Обновления схемы на уровне домена
Область применения: Windows Server 2022, Windows Server 2019, Windows Server
Вы можете просмотреть следующий набор изменений, чтобы понять и подготовиться к обновлениям схемы, выполняемым adprep /domainprep в Windows Server.
Начиная с Windows Server 2012, команды Adprep выполняются автоматически при необходимости во время установки AD DS. Кроме того, их можно запускать отдельно до установки AD DS. Дополнительные сведения см. в разделе Выполнение Adprep.exe.
Дополнительные сведения о интерпретации строк управления доступом (ACE) см . в строках ACE. Дополнительные сведения о интерпретации строк идентификатора безопасности (SID) см. в статьях о строках SID.
Windows Server (semi-Annual Channel): обновления на уровне домена
После завершения операций, выполняемых доменомprep в Windows Server 2016 (операция 89), атрибут редакции для объекта CN=ActiveDirectoryUpdate,CN=Domain Обновления,CN=System,DC=ForestRootDomain имеет значение 16.
| Номер операций и GUID | Description | Разрешения |
|---|---|---|
| Операция 89: {A0C238BA-9E30-4EE6-80A6-43F731E9A5CD} | Удалите ACE, предоставляя полный доступ к Администратор ключа enterprise, и добавьте ACE, предоставляющий корпоративный ключ Администратор полный контроль только атрибута msdsKeyCredentialLink. | Delete (A; CI;RPWPCRLCLOCCDWDWOSDDTSW;; Корпоративный ключ Администратор) Добавить (OA; CI;RPWP; 5b47d60f-6090-40b2-9f37-2a4de88f3063;; Корпоративный ключ Администратор) |
Windows Server 2016: обновления на уровне домена
После завершения операций, выполняемых доменомprep в Windows Server 2016 (операции 82-88), атрибут редакции для объекта CN=ActiveDirectoryUpdate,CN=Domain Обновления,CN=System,DC=ForestRootDomain имеет значение 15.
| Номер операций и GUID | Description | Атрибуты | Разрешения |
|---|---|---|---|
| Операция 82: {83C53DA7-427E-47A4-A07A-A324598B88F7} | Создание контейнера CN=Keys в корне домена | - objectClass: контейнер — описание: контейнер по умолчанию для ключевых объектов учетных данных — ShowInAdvancedViewOnly: TRUE |
(A; CI;RPWPCRLCLOCCDWDWOSDDTSW;; EA) (A; CI;RPWPCRLCLOCCDWDWOSDDTSW;; DA) (A; CI;RPWPCRLCLOCCDWDWOSDDTSW;; SY) (A; CI;RPWPCRLCLOCCDWDWOSDDTSW;; DD) (A; CI;RPWPCRLCLOCCDWDWOSDDTSW;; ED) |
| Операция 83: {C81FC9CC-0130-4FD1-B272-634D74818133} | Добавьте полный контроль, разрешая доступ к контейнеру CN=Keys для доменных Администратор ключей и rootdomain\Enterprise Key Администратор s. | Н/П | (A; CI;RPWPCRLCLOCCDWDWOSDDTSW;; Ключевые Администратор) (A; CI;RPWPCRLCLOCCDWDWOSDDTSW;; Корпоративный ключ Администратор) |
| Операция 84: {E5F9E791-D96D-4FC9-93C9-D53E1DC439BA} | Измените атрибут OtherWellKnownObjects, чтобы указать контейнер CN=Keys. | - otherWellKnownObjects: B:32:683A24E2E2E8164BD3AF86AC3C2CF3F981:CN=Keys,%ws | Н/П |
| Операция 85: {e6d5fd00-385d-4e65-b02d-9da3493ed850} | Измените NC домена, чтобы разрешить "domain\Key Администратор s" и "rootdomain\Enterprise Key Администратор s", чтобы изменить атрибут msds-KeyCredentialLink. | Н/П | (OA; CI;RPWP; 5b47d60f-6090-40b2-9f37-2a4de88f3063;; Ключевые Администратор) (OA; CI;RPWP; 5b47d60f-6090-40b2-9f37-2a4de88f3063;; Корпоративный ключ Администратор в корневом домене, но в нерабочих доменах привел к нефиксируемому домену относительно ACE с неизменяемым идентификатором БЕЗОПАСНОСТИ -527) |
| Операция 86: {3a6b3fbf-3168-4312-a10d-dd5b393952d} | Предоставьте ds-Validated-Write-Computer CAR владельцу и самостоятельному владельцу | Н/П | (OA; CIIO;SW; 9b026da6-0d3c-465c-8bee-5199d7165cba; bf967a86-0de6-11d0-a285-00aa003049e2;PS) (OA; CIIO;SW; 9b026da6-0d3c-465c-8bee-5199d7165cba; bf967a86-0de6-11d0-a285-00aa003049e2;CO) |
| Операция 87: {7F950403-0AB3-47F9-9730-5D7B0269F9BD} | Удалите ACE, предоставляя полный доступ к неправильной группе корпоративных ключей Администратор, и добавьте ACE, предоставляющую полный контроль группе корпоративных ключей Администратор. | Н/П | Delete (A; CI;RPWPCRLCLOCCDWDWOSDDTSW;; Корпоративный ключ Администратор) Добавить (A; CI;RPWPCRLCLOCCDWDWOSDDTSW;; Корпоративный ключ Администратор) |
| Операция 88: {434bb40d-dbc9-4fe7-81d4-d57229f7b080} | Добавьте msDS-ExpirePasswordsOnSmartCardOnlyAccounts в объект NC домена и задайте значение по умолчанию false. | Неприменимо | Неприменимо |
Группы Администратор ключей предприятия и Администратор ключей создаются только после повышения уровня контроллера домена Windows Server 2016 и принимают роль FSMO эмулятора PDC.
Windows Server 2012 R2: обновления на уровне домена
Хотя никакие операции не выполняются доменнымprep в Windows Server 2012 R2, после завершения команды атрибут редакции для объекта CN=ActiveDirectoryUpdate,CN=Domain Обновления,CN=System,DC=ForestRootDomain имеет значение 10.
Windows Server 2012: обновления на уровне домена
После выполнения операций, выполняемых доменомprep в Windows Server 2012 (операции 78, 79, 80 и 81), атрибут редакции для объекта CN=ActiveDirectoryUpdate,CN=Domain Обновления,CN=System,DC=ForestRootDomain имеет значение 9.
| Номер операций и GUID | Description | Атрибуты | Разрешения |
|---|---|---|---|
| Операция 78: {c3c927a6-cc1d-47c0-966b-be8f9b63d991} | Создайте объект CN=TPM Devices в разделе домена. | Класс объекта: msTPM-InformationObjectsContainer | Н/П |
| Операция 79: {54afcfb9-637a-4251-9f47-4d50e7021211} | Создана запись управления доступом для службы TPM. | Н/П | (OA; CIIO; WP; ea1b7b93-5e48-46d5-bc6c-4df4fda78a35; bf967a86-0de6-11d0-a285-00aa003049e2;PS) |
| Операция 80: {f4728883-84ddd-483c-9897-274f2ebcf11e} | Предоставление права "Клонировать контроллер домена" в группу клонируемых контроллеров домена | Н/П | (OA;; CR; 3e0f7e18-2c7a-4c10-ba82-4d926db99a3e;;domain SID-522) |
| Операция 81: {ff4f9d27-7157-4cb0-80a9-5d6f2b14c8ff} | Предоставьте ms-DS-Allowed-To-Act-On-Behalf-Of-Other-Identity субъекту self на всех объектах. | Н/П | (OA; CIOI; RPWP; 3f78c3e5-f79a-46bd-a0b8-9d18116ddc79;; PS) |