Обновления схемы на уровне домена

Область применения: Windows Server 2022, Windows Server 2019, Windows Server

вы можете ознакомиться с приведенным ниже набором изменений, которые помогут понять и подготовить обновления схемы, выполняемые adprep/domainprep на Windows Server.

начиная с Windows Server 2012 команды Adprep запускаются автоматически при необходимости во время установки AD DS. Их также можно выполнять отдельно, заранее AD DS установки. Дополнительные сведения см. в разделе Выполнение Adprep.exe.

Дополнительные сведения о том, как интерпретировать строки записи управления доступом (ACE), см. в разделе строки ACE. Дополнительные сведения о том, как интерпретировать строки идентификатора безопасности (SID), см. в разделе строки SID.

Windows Server (полугодовый канал): обновления в масштабе домена

после выполнения операций, выполняемых domainprep в Windows Server 2016 (operation 89), атрибуту revision для объекта cn = активедиректорюпдате, cn = домаинупдатес, cn = System, DC = фореструтдомаин присваивается значение 16.

Номер операции и идентификатор GUID Описание Разрешения
Операция 89: {A0C238BA-9E30-4EE6-80A6-43F731E9A5CD} удалите ace, предоставив полный доступ для Enterprise ключевых администраторов, и добавьте ace, предоставив Enterpriseным администраторам ключа полный контроль над атрибутом мсдскэйкредентиаллинк. Удалить (A; CI; РПВПКРЛКЛОККДКРКВДВОСДДТСВ;;; Enterpriseные администраторы ключей)

Добавить (OA; CI; РПВП; 5b47d60f-6090-40b2-9f37-2a4de88f3063;; Enterpriseные администраторы ключей)

Windows Server 2016: обновления в масштабе домена

после выполнения операций, выполняемых domainprep в Windows Server 2016 (operations 82-88), атрибуту revision для объекта cn = активедиректорюпдате, cn = домаинупдатес, cn = System, DC = фореструтдомаин присваивается значение 15.

Номер операции и идентификатор GUID Описание Атрибуты Разрешения
Операция 82: {83C53DA7-427E-47A4-A07A-A324598B88F7} Создание контейнера CN = Keys в корне домена -objectClass: контейнер
-Description: контейнер по умолчанию для ключевых объектов учетных данных
-Шовинадванцедвиевонли: TRUE
Конкретного CI; РПВПКРЛКЛОККДКРКВДВОСДДТСВ;;; СЗ
Конкретного CI; РПВПКРЛКЛОККДКРКВДВОСДДТСВ;;;D Конкретного
Конкретного CI; РПВПКРЛКЛОККДКРКВДВОСДДТСВ;;; SY
Конкретного CI; РПВПКРЛКЛОККДКРКВДВОСДДТСВ;;;D Четырехмерного
Конкретного CI; РПВПКРЛКЛОККДКРКВДВОСДДТСВ;;; ED
Операция 83: {C81FC9CC-0130-4FD1-B272-634D74818133} добавьте элемент "полный доступ" разрешить ace в контейнере CN = Keys для "администраторы домаин\кэй" и "рутдомаин \ Enterprise ключевые администраторы". Недоступно Конкретного CI; РПВПКРЛКЛОККДКРКВДВОСДДТСВ;;; Администраторы ключей)
Конкретного CI; РПВПКРЛКЛОККДКРКВДВОСДДТСВ;;; Enterpriseные администраторы ключей)
Операция 84: {E5F9E791-D96D-4FC9-93C9-D53E1DC439BA} Измените атрибут otherWellKnownObjects, чтобы он указывал на контейнер CN = Keys. -otherWellKnownObjects: B:32:683A24E2E8164BD3AF86AC3C2CF3F981: CN = ключи,% WS Н/Д
Операция 85: {e6d5fd00-385d-4e65-B02D-9da3493ed850} измените NC домена, чтобы разрешите "администраторы домаин\кэй" и "рутдомаин \ Enterprise ключевые администраторы", чтобы изменить атрибут msds-кэйкредентиаллинк. Н/Д OA CI; РПВП; 5b47d60f-6090-40b2-9f37-2a4de88f3063;; Администраторы ключей)
OA CI; РПВП; 5b47d60f-6090-40b2-9f37-2a4de88f3063;; Enterpriseные администраторы ключей в корневом домене, но в некорневых доменах привело к фиктивному элементу ACE, относительному от домена, с неразрешимым идентификатором безопасности 527).
Операция 86: {3a6b3fbf-3168-4312-a10d-dd5b3393952d} Предоставьте создателям служб DS-Validate-Write-Computer и Self Недоступно OA ЦИИО; SW; 9b026da6-0d3c-465c-8bee-5199d7165cba; bf967a86-0de6-11D0-a285-00aa003049e2; PS)
OA ЦИИО; SW; 9b026da6-0d3c-465c-8bee-5199d7165cba; bf967a86-0de6-11D0-a285-00aa003049e2; CO)
Операция 87: {7F950403-0AB3-47F9-9730-5D7B0269F9BD} удалите запись ace, предоставляя полный доступ к неправильной группе "администраторы домена Enterprise ключей", и добавьте ace, предоставляющего полный доступ для Enterprise группе "администраторы ключей". Недоступно Удалить (A; CI; РПВПКРЛКЛОККДКРКВДВОСДДТСВ;;; Enterpriseные администраторы ключей)

Добавить (A; CI; РПВПКРЛКЛОККДКРКВДВОСДДТСВ;;; Enterpriseные администраторы ключей)
Операция 88: {434bb40d-dbc9-4fe7-81d4-d57229f7b080} Добавьте "msDS-Експирепассвордсонсмарткардонляккаунтс" в объект NC домена и установите значение по умолчанию FALSE. Н/Д Н/Д

Enterprise ключевые администраторы и группы администраторов ключей создаются только после того, как контроллер домена Windows Server 2016 повышен и принимает роль PDC Emulator FSMO.

Windows Server 2012 R2: обновления в масштабе домена

хотя операции, выполняемые domainprep в Windows Server 2012 R2, не выполняются, после выполнения команды атрибут revision для объекта cn = активедиректорюпдате, cn = домаинупдатес, cn = System, DC = фореструтдомаин устанавливается в значение 10.

Windows Server 2012: обновления в масштабе домена

после выполнения операций, выполняемых domainprep в Windows Server 2012 (operations 78, 79, 80 и 81), атрибуту revision для объекта cn = активедиректорюпдате, cn = домаинупдатес, cn = System, DC = фореструтдомаин присваивается значение 9.

Номер операции и идентификатор GUID Описание Атрибуты Разрешения
Операция 78: {c3c927a6-cc1d-47c0-966b-be8f9b63d991} Создайте новый объект CN = TPM Devices в разделе домена. Класс объекта: Мстпм-Информатионобжектсконтаинер Н/Д
Операция 79: {54afcfb9-637a-4251-9f47-4d50e7021211} Создана запись управления доступом для службы TPM. Н/Д OA ЦИИО; WP; ea1b7b93-5e48-46d5-bc6c-4df4fda78a35; bf967a86-0de6-11D0-a285-00aa003049e2; PS)
Операция 80: {f4728883-84dd-483c-9897-274f2ebcf11e} Предоставление группе "клонирование контроллера домена" права на клонирование контроллеров доменов Н/Д (OA;; CR; 3e0f7e18-2c7a-4c10-ba82-4d926db99a3e;; SID домена-522)
Операция 81: {ff4f9d27-7157-4cb0-80a9-5d6f2b14c8ff} Предоставьте удостоверению MS-DS-Allowed-to-"от имени другого лица" в качестве удостоверения для себя на всех объектах. Н/Д OA ЦИОИ; РПВП; 3f78c3e5-f79a-46bd-a0b8-9d18116ddc79;; PS