Udostępnij przez

Aktualizacje schematu dla całej domeny

Możesz przejrzeć następujący zestaw zmian, aby ułatwić zrozumienie i przygotowanie aktualizacji schematu wykonywanych przez program adprep /domainprep w systemie Windows Server.

Począwszy od systemu Windows Server 2012, polecenia adprep są uruchamiane automatycznie zgodnie z potrzebami podczas instalacji usług AD DS. Można je również uruchamiać oddzielnie przed instalacją usług AD DS. Aby uzyskać więcej informacji, zobacz Running Adprep.exe.

Aby uzyskać więcej informacji na temat interpretowania ciągów wpisu kontroli dostępu (ACE), zobacz Ciągi ACE. Aby uzyskać więcej informacji na temat interpretowania ciągów identyfikatora zabezpieczeń (SID), zobacz Ciągi sid.

Windows Server (kanałSemi-Annual): aktualizacje dla całej domeny

Po zakończeniu operacji wykonywanych przez narzędzie domainprep w systemie Windows Server 2016 (operacja 89) atrybut rewizji dla CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain jest ustawiony na 16.

Numer operacji i identyfikator GUID Description Permissions
Operacja 89: {A0C238BA-9E30-4EE6-80A6-43F731E9A5CD} Usuń ACE przyznającą pełną kontrolę administratorom kluczy przedsiębiorstwa i dodaj ACE przyznającą administratorom kluczy przedsiębiorstwa pełną kontrolę tylko nad atrybutem msdsKeyCredentialLink. Usuń (A; CI; RPWPCRLCLOCCDCRCWDWOSDDTSW; Administratorzy kluczy przedsiębiorstwa)

Dodaj (OA; CI;RPWP; 5b47d60f-6090-40b2-9f37-2a4de88f3063;; Administratorzy kluczy przedsiębiorstwa)

Windows Server 2016: aktualizacje dla całej domeny

Po zakończeniu operacji wykonywanych przez domainprep w systemie Windows Server 2016 (gdy zakończą się operacje 82-88), atrybut rewizja dla obiektu CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain jest ustawiony na 15.

Numer operacji i identyfikator GUID Description Attributes Permissions
Operacja 82: {83C53DA7-427E-47A4-A07A-A324598B88F7} Utwórz kontener CN=Keys w katalogu głównym domeny - objectClass: kontener
- description: Domyślny kontener dla obiektów poświadczeń klucza
- PokażTylkoWZaawansowanymWidoku: TRUE		 (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;EA)
(A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;DA)
(A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;SY)
(A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;DD)
(A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;ED)
Operacja 83: {C81FC9CC-0130-4FD1-B272-634D74818133} Dodaj wpisy uprawnień Pełna Kontrola do kontenera CN=Keys dla grup "domain\Key Admins" i "rootdomain\Enterprise Key Admins". N/A (A; CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;; Administratorzy kluczy)
(A; CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;; Administratorzy kluczy przedsiębiorstwa)
Operacja 84: {E5F9E791-D96D-4FC9-93C9-D53E1DC439BA} Zmodyfikuj atrybut otherWellKnownObjects, aby wskazać kontener CN=Keys. - otherWellKnownObjects: B:32:683A24E2E8164BD3AF86AC3C2CF3F981:CN=Klucze,%ws N/A
Operacja 85: {e6d5fd00-385d-4e65-b02d-9da3493ed850} Zmodyfikuj domenę NC, aby zezwolić "domain\Key Admins" i "rootdomain\Enterprise Key Admins" na modyfikowanie atrybutu msds-KeyCredentialLink. N/A (OA; CI;RPWP; 5b47d60f-6090-40b2-9f37-2a4de88f3063;; Administratorzy kluczy)
(OA; CI; RPWP; 5b47d60f-6090-40b2-9f37-2a4de88f3063;; Administratorzy kluczy przedsiębiorstwa w domenie głównej, ale w domenach niekorzeniowych spowodowały fikcyjną domenowo-względną ACE z nierozwiązywalnym -527 identyfikatorem SID)
Operacja 86: {3a6b3fbf-3168-4312-a10d-dd5b393952d} Przyznaj ds-Validated-Write-Computer CAR twórcy-właścicielowi i sobie N/A (OA;CIIO;SW;9b026da6-0d3c-465c-8bee-5199d7165cba;bf967a86-0de6-11d0-a285-00aa003049e2;PS)
(OA;CIIO;SW;9b026da6-0d3c-465c-8bee-5199d7165cba;bf967a86-0de6-11d0-a285-00aa003049e2;CO)
Operacja 87: {7F950403-0AB3-47F9-9730-5D7B0269F9BD} Usuń ACE nadający pełną kontrolę niepoprawnej grupie Administratorzy kluczy przedsiębiorstwa o związanych z domeną, i dodaj ACE nadający pełną kontrolę grupie Administratorzy kluczy przedsiębiorstwa. N/A Usuń (A; CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;; Administratorzy kluczy przedsiębiorstwa)

Dodaj (A; CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;; Administratorzy kluczy przedsiębiorstwa)
Operacja 88: {434bb40d-dbc9-4fe7-81d4-d57229f7b080} Dodaj wartość "msDS-ExpirePasswordsOnSmartCardOnlyAccounts" w obiekcie nc domeny i ustaw wartość domyślną false N/A N/A

Grupy Administratorzy kluczy przedsiębiorstwa i Administratorzy kluczy są tworzone dopiero po awansowaniu kontrolera domeny do roli emulatora PDC w systemie Windows Server 2016, a także przejęciu przez niego roli FSMO.

Windows Server 2012 R2: aktualizacje dla całej domeny

Mimo że żadne operacje nie są wykonywane przez domainprep w systemie Windows Server 2012 R2, po zakończeniu polecenia atrybut poprawki cn=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain obiektu jest ustawiony na 10.

Windows Server 2012: aktualizacje dla całej domeny

Po zakończeniu operacji realizowanych przez narzędzie domainprep w systemie Windows Server 2012 (operacje 78, 79, 80 i 81), atrybut revision dla obiektu cn=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain jest ustawiony na 9.

Numer operacji i identyfikator GUID Description Attributes Permissions
Operacja 78: {c3c927a6-cc1d-47c0-966b-be8f9b63d9991} Utwórz nowy obiekt CN=TPM Devices w partycji domeny. Klasa obiektu: msTPM-InformationObjectsContainer N/A
Operacja 79: {54afcfb9-637a-4251-9f47-4d50e7021211} Utworzono wpis kontroli dostępu dla usługi TPM. N/A (OA;CIIO;WP;ea1b7b93-5e48-46d5-bc6c-4df4fda78a35;bf967a86-0de6-11d0-a285-00aa003049e2;PS)
Operacja 80: {f4728883-84dd-483c-9897-274f2ebcf11e} Udzielanie rozszerzonego prawa klonowania kontrolera domeny do grupy Klonowalne kontrolery domeny N/A (OA;; CR; 3e0f7e18-2c7a-4c10-ba82-4d926db99a3e;; identyfikator SID domeny-522)
Operacja 81: {ff4f9d27-7157-4cb0-80a9-5d6f2b14c8ff} Przyznaj ms-DS-Allowed-To-Act-On-Behalf-Of-of-Other-Identity do podmiotu zabezpieczeń we wszystkich obiektach. N/A (OA;CIOI;RPWP;3f78c3e5-f79a-46bd-a0b8-9d18116ddc79;;PS)
  • Last updated on