Partilhar via

Atualizações de esquema em todo o domínio

Você pode revisar o seguinte conjunto de alterações para ajudar a entender e preparar as atualizações de esquema executadas pelo adprep /domainprep no Windows Server.

A partir do Windows Server 2012, os comandos do Adprep são executados automaticamente conforme necessário durante a instalação do AD DS. Eles também podem ser executados separadamente antes da instalação do AD DS. Para obter mais informações, consulte Executando Adprep.exe.

Para obter mais informações sobre como interpretar as cadeias de caracteres de entrada de controle de acesso (ACE), consulte Cadeias de caracteres ACE. Para obter mais informações sobre como interpretar as cadeias de caracteres de ID de segurança (SID), consulte Cadeias de caracteres SID.

Windows Server (CanalSemi-Annual): Atualizações em todo o domínio

Após a conclusão das operações executadas por domainprep no Windows Server 2016 (operação 89), o atributo de revisão para o objeto CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain é definido como 16.

Número de operações e GUID Description Permissions
Operação 89: {A0C238BA-9E30-4EE6-80A6-43F731E9A5CD} Exclua a ACE que concede Controle Total aos Administradores de Chave Corporativa e adicione uma ACE que concede aos Administradores de Chave Empresarial Controle Total apenas sobre o atributo msdsKeyCredentialLink. Suprimir (A; CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;; Administradores de Chaves Empresariais)

Adicionar (OA; CI;RPWP; 5b47d60f-6090-40b2-9f37-2a4de88f3063;; Administradores de Chaves Empresariais)

Windows Server 2016: atualizações em todo o domínio

Após a conclusão das operações executadas por domainprep no Windows Server 2016 (operações 82-88), o atributo de revisão para o objeto CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain é definido como 15.

Número de operações e GUID Description Attributes Permissions
Operação 82: {83C53DA7-427E-47A4-A07A-A324598B88F7} Criar contêiner CN=Keys na raiz do domínio - objectClass: contêiner
- descrição: Contêiner padrão para objetos de credencial de chave
- ShowInAdvancedViewOnly: VERDADEIRO		 (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;EA)
(A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;DA)
(A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;SY)
(A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;DD)
(A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;ED)
Operação 83: {C81FC9CC-0130-4FD1-B272-634D74818133} Adicionar "Entradas de Controle de Acesso" para conceder Controle Total à container "CN=Keys" para os grupos "domain\Key Admins" e "rootdomain\Enterprise Key Admins". N/A (A; CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;; Administradores de chaves)
(A; CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;; Administradores de Chaves Empresariais)
Operação 84: {E5F9E791-D96D-4FC9-93C9-D53E1DC439BA} Modifique o atributo otherWellKnownObjects para apontar para o contêiner CN=Keys. - otherWellKnownObjects: B:32:683A24E2E8164BD3AF86AC3C2CF3F981:CN=Chaves,%ws N/A
Operação 85: {e6d5fd00-385d-4e65-b02d-9da3493ed850} Modifique o domínio NC para permitir que "domain\Key Admins" e "rootdomain\Enterprise Key Admins" modifiquem o atributo msds-KeyCredentialLink. N/A (OA; CI;RPWP; 5b47d60f-6090-40b2-9f37-2a4de88f3063;; Administradores de chaves)
(OA; CI;RPWP; 5b47d60f-6090-40b2-9f37-2a4de88f3063;; Administradores de chave corporativa no domínio raiz, mas em domínios não raiz resultaram em uma ACE relativa ao domínio falsa com um SID de -527 não solúvel)
Operação 86: {3a6b3fbf-3168-4312-a10d-dd5b3393952d} Conceda o DS-Validated-Write-Computer CAR ao proprietário criador e a si mesmo N/A (OA;CIIO;SW;9b026da6-0d3c-465c-8bee-5199d7165cba;bf967a86-0de6-11d0-a285-00aa003049e2;PS)
(OA;CIIO;SW;9b026da6-0d3c-465c-8bee-5199d7165cba;bf967a86-0de6-11d0-a285-00aa003049e2;CO)
Operação 87: {7F950403-0AB3-47F9-9730-5D7B0269F9BD} Exclua a ACE que concede Controle Total ao grupo Administradores de Chave Empresarial relativo ao domínio incorreto e adicione uma ACE que concede Controle Total ao grupo Administradores de Chave Empresarial. N/A Suprimir (A; CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;; Administradores de Chaves Empresariais)

Adicionar (A; CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;; Administradores de Chaves Empresariais)
Operação 88: {434bb40d-dbc9-4fe7-81d4-d57229f7b080} Adicione "msDS-ExpirePasswordsOnSmartCardOnlyAccounts" no objeto NC do domínio e defina o valor padrão como FALSE N/A N/A

Os grupos Administradores de Chave Corporativa e Administradores de Chave só são criados depois que um Controlador de Domínio do Windows Server 2016 é promovido e assume a função FSMO do PDC Emulator.

Windows Server 2012 R2: atualizações em todo o domínio

Embora nenhuma operação seja executada por domainprep no Windows Server 2012 R2, após a conclusão do comando, o atributo revision para o objeto CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain é definido como 10.

Windows Server 2012: Atualizações em todo o domínio

Após a conclusão das operações executadas por domainprep no Windows Server 2012 (operações 78, 79, 80 e 81), o atributo de revisão para o objeto CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain é definido como 9.

Número de operações e GUID Description Attributes Permissions
Operação 78: {c3c927a6-cc1d-47c0-966b-be8f9b63d991} Crie um novo objeto CN=TPM Devices na partição Domain. Classe de objeto: msTPM-InformationObjectsContainer N/A
Operação 79: {54afcfb9-637a-4251-9f47-4d50e7021211} Criada uma entrada de controle de acesso para o serviço TPM. N/A (OA;CIIO;WP;ea1b7b93-5e48-46d5-bc6c-4df4fda78a35;bf967a86-0de6-11d0-a285-00aa003049e2;PS)
Operação 80: {f4728883-84dd-483c-9897-274f2ebcf11e} Conceda o direito estendido "Clone DC" ao grupo Controladores de Domínio Clonáveis N/A (OA;; CR; 3e0f7e18-2c7a-4c10-ba82-4d926db99a3e;; domain SID-522)
Operação 81: {ff4f9d27-7157-4cb0-80a9-5d6f2b14c8ff} Conceda ms-DS-Allowed-To-Act-On-Behalf-Of-Other-Identity ao Eu Principal em todos os objetos. N/A (OA;CIOI;RPWP;3f78c3e5-f79a-46bd-a0b8-9d18116ddc79;;PS)
  • Last updated on