Windows LAPS スキーマ拡張機能リファレンス
Windows Server Active Directory の展開での Windows ローカル管理者パスワード ソリューション (Windows LAPS) の展開または管理に役立つ、スキーマ拡張機能と拡張権限に関する詳細について説明します。
スキーマの拡張機能
Windows LAPS には、Windows Server Active Directory 固有のスキーマ要素があります。 Windows LAPS Windows Server Active Directory に基づく機能のいずれかを使うには、Update-LapsADSchema PowerShell
コマンドレットを実行して、これらの新しいスキーマ要素をフォレストに追加する必要があります。
スキーマ属性
Windows LAPS では、管理対象デバイス用に Windows Server Active Directory のコンピューター オブジェクトに格納されている特定のスキーマ属性が使われます。 Update-LapsADSchema
コマンドレットでは、ディレクトリと、コンピューター スキーマ クラスの mayContain
リストに、スキーマ属性が追加されます。
ヒント
以下の属性の多くでは、SearchFlags
の値として 904
が指定されています。 簡単に参照できるよう、この値を構成するビット フラグを次に示しておきます。
fRODCFilteredAttribute
fNEVERVALUEAUDIT
fCONFIDENTIAL
fPRESERVEONDELETE
msLAPS-PasswordExpirationTime
この属性に含まれる 64 ビットの整数は、現在スケジュールされているパスワードの有効期限を UTC で指定します。
Name: ms-LAPS-PasswordExpirationTime
LDAP display name: msLAPS-PasswordExpirationTime
OID: 1.2.840.113556.1.6.44.1.1
Syntax: 2.5.5.16
OmSyntax: 65
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 0
AttributeSecurityGuid: <not set>
msLAPS-Password
この属性に含まれる Unicode 文字列は、現在のパスワードとその他の情報のクリア テキスト バージョンを指定します。
Name: ms-LAPS-Password
LDAP display name: msLAPS-Password
OID: 1.2.840.113556.1.6.44.1.2
Syntax: 2.5.5.5
OmSyntax: 19
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: <not set>
この属性に格納されているデータは、名前と値のペアを複数含む JSON 文字列です。 次に例を示します。
{"n":"Administrator","t":"1d8161b41c41cde","p":"A6a3#7%eb!57be4a4B95Z43394ba956de69e5d8975#$8a6d)4f82da6ad500HGx"}
JSON 文字列内の名前と値の各ペアには、特定の意味があります。
Name | 値 |
---|---|
"n" |
管理対象のローカル管理者アカウントの名前が含まれます |
"t" |
64 ビットの 16 進数として表されたパスワードの更新日時 (UTC) が含まれます |
"p" |
クリア テキストのパスワードが含まれます |
msLAPS-EncryptedPassword
この属性に含まれるバイト文字列には、現在のパスワードの暗号化されたバージョンが含まれます。
Name: ms-LAPS-EncryptedPassword
LDAP display name: msLAPS-EncryptedPassword
OID: 1.2.840.113556.1.6.44.1.3
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)
msLAPS-EncryptedPasswordHistory
この属性には、複数の値から成るバイト文字列が含まれます。 各値には、以前のパスワードの暗号化されたバージョンが含まれます。
Name: ms-LAPS-EncryptedPasswordHistory
LDAP display name: msLAPS-EncryptedPasswordHistory
OID: 1.2.840.113556.1.6.44.1.4
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: False
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)
msLAPS-EncryptedDSRMPassword
この属性に含まれるバイト文字列には、現在のディレクトリ サービス復元モード (DSRM) アカウントのパスワードの暗号化されたバージョンが含まれます。
Name: ms-LAPS-EncryptedDSRMPassword
LDAP display name: msLAPS-EncryptedDSRMPassword
OID: 1.2.840.113556.1.6.44.1.5
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)
msLAPS-EncryptedDSRMPasswordHistory
この属性には、複数の値から成るバイト文字列が含まれます。 各値には、DSRM アカウントの以前のパスワードの暗号化されたバージョンが含まれます。
Name: ms-LAPS-EncryptedDSRMPasswordHistory
LDAP display name: msLAPS-EncryptedDSRMPasswordHistory
OID: 1.2.840.113556.1.6.44.1.6
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: False
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)
msLAPS-CurrentPasswordVersion
この属性には、バイナリ GUID が含まれています。 この値は、最後に永続化されたパスワードの論理バージョンを表します。
Name: ms-LAPS-CurrentPasswordVersion
LDAP display name: msLAPS-CurrentPasswordVersion
OID: 1.2.840.113556.1.6.44.1.7
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
RangerLower: 16
RangerUpper: 16
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)
拡張権限
Windows LAPS は、Windows Server Active Directory の ms-LAPS-Encrypted-Password-Attributes
権限を拡張します。 ms-LAPS-Encrypted-Password-Attributes
拡張権限を使うと、前のセクションでさまざまな属性の読み取りと書き込みを行うための SELF アクセス許可を、マネージド デバイスに付与できます。
Name: ms-LAPS-Encrypted-Password-Attributes
Rights guid: f3531ec6-6330-4f8e-8d39-7a671fbac605
Valid accesses: 48 (RIGHT_DS_READ_PROPERTY | RIGHT_DS_WRITE_PROPERTY)
Windows LAPS スキーマと従来の Microsoft LAPS スキーマ
Windows LAPS と同様に、従来の Microsoft LAPS でも、Windows Server Active Directory の展開にスキーマ拡張機能を使う必要があります。 従来の Microsoft LAPS から Windows LAPS への移行の計画に役立つよう、スキーマ拡張要素の論理マッピングを次の表に示します。
Windows LAPS スキーマの要素 | 従来の Microsoft LAPS スキーマの要素 |
---|---|
msLAPS-PasswordExpirationTime |
ms-Mcs-AdmPwdExpirationTime |
msLAPS-Password |
ms-Mcs-AdmPwd |
msLAPS-EncryptedPassword |
なし |
msLAPS-EncryptedPasswordHistory |
なし |
msLAPS-EncryptedDSRMPassword |
なし |
msLAPS-EncryptedDSRMPasswordHistory |
なし |