Windows LAPS 스키마 확장 참조
스키마 확장 및 확장 권한에 대한 자세한 정보를 사용하여 Windows Server Active Directory 배포에서 Windows LAPS(Windows 로컬 관리자 암호 솔루션)를 배포하거나 관리할 수 있습니다.
스키마 확장
Windows LAPS는 Windows Server Active Directory에 대한 특정 스키마 요소를 제공합니다. 다음 Windows LAPS Windows Server Active Directory 기반 기능을 사용하려면 Update-LapsADSchema PowerShell
cmdlet을 실행하여 이러한 새 스키마 요소를 포리스트에 추가해야 합니다.
스키마 특성
Windows LAPS는 관리 디바이스에 대해 Windows Server Active Directory의 컴퓨터 개체에 저장된 특정 스키마 특성을 사용합니다. Update-LapsADSchema
cmdlet은 스키마 특성을 디렉터리와 컴퓨터 스키마 클래스의 mayContain
목록에 추가합니다.
팁
다음 특성 중 대부분은 904
의 SearchFlags
값을 지정합니다. 참조가 용이하도록 이 값은 다음 비트 플래그로 구성됩니다.
fRODCFilteredAttribute
fNEVERVALUEAUDIT
fCONFIDENTIAL
fPRESERVEONDELETE
msLAPS-PasswordExpirationTime
이 특성에는 현재 예약된 암호 만료 시간을 UTC로 지정하는 64비트 정수가 포함됩니다.
Name: ms-LAPS-PasswordExpirationTime
LDAP display name: msLAPS-PasswordExpirationTime
OID: 1.2.840.113556.1.6.44.1.1
Syntax: 2.5.5.16
OmSyntax: 65
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 0
AttributeSecurityGuid: <not set>
msLAPS-Password
이 특성에는 현재 암호 및 기타 정보의 일반 텍스트 버전을 지정하는 유니코드 문자열을 포함합니다.
Name: ms-LAPS-Password
LDAP display name: msLAPS-Password
OID: 1.2.840.113556.1.6.44.1.2
Syntax: 2.5.5.5
OmSyntax: 19
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: <not set>
이 특성에 저장된 데이터는 여러 이름-값 쌍을 포함하는 JSON 문자열입니다. 예시:
{"n":"Administrator","t":"1d8161b41c41cde","p":"A6a3#7%eb!57be4a4B95Z43394ba956de69e5d8975#$8a6d)4f82da6ad500HGx"}
JSON 문자열의 각 이름-값 쌍에는 특정 의미가 있습니다.
속성 | 값 |
---|---|
"n" |
관리되는 로컬 관리자 계정의 이름을 포함합니다. |
"t" |
64비트 16진수로 표시되는 UTC 암호 업데이트 시간을 포함합니다. |
"p" |
일반 텍스트 암호를 포함합니다. |
msLAPS-EncryptedPassword
이 특성은 현재 암호의 암호화된 버전을 포함하는 바이트 문자열을 포함합니다.
Name: ms-LAPS-EncryptedPassword
LDAP display name: msLAPS-EncryptedPassword
OID: 1.2.840.113556.1.6.44.1.3
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)
msLAPS-EncryptedPasswordHistory
이 특성에는 다중값 바이트 문자열이 포함됩니다. 각 값에는 이전 암호의 암호화된 버전이 포함됩니다.
Name: ms-LAPS-EncryptedPasswordHistory
LDAP display name: msLAPS-EncryptedPasswordHistory
OID: 1.2.840.113556.1.6.44.1.4
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: False
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)
msLAPS-EncryptedDSRMPassword
이 특성에는 현재 DSRM(디렉터리 서비스 복원 모드) 계정 암호의 암호화된 버전이 포함된 바이트 문자열이 포함되어 있습니다.
Name: ms-LAPS-EncryptedDSRMPassword
LDAP display name: msLAPS-EncryptedDSRMPassword
OID: 1.2.840.113556.1.6.44.1.5
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)
msLAPS-EncryptedDSRMPasswordHistory
이 특성에는 다중값 바이트 문자열이 포함됩니다. 각 값에는 이전 DSRM 계정 암호의 암호화된 버전이 포함됩니다.
Name: ms-LAPS-EncryptedDSRMPasswordHistory
LDAP display name: msLAPS-EncryptedDSRMPasswordHistory
OID: 1.2.840.113556.1.6.44.1.6
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: False
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)
msLAPS-CurrentPasswordVersion
이 특성에는 이진 GUID가 포함됩니다. 값은 가장 최근에 지속된 암호의 논리 버전을 나타냅니다.
Name: ms-LAPS-CurrentPasswordVersion
LDAP display name: msLAPS-CurrentPasswordVersion
OID: 1.2.840.113556.1.6.44.1.7
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
RangerLower: 16
RangerUpper: 16
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)
확장된 권한
Windows LAPS는 Windows Server Active Directory에서 ms-LAPS-Encrypted-Password-Attributes
권한을 확장합니다. 확장된 ms-LAPS-Encrypted-Password-Attributes
권한을 사용하여 관리 디바이스에 이전 섹션에 설명된 다양한 특성을 읽고 쓸 수 있는 SELF 권한을 부여할 수 있습니다.
Name: ms-LAPS-Encrypted-Password-Attributes
Rights guid: f3531ec6-6330-4f8e-8d39-7a671fbac605
Valid accesses: 48 (RIGHT_DS_READ_PROPERTY | RIGHT_DS_WRITE_PROPERTY)
Windows LAPS 스키마와 레거시 Microsoft LAPS 스키마 비교
Windows LAPS와 마찬가지로 레거시 Microsoft LAPS도 Windows Server Active Directory 배포에 스키마 확장을 사용해야 합니다. 레거시 Microsoft LAPS에서 Windows LAPS로의 마이그레이션 계획을 지원할 수 있도록 다음 표에서는 스키마 확장 요소의 논리 매핑을 보여 줍니다.
Windows LAPS 스키마 요소 | 레거시 Microsoft LAPS 스키마 요소 |
---|---|
msLAPS-PasswordExpirationTime |
ms-Mcs-AdmPwdExpirationTime |
msLAPS-Password |
ms-Mcs-AdmPwd |
msLAPS-EncryptedPassword |
적용되지 않음 |
msLAPS-EncryptedPasswordHistory |
적용되지 않음 |
msLAPS-EncryptedDSRMPassword |
적용되지 않음 |
msLAPS-EncryptedDSRMPasswordHistory |
적용되지 않음 |