Referência de extensões de esquema do Windows LAPS

• Aplica-se a:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows 11, ✅ Windows 10

Use informações detalhadas sobre extensões de esquema e de direitos estendidos para ajudar a implantar ou gerenciar o Windows LAPS (Solução de Senha de Administrador Local do Windows) na sua implantação do Windows Server Active Directory.

Extensões de esquema

O Windows LAPS oferece elementos de esquema específicos para o Windows Server Active Directory. Para usar um dos recursos baseados no Windows Server Active Directory do Windows LAPS a seguir, adicione esses novos elementos de esquema à floresta executando o cmdlet Update-LapsADSchema PowerShell.

Atributos do esquema

O Windows LAPS usa atributos de esquema específicos armazenados no objeto de computador no Windows Server Active Directory de um dispositivo gerenciado. O cmdlet Update-LapsADSchema adiciona os atributos de esquema ao diretório e à lista mayContain na classe de esquema do computador.

Dica

Muitos dos atributos a seguir especificam um valor SearchFlags igual a 904. Para facilitar a referência, esse valor é composto pelos seguintes sinalizadores de bits:

• fRODCFilteredAttribute
• fNEVERVALUEAUDIT
• fCONFIDENTIAL
• fPRESERVEONDELETE

msLAPS-PasswordExpirationTime

Esse atributo contém um inteiro de 64 bits que especifica a hora de vencimento da senha agendada no momento em UTC.

Name: ms-LAPS-PasswordExpirationTime
LDAP display name: msLAPS-PasswordExpirationTime
OID: 1.2.840.113556.1.6.44.1.1
Syntax: 2.5.5.16
OmSyntax: 65
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 0
AttributeSecurityGuid: <not set>

msLAPS-Password

Esse atributo contém uma cadeia de caracteres Unicode que especifica a versão de texto não criptografado da senha atual e outras informações.

Name: ms-LAPS-Password
LDAP display name: msLAPS-Password
OID: 1.2.840.113556.1.6.44.1.2
Syntax: 2.5.5.5
OmSyntax: 19
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: <not set>

Os dados armazenados nesse atributo são uma cadeia de caracteres JSON que contém vários pares nome-valor. Por exemplo:

{"n":"Administrator","t":"1d8161b41c41cde","p":"A6a3#7%eb!57be4a4B95Z43394ba956de69e5d8975#$8a6d)4f82da6ad500HGx"}

Cada par nome-valor na cadeia de caracteres JSON tem um significado específico:

Nome	Valor
"n"	Contém o nome da conta de administrador local gerenciada
"t"	Contém a hora de atualização da senha em UTC representada como um número hexadecimal de 64 bits
"p"	Contém a senha com texto não criptografado

msLAPS-EncryptedPassword

Esse atributo contém uma cadeia de caracteres de bytes que contém uma versão criptografada da senha atual.

Name: ms-LAPS-EncryptedPassword
LDAP display name: msLAPS-EncryptedPassword
OID: 1.2.840.113556.1.6.44.1.3
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-EncryptedPasswordHistory

Esse atributo contém uma cadeia de caracteres de bytes de vários valores. Cada valor contém uma versão criptografada de uma senha anterior.

Name: ms-LAPS-EncryptedPasswordHistory
LDAP display name: msLAPS-EncryptedPasswordHistory
OID: 1.2.840.113556.1.6.44.1.4
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: False
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-EncryptedDSRMPassword

Esse atributo contém uma cadeia de caracteres de bytes que contém uma versão criptografada da senha atual da conta do DSRM (Modo de Restauração dos Serviços de Diretório).

Name: ms-LAPS-EncryptedDSRMPassword
LDAP display name: msLAPS-EncryptedDSRMPassword
OID: 1.2.840.113556.1.6.44.1.5
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-EncryptedDSRMPasswordHistory

Esse atributo contém uma cadeia de caracteres de bytes de vários valores. Cada valor contém uma versão criptografada de uma senha anterior da conta do DSRM.

Name: ms-LAPS-EncryptedDSRMPasswordHistory
LDAP display name: msLAPS-EncryptedDSRMPasswordHistory
OID: 1.2.840.113556.1.6.44.1.6
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: False
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-CurrentPasswordVersion

Esse atributo contém um GUID binário. O valor representa a versão lógica da senha persistente mais recente.

Name: ms-LAPS-CurrentPasswordVersion
LDAP display name: msLAPS-CurrentPasswordVersion
OID: 1.2.840.113556.1.6.44.1.7
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
RangerLower: 16
RangerUpper: 16
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

Direitos estendidos

O Windows LAPS estende os direitos ms-LAPS-Encrypted-Password-Attributes no Windows Server Active Directory. Você pode usar os direitos estendidos ms-LAPS-Encrypted-Password-Attributes para conceder permissões SELF aos dispositivos gerenciados para ler e gravar vários atributos de senha que são descritos nas seções anteriores.

Name: ms-LAPS-Encrypted-Password-Attributes
Rights guid: f3531ec6-6330-4f8e-8d39-7a671fbac605
Valid accesses: 48 (RIGHT_DS_READ_PROPERTY | RIGHT_DS_WRITE_PROPERTY)

Comparação entre o esquema do Windows LAPS e o esquema do Microsoft LAPS herdado

Assim como o Windows LAPS, o Microsoft LAPS herdado também exige que você use extensões de esquema para uma implantação do Windows Server Active Directory. Para ajudar você a planejar uma migração do Microsoft LAPS herdado para o Windows LAPS, a seguinte tabela mostra um mapeamento lógico dos elementos de extensão de esquema:

Elemento de esquema do Windows LAPS	Elemento de esquema do Microsoft LAPS herdado
msLAPS-PasswordExpirationTime	ms-Mcs-AdmPwdExpirationTime
msLAPS-Password	ms-Mcs-AdmPwd
msLAPS-EncryptedPassword	Não se aplica
msLAPS-EncryptedPasswordHistory	Não se aplica
msLAPS-EncryptedDSRMPassword	Não se aplica
msLAPS-EncryptedDSRMPasswordHistory	Não se aplica

Próximas etapas

• Principais conceitos no Windows LAP
• Usar logs de eventos do Windows LAPS