Partager via


Informations de référence sur les extensions de schéma Windows LAPS

Utilisez des informations détaillées sur les extensions de schéma et les droits étendus pour vous aider à déployer ou à gérer une solution de mot de passe d'administrateur local Windows (Windows LAPS) dans votre déploiement Windows Server Active Directory.

Extensions de schéma

Windows LAPS offre des éléments de schéma spécifiques pour Windows Server Active Directory. Pour utiliser l'une des fonctionnalités Windows APS basées sur Windows Server Active Directory suivantes, vous devez ajouter ces nouveaux éléments de schéma à la forêt en exécutant l'applet de commande Update-LapsADSchema PowerShell.

Attributs de schéma

Windows LAPS utilise des attributs de schéma spécifiques qui sont stockés sur l'objet ordinateur dans Windows Server Active Directory pour un appareil géré. L'applet de commande Update-LapsADSchema ajoute les attributs de schéma au répertoire et à la liste mayContain de la classe de schéma d'ordinateur.

Conseil

La plupart des attributs suivants spécifient 904 comme valeur SearchFlags. Afin de pouvoir s'y référer facilement, cette valeur est composée des indicateurs binaires suivants :

  • fRODCFilteredAttribute
  • fNEVERVALUEAUDIT
  • fCONFIDENTIAL
  • fPRESERVEONDELETE

msLAPS-PasswordExpirationTime

Cet attribut contient un entier 64 bits qui spécifie l'heure d'expiration du mot de passe actuellement planifiée, au format UTC.

Name: ms-LAPS-PasswordExpirationTime
LDAP display name: msLAPS-PasswordExpirationTime
OID: 1.2.840.113556.1.6.44.1.1
Syntax: 2.5.5.16
OmSyntax: 65
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 0
AttributeSecurityGuid: <not set>

msLAPS-Password

Cet attribut contient une chaîne Unicode qui spécifie la version en texte clair du mot de passe actuel et d'autres informations.

Name: ms-LAPS-Password
LDAP display name: msLAPS-Password
OID: 1.2.840.113556.1.6.44.1.2
Syntax: 2.5.5.5
OmSyntax: 19
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: <not set>

Les données stockées dans cet attribut sont une chaîne JSON qui contient plusieurs paires nom-valeur. Par exemple :

{"n":"Administrator","t":"1d8161b41c41cde","p":"A6a3#7%eb!57be4a4B95Z43394ba956de69e5d8975#$8a6d)4f82da6ad500HGx"}

Chaque paire nom-valeur dans la chaîne JSON a une signification spécifique :

Nom Valeur
"n" Contient le nom du compte d'administrateur local géré
"t" Contient l'heure UTC de mise à jour du mot de passe représentée sous la forme d'un nombre hexadécimal 64 bits
"p" Contient le mot de passe en texte clair

msLAPS-EncryptedPassword

Cet attribut contient une chaîne d'octets qui contient une version chiffrée du mot de passe actuel.

Name: ms-LAPS-EncryptedPassword
LDAP display name: msLAPS-EncryptedPassword
OID: 1.2.840.113556.1.6.44.1.3
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-EncryptedPasswordHistory

Cet attribut contient une chaîne d'octets à valeurs multiples. Chaque valeur contient une version chiffrée d'un mot de passe antérieur.

Name: ms-LAPS-EncryptedPasswordHistory
LDAP display name: msLAPS-EncryptedPasswordHistory
OID: 1.2.840.113556.1.6.44.1.4
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: False
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-EncryptedDSRMPassword

Cet attribut contient une chaîne d'octets qui inclut une version chiffrée du mot de passe actuel du compte en mode de restauration des services d'annuaire (DSRM).

Name: ms-LAPS-EncryptedDSRMPassword
LDAP display name: msLAPS-EncryptedDSRMPassword
OID: 1.2.840.113556.1.6.44.1.5
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-EncryptedDSRMPasswordHistory

Cet attribut contient une chaîne d'octets à valeurs multiples. Chaque valeur contient une version chiffrée d'un mot de passe précédent du compte DSRM.

Name: ms-LAPS-EncryptedDSRMPasswordHistory
LDAP display name: msLAPS-EncryptedDSRMPasswordHistory
OID: 1.2.840.113556.1.6.44.1.6
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: False
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-CurrentPasswordVersion

Cet attribut contient un GUID binaire. Sa valeur représente la version logique du mot de passe persistant le plus récent.

Name: ms-LAPS-CurrentPasswordVersion
LDAP display name: msLAPS-CurrentPasswordVersion
OID: 1.2.840.113556.1.6.44.1.7
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
RangerLower: 16
RangerUpper: 16
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

Droits étendus

Windows LAPS étend les droits ms-LAPS-Encrypted-Password-Attributes dans Windows Server Active Directory. Vous pouvez utiliser les droits étendus ms-LAPS-Encrypted-Password-Attributes pour accorder aux appareils gérés des autorisations SELF de lecture et d'écriture de divers attributs décrits dans les sections précédentes.

Name: ms-LAPS-Encrypted-Password-Attributes
Rights guid: f3531ec6-6330-4f8e-8d39-7a671fbac605
Valid accesses: 48 (RIGHT_DS_READ_PROPERTY | RIGHT_DS_WRITE_PROPERTY)

Schéma Windows LAPS et schéma Microsoft LAPS hérité

Comme Windows LAPS, Microsoft LAPS hérité exige également que vous utilisiez des extensions de schéma pour un déploiement Windows Server Active Directory. Pour vous aider à planifier une migration de Microsoft LAPS hérité vers Windows LAPS, le tableau suivant montre un mappage logique des éléments d'extension de schéma :

Élément de schéma Windows LAPS Élément de schéma Microsoft LAPS hérité
msLAPS-PasswordExpirationTime ms-Mcs-AdmPwdExpirationTime
msLAPS-Password ms-Mcs-AdmPwd
msLAPS-EncryptedPassword Ne s'applique pas
msLAPS-EncryptedPasswordHistory Ne s'applique pas
msLAPS-EncryptedDSRMPassword Ne s'applique pas
msLAPS-EncryptedDSRMPasswordHistory Ne s'applique pas

Étapes suivantes