69e5d8975#$8a6d)4f82da6ad500HGx"}

Ogni coppia nome-valore nella stringa JSON ha un significato specifico:

Nome	Valore
"n"	Contiene il nome dell'account amministratore locale gestito
"t"	Contiene l'ora di aggiornamento della password UTC rappresentata come numero esadecimale a 64 bit
"p"	Contiene la password non crittografata

msLAPS-EncryptedPassword

Questo attributo contiene una stringa di byte che include una versione crittografata della password corrente.

Name: ms-LAPS-EncryptedPassword
LDAP display name: msLAPS-EncryptedPassword
OID: 1.2.840.113556.1.6.44.1.3
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-EncryptedPasswordHistory

Questo attributo contiene una stringa di byte multivalore. Ogni valore contiene una versione crittografata di una password precedente.

Name: ms-LAPS-EncryptedPasswordHistory
LDAP display name: msLAPS-EncryptedPasswordHistory
OID: 1.2.840.113556.1.6.44.1.4
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: False
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-EncryptedDSRMPassword

Questo attributo contiene una stringa di byte che include una versione crittografata della password corrente dell'account della modalità ripristino servizi directory (DSRM).

Name: ms-LAPS-EncryptedDSRMPassword
LDAP display name: msLAPS-EncryptedDSRMPassword
OID: 1.2.840.113556.1.6.44.1.5
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-EncryptedDSRMPasswordHistory

Questo attributo contiene una stringa di byte multivalore. Ogni valore contiene una versione crittografata di una password dell'account DSRM precedente.

Name: ms-LAPS-EncryptedDSRMPasswordHistory
LDAP display name: msLAPS-EncryptedDSRMPasswordHistory
OID: 1.2.840.113556.1.6.44.1.6
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: False
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-CurrentPasswordVersion

Questo attributo contiene un GUID binario. Il valore rappresenta la versione logica della password più usata di recente.

Name: ms-LAPS-CurrentPasswordVersion
LDAP display name: msLAPS-CurrentPasswordVersion
OID: 1.2.840.113556.1.6.44.1.7
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
RangerLower: 16
RangerUpper: 16
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

Diritti estesi

Windows LAPS estende i diritti di ms-LAPS-Encrypted-Password-Attributes in Windows Server Active Directory. È possibile utilizzare i ms-LAPS-Encrypted-Password-Attributes diritti estesi per concedere ai dispositivi gestiti le autorizzazioni SELF per leggere e scrivere vari attributi descritti nelle sezioni precedenti.

Name: ms-LAPS-Encrypted-Password-Attributes
Rights guid: f3531ec6-6330-4f8e-8d39-7a671fbac605
Valid accesses: 48 (RIGHT_DS_READ_PROPERTY | RIGHT_DS_WRITE_PROPERTY)

Schema di Windows LAPS e schema Microsoft LAPS legacy

Come Windows LAPS, anche Microsoft LAPS legacy richiede l'uso delle estensioni dello schema per una distribuzione di Windows Server Active Directory. Per pianificare una migrazione da Microsoft LAPS legacy a Windows LAPS, la tabella seguente illustra un mapping logico degli elementi dell'estensione dello schema:

Elemento dello schema Windows LAPS	Elemento dello schema Microsoft LAPS legacy
msLAPS-PasswordExpirationTime	ms-Mcs-AdmPwdExpirationTime
msLAPS-Password	ms-Mcs-AdmPwd
msLAPS-EncryptedPassword	Non applicabile
msLAPS-EncryptedPasswordHistory	Non applicabile
msLAPS-EncryptedDSRMPassword	Non applicabile
msLAPS-EncryptedDSRMPasswordHistory	Non applicabile

Passaggi successivi

• Concetti fondamentali in Windows LAPS
• Usare i registri eventi di Windows LAPS