Windows LAPS 스키마 확장 참조

스키마 확장 및 확장 권한에 대한 자세한 정보를 사용하여 Windows Server Active Directory 배포에서 Windows 로컬 관리영구 암호 솔루션(Windows LAPS)을 배포하거나 관리할 수 있습니다.

스키마 확장

Windows LAPS는 Windows Server Active Directory에 대한 특정 스키마 요소를 제공합니다. 다음 Windows LAPS Windows Server Active Directory 기반 기능을 사용하려면 cmdlet을 실행 Update-LapsADSchema PowerShell 하여 이러한 새 스키마 요소를 포리스트에 추가해야 합니다.

스키마 특성

Windows LAPS는 관리되는 디바이스에 대해 Windows Server Active Directory의 컴퓨터 개체에 저장된 특정 스키마 특성을 사용합니다. cmdlet은 Update-LapsADSchema 스키마 특성을 디렉터리와 컴퓨터 스키마 클래스의 mayContain 목록에 추가합니다.

msLAPS-PasswordExpirationTime

이 특성에는 현재 예약된 암호 만료 시간을 UTC로 지정하는 64비트 정수가 포함됩니다.

Name: ms-LAPS-PasswordExpirationTime
LDAP display name: msLAPS-PasswordExpirationTime
OID: 1.2.840.113556.1.6.44.1.1
Syntax: 2.5.5.16
OmSyntax: 65
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 0
AttributeSecurityGuid: <not set>

msLAPS-Password

이 특성에는 현재 암호 및 기타 정보의 텍스트 지우기 버전을 지정하는 유니코드 문자열이 포함되어 있습니다.

Name: ms-LAPS-Password
LDAP display name: msLAPS-Password
OID: 1.2.840.113556.1.6.44.1.2
Syntax: 2.5.5.5
OmSyntax: 19
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: <not set>

이 특성에 저장된 데이터는 여러 이름-값 쌍을 포함하는 JSON 문자열입니다. 예시:

{"n":"Administrator","t":"1d8161b41c41cde","p":"A6a3#7%eb!57be4a4B95Z43394ba956de69e5d8975#$8a6d)4f82da6ad500HGx"}

JSON 문자열의 각 이름-값 쌍에는 특정 의미가 있습니다.

msLAPS-EncryptedPassword

이 특성은 현재 암호의 암호화된 버전을 포함하는 바이트 문자열을 포함합니다.

Name: ms-LAPS-EncryptedPassword
LDAP display name: msLAPS-EncryptedPassword
OID: 1.2.840.113556.1.6.44.1.3
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-EncryptedPasswordHistory

이 특성에는 다중값 바이트 문자열이 포함됩니다. 각 값에는 이전 암호의 암호화된 버전이 포함됩니다.

Name: ms-LAPS-EncryptedPasswordHistory
LDAP display name: msLAPS-EncryptedPasswordHistory
OID: 1.2.840.113556.1.6.44.1.4
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: False
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-EncryptedDSRMPassword

이 특성에는 현재 DSRM(Directory Services 복원 모드) 계정 암호의 암호화된 버전이 포함된 바이트 문자열이 포함되어 있습니다.

Name: ms-LAPS-EncryptedDSRMPassword
LDAP display name: msLAPS-EncryptedDSRMPassword
OID: 1.2.840.113556.1.6.44.1.5
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-EncryptedDSRMPasswordHistory

이 특성에는 다중값 바이트 문자열이 포함됩니다. 각 값에는 이전 DSRM 계정 암호의 암호화된 버전이 포함됩니다.

Name: ms-LAPS-EncryptedDSRMPasswordHistory
LDAP display name: msLAPS-EncryptedDSRMPasswordHistory
OID: 1.2.840.113556.1.6.44.1.6
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: False
IsMemberOfPartialAttributeSet: False
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

msLAPS-CurrentPasswordVersion

이 특성에는 이진 GUID가 포함됩니다. 값은 가장 최근에 지속된 암호의 논리적 버전을 나타냅니다.

Name: ms-LAPS-CurrentPasswordVersion
LDAP display name: msLAPS-CurrentPasswordVersion
OID: 1.2.840.113556.1.6.44.1.7
Syntax: 2.5.5.10
OmSyntax: 4
IsSingleValued: True
IsMemberOfPartialAttributeSet: False
RangerLower: 16
RangerUpper: 16
SearchFlags: 904
AttributeSecurityGuid: f3531ec6-6330-4f8e-8d39-7a671fbac605 (ms-LAPS-Encrypted-Password-Attributes)

확장된 권한

Windows LAPS는 ms-LAPS-Encrypted-Password-Attributes Windows Server Active Directory에서 권한을 확장합니다. 확장된 ms-LAPS-Encrypted-Password-Attributes 권한을 사용하여 관리되는 디바이스에 이전 섹션에 설명된 다양한 특성을 읽고 쓸 수 있는 SELF 권한을 부여할 수 있습니다.

Name: ms-LAPS-Encrypted-Password-Attributes
Rights guid: f3531ec6-6330-4f8e-8d39-7a671fbac605
Valid accesses: 48 (RIGHT_DS_READ_PROPERTY | RIGHT_DS_WRITE_PROPERTY)

Windows LAPS 스키마와 레거시 Microsoft LAPS 스키마 비교

Windows LAPS와 마찬가지로 레거시 Microsoft LAPS도 Windows Server Active Directory 배포에 스키마 확장을 사용해야 합니다. 레거시 Microsoft LAPS에서 Windows LAPS로의 마이그레이션을 계획하는 데 도움이 되도록 다음 표에서는 스키마 확장 요소의 논리적 매핑을 보여 줍니다.

다음 단계

• Windows LAPS의 주요 개념
• Windows LAPS 이벤트 로그 사용