次の方法で共有


Windows LAPS スキーマ拡張機能リファレンス

Windows Server Active Directory の展開での Windows ローカル管理者パスワード ソリューション (Windows LAPS) の展開または管理に役立つ、スキーマ拡張機能と拡張権限に関する詳細について説明します。

スキーマの拡張機能

Windows LAPS には、Windows Server Active Directory 固有のスキーマ要素があります。 Windows LAPS Windows Server Active Directory に基づく機能のいずれかを使うには、Update-LapsADSchema PowerShell コマンドレットを実行して、これらの新しいスキーマ要素をフォレストに追加する必要があります。

スキーマ属性

Windows LAPS では、管理対象デバイス用に Windows Server Active Directory のコンピューター オブジェクトに格納されている特定のスキーマ属性が使われます。 Update-LapsADSchema コマンドレットでは、ディレクトリと、コンピューター スキーマ クラスの mayContain リストに、スキーマ属性が追加されます。

ヒント

以下の属性の多くでは、SearchFlags の値として 904 が指定されています。 簡単に参照できるよう、この値を構成するビット フラグを次に示しておきます。

  • fRODCFilteredAttribute
  • fNEVERVALUEAUDIT
  • fCONFIDENTIAL
  • fPRESERVEONDELETE

msLAPS-PasswordExpirationTime

この属性に含まれる 64 ビットの整数は、現在スケジュールされているパスワードの有効期限を UTC で指定します。

Name: ms-LAPS-PasswordExpirationTime
LDAP display name: msLAPS-PasswordExpirationTime
OID: 1.2.840.113556.1.6.44.1.1
Syntax: 2.5.5.16
OmSyntax: 65
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 0
AttributeSecurityGuid: <not set>

msLAPS-Password

この属性に含まれる Unicode 文字列は、現在のパスワードとその他の情報のクリア テキスト バージョンを指定します。

Name: ms-LAPS-Password
LDAP display name: msLAPS-Password
OID: 1.2.840.113556.1.6.44.1.2
Syntax: 2.5.5.5
OmSyntax: 19
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: <not set>

この属性に格納されているデータは、名前と値のペアを複数含む JSON 文字列です。 次に例を示します。

{"n":"Administrator","t":"1d8161b41c41cde","p":"A6a3#7%eb!57be4a4B95Z43394ba956de69e5d8975#$8a6d)4f82da6ad500HGx"}

JSON 文字列内の名前と値の各ペアには、特定の意味があります。

Name
"n" 管理対象のローカル管理者アカウントの名前が含まれます
"t" 64 ビットの 16 進数として表されたパスワードの更新日時 (UTC) が含まれます
"p" クリア テキストのパスワードが含まれます

msLAPS-EncryptedPassword

この属性に含まれるバイト文字列には、現在のパスワードの暗号化されたバージョンが含まれます。

Name: ms-LAPS-EncryptedPassword
LDAP display name: msLAPS-EncryptedPassword
OID: 1.2.840.113556.1.6.44.1.3
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-EncryptedPasswordHistory

この属性には、複数の値から成るバイト文字列が含まれます。 各値には、以前のパスワードの暗号化されたバージョンが含まれます。

Name: ms-LAPS-EncryptedPasswordHistory
LDAP display name: msLAPS-EncryptedPasswordHistory
OID: 1.2.840.113556.1.6.44.1.4
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: False
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-EncryptedDSRMPassword

この属性に含まれるバイト文字列には、現在のディレクトリ サービス復元モード (DSRM) アカウントのパスワードの暗号化されたバージョンが含まれます。

Name: ms-LAPS-EncryptedDSRMPassword
LDAP display name: msLAPS-EncryptedDSRMPassword
OID: 1.2.840.113556.1.6.44.1.5
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-EncryptedDSRMPasswordHistory

この属性には、複数の値から成るバイト文字列が含まれます。 各値には、DSRM アカウントの以前のパスワードの暗号化されたバージョンが含まれます。

Name: ms-LAPS-EncryptedDSRMPasswordHistory
LDAP display name: msLAPS-EncryptedDSRMPasswordHistory
OID: 1.2.840.113556.1.6.44.1.6
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: False
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-CurrentPasswordVersion

この属性には、バイナリ GUID が含まれています。 この値は、最後に永続化されたパスワードの論理バージョンを表します。

Name: ms-LAPS-CurrentPasswordVersion
LDAP display name: msLAPS-CurrentPasswordVersion
OID: 1.2.840.113556.1.6.44.1.7
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
RangerLower: 16
RangerUpper: 16
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

拡張権限

Windows LAPS は、Windows Server Active Directory の ms-LAPS-Encrypted-Password-Attributes 権限を拡張します。 ms-LAPS-Encrypted-Password-Attributes 拡張権限を使うと、前のセクションでさまざまな属性の読み取りと書き込みを行うための SELF アクセス許可を、マネージド デバイスに付与できます。

Name: ms-LAPS-Encrypted-Password-Attributes
Rights guid: f3531ec6-6330-4f8e-8d39-7a671fbac605
Valid accesses: 48 (RIGHT_DS_READ_PROPERTY | RIGHT_DS_WRITE_PROPERTY)

Windows LAPS スキーマと従来の Microsoft LAPS スキーマ

Windows LAPS と同様に、従来の Microsoft LAPS でも、Windows Server Active Directory の展開にスキーマ拡張機能を使う必要があります。 従来の Microsoft LAPS から Windows LAPS への移行の計画に役立つよう、スキーマ拡張要素の論理マッピングを次の表に示します。

Windows LAPS スキーマの要素 従来の Microsoft LAPS スキーマの要素
msLAPS-PasswordExpirationTime ms-Mcs-AdmPwdExpirationTime
msLAPS-Password ms-Mcs-AdmPwd
msLAPS-EncryptedPassword なし
msLAPS-EncryptedPasswordHistory なし
msLAPS-EncryptedDSRMPassword なし
msLAPS-EncryptedDSRMPasswordHistory なし

次の手順