ドメイン全体のスキーマの更新

適用対象: Windows Server 2022、Windows Server 2019、Windows Server

次の一連の変更を確認すると、Windows Server で adprep /domainprep によって実行されるスキーマの更新を理解し、準備することができます。

このバージョンWindows Server 2012、Adprep コマンドは、インストール時に必要に応じてAD DSされます。 インストール前に個別に実行AD DSできます。 詳細については、「Adprep.exe の実行」を参照してください。

アクセス制御エントリ (ACE) 文字列を解釈する方法の詳細については、「ACE 文字列」を 参照してください。 セキュリティ ID (SID) 文字列を解釈する方法の詳細については、「SID 文字列」を 参照してください

Windowsサーバー (半期チャネル): ドメイン全体の更新

Windows Server 2016 (操作 89) で domainprep によって実行される操作が完了すると、CN=ActiveDirectoryUpdate、CN=DomainUpdates、CN=System、DC=ForestRootDomain オブジェクトのリビジョン属性が 16 に設定されます。

操作番号と GUID 説明 アクセス許可
操作 89:{A0C238BA-9E30-4EE6-80A6-43F731E9A5CD} Enterprise キー管理者にフル コントロールを付与する ACE を削除し、msdsKeyCredentialLink 属性に対して Enterprise Key Admins フル コントロールを許可する ACE を追加します。 削除 (A;CI;RPW RPLCLOCCDCRCWDWOSDDTSW;;;Enterpriseキー管理者)

追加 (OA;CI;RPWP;5b47d60f-6090-40b2-9f37-2a4de88f3063;;Enterpriseキー管理者)

Windows Server 2016: ドメイン全体の更新

Windows Server 2016 (操作 82-88) で domainprep によって実行される操作が完了すると、CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain オブジェクトのリビジョン属性が 15 に設定されます。

操作番号と GUID 説明 属性 アクセス許可
操作 82:{83C53DA7-427E-47A4-A07A-A324598B88F7} ドメインのルートに CN=Keys コンテナーを作成する - objectClass: container
- description: キー資格情報オブジェクトの既定のコンテナー
- ShowInAdvancedViewOnly: TRUE
(A;CI;RPW RPLCLOCCDCRCWDWOSDDTSW;;;EA)
(A;CI;RPW RPLCLOCCDCRCWDWOSDDTSW;;;DA)
(A;CI;RPW RPLCLOCCDCRCWDWOSDDTSW;;;SY)
(A;CI;RPW RPLCLOCCDCRCWDWOSDDTSW;;;DD)
(A;CI;RPW RPLCLOCCDCRCWDWOSDDTSW;;;ED)
操作 83:{C81FC9CC-0130-4FD1-B272-634D74818133} フル コントロールを追加すると、"domain\Key Admins" と "rootdomain\Enterprise Key Admins" の CN=Keys コンテナーに aces が許可されます。 なし (A;CI;RPW RPLCLOCCDCRCWDWOSDDTSW;;;キー管理者)
(A;CI;RPW RPLCLOCCDCRCWDWOSDDTSW;;;Enterpriseキー管理者)
操作 84: {E5F9E791-D96D-4FC9-93C9-D53E1DC439BA} cn=Keys コンテナーを指す otherWellKnownObjects 属性を変更します。 - otherWellKnownObjects: B:32:683A24E2E8164BD3AF86AC3C2CF3F981:CN=Keys,%ws なし
操作 85:{e6d5fd00-385d-4e65-b02d-9da3493ed850} ドメイン NC を変更して、"domain\Key Admins" と "rootdomain\Enterprise Key Admins" に msds-KeyCredentialLink 属性の変更を許可します。 なし (OA;CI;RPWP;5b47d60f-6090-40b2-9f37-2a4de88f3063;;キー管理者)
(OA;CI;RPWP;5b47d60f-6090-40b2-9f37-2a4de88f3063;;Enterpriseルート ドメイン内のキー管理者が、ルート ドメイン以外では、解決できない -527 SID を持つ偽のドメイン相対 ACE が発生しました)
操作 86:{3a6b3fbf-3168-4312-a10d-dd5b3393952d} DS-Validated-Write-Computer CAR を作成者の所有者と自己に付与する なし (OA;CIIO;SW;9b026da6-0d3c-465c-8bee-5199d7165cba;bf967a86-0de6-11d0-a285-00aa003049e2;PS)
(OA;CIIO;SW;9b026da6-0d3c-465c-8bee-5199d7165cba;bf967a86-0de6-11d0-a285-00aa003049e2;CO)
操作 87:{7F950403-0AB3-47F9-9730-5D7B0269F9BD} 正しくないドメイン相対 Enterprise Key Admins グループにフル コントロールを付与する ACE を削除し、フル コントロールを許可する ACE を Enterprise Key Admins グループに追加します。 なし 削除 (A;CI;RPW RPLCLOCCDCRCWDWOSDDTSW;;;Enterpriseキー管理者)

追加 (A;CI;RPW RPLCLOCCDCRCWDWOSDDTSW;;;Enterpriseキー管理者)
操作 88:{434bb40d-dbc9-4fe7-81d4-d57229f7b080} ドメイン NC オブジェクトに "msDS-ExpirePasswordsOnSmartCardOnlyAccounts" を追加し、既定値を FALSE に設定します なし なし

キー Enterpriseキー管理者グループとキー管理者グループは、Windows Server 2016 ドメイン コントローラーが昇格され、PDC Emulator FSMO ロールを引き継がした後にのみ作成されます。

Windows Server 2012R2: ドメイン全体の更新

Windows Server 2012 R2 では domainprep による操作は実行されませんが、コマンドが完了した後、CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain オブジェクトのリビジョン属性は 10 に設定されます

Windows Server 2012: ドメイン全体の更新

Windows Server 2012 (操作 78、79、80、および 81) で domainprep によって実行される操作が完了すると、CN=ActiveDirectoryUpdate、CN=DomainUpdates、CN=System、DC=ForestRootDomain オブジェクトのリビジョン属性が 9 に設定されます。

操作番号と GUID 説明 属性 アクセス許可
操作 78:{c3c927a6-cc1d-47c0-966b-be8f9b63d991} ドメイン パーティションに新しいオブジェクト CN=TPM デバイスを作成します。 オブジェクト クラス: msTPM-InformationObjectsContainer なし
操作 79:{54afcfb9-637a-4251-9f47-4d50e7021211} TPM サービスのアクセス制御エントリを作成しました。 なし (OA;CIIO;WP;ea1b7b93-5e48-46d5-bc6c-4df4fda78a35;bf967a86-0de6-11d0-a285-00aa003049e2;PS)
操作 80:{f4728883-84dd-483c-9897-274f2ebcf11e} 複製可能なドメイン コントローラー グループに "CLONE DC" 拡張権限 を付与 する なし (OA;;CR;3e0f7e18-2c7a-4c10-ba82-4d926db99a3e;;ドメイン SID-522)
操作 81: {ff4f9d27-7157-4cb0-80a9-5d6f2b14c8ff} すべてのオブジェクトのプリンシパル Self に ms-DS-Allowed-To-Act-On-Behalf-Of-Other-Identity を付与します。 なし (OA;CIOI;RPWP;3f78c3e5-f79a-46bd-a0b8-9d18116ddc79;;PS)