域范围的架构更新

适用范围:Windows Server 2022、Windows Server 2019、Windows Server

你可以查看以下更改集,以帮助了解并准备 Windows Server 中的 adprep/domainprep 执行的架构更新。

从 Windows Server 2012 开始,将在 AD DS 安装过程中根据需要自动运行 Adprep 命令。 它们还可以在 AD DS 安装之前单独运行。 有关详细信息,请参阅运行 Adprep.exe

有关如何 (ACE) 字符串解释访问控制项的详细信息,请参阅 ace 字符串。 有关如何将安全 ID 解释 (SID) 字符串的详细信息,请参阅 sid 字符串

Windows Server (半年频道) :全域性更新

完成 Windows Server 2016 (操作 89) 完成的操作后,cn = 都,cn = DomainUpdates,cn = System,DC = ForestRootDomain 对象的修订属性设置为16

操作编号和 GUID 说明 权限
操作 89: {A0C238BA-9E30-4EE6-80A6-43F731E9A5CD} 删除 ace 授予 "完全控制" 权限以 Enterprise 密钥管理员,并添加 ace 授予 Enterprise 密钥管理员只需完全控制 msdsKeyCredentialLink 属性。 删除 (;CI; RPWPCRLCLOCCDCRCWDWOSDDTSW;;;Enterprise 密钥管理员)

添加 (OA;CI; RPWP; 5b47d60f-6090-40b2-9f37-2a4de88f3063;;Enterprise 密钥管理员)

Windows Server 2016:全域性更新

在完成 Windows Server 2016 (操作 82-88) 完成的操作后,cn = 都,cn = DomainUpdates,cn = System,DC = ForestRootDomain 对象的修订属性设置为15

操作编号和 GUID 说明 属性 权限
操作 82: {83C53DA7-427E-47A4-A07A-A324598B88F7} 在域的根目录创建 CN = Keys 容器 -objectClass:容器
-description:密钥凭据对象的默认容器
-ShowInAdvancedViewOnly: TRUE
(;CI; RPWPCRLCLOCCDCRCWDWOSDDTSW;;;EA)
(;CI; RPWPCRLCLOCCDCRCWDWOSDDTSW;;;D一个)
(;CI; RPWPCRLCLOCCDCRCWDWOSDDTSW;;;SY)
(;CI; RPWPCRLCLOCCDCRCWDWOSDDTSW;;;DD)
(;CI; RPWPCRLCLOCCDCRCWDWOSDDTSW;;;ED)
操作 83: {C81FC9CC-0130-4FD1-B272-634D74818133} 添加完全控制允许将 ace 用于 "domain\Key Admins" 和 "根域 \ Enterprise Key admins" 的 CN = Keys 容器。 空值 (;CI; RPWPCRLCLOCCDCRCWDWOSDDTSW;;;密钥管理员)
(;CI; RPWPCRLCLOCCDCRCWDWOSDDTSW;;;Enterprise 密钥管理员)
操作 84: {E5F9E791-D96D-4FC9-93C9-D53E1DC439BA} 修改 otherWellKnownObjects 属性,使其指向 CN = Keys 容器。 -otherWellKnownObjects: B:32:683A24E2E8164BD3AF86AC3C2CF3F981: CN = Keys,% ws 空值
操作 85: {e6d5fd00-385d-4e65-b02d-9da3493ed850} 修改域 NC,以允许 "domain\Key Admins" 和 "根域 \ Enterprise 密钥管理员" 修改 KeyCredentialLink 特性。 空值 (OA;CI; RPWP; 5b47d60f-6090-40b2-9f37-2a4de88f3063;;密钥管理员)
(OA;CI; RPWP; 5b47d60f-6090-40b2-9f37-2a4de88f3063;;Enterprise 根域中的密钥管理员,但在非根域中,会生成具有不可解析-527 SID 的虚假域相对 ACE)
操作 86: {3a6b3fbf-3168-4312-a10d-dd5b3393952d} 向 creator 所有者和自助授予 DS 验证的写入计算机车载 空值 (OA;CIIO; SW; 9b026da6-0d3c-465c-8bee-5199d7165cba; bf967a86-0de6-11d0-a285-00aa003049e2; PS)
(OA;CIIO; SW; 9b026da6-0d3c-465c-8bee-5199d7165cba; bf967a86-0de6-11d0-a285-00aa003049e2; CO)
操作 87: {7F950403-0AB3-47F9-9730-5D7B0269F9BD} 删除 ace 授予 "完全控制" 权限,使其对不正确的域相关 Enterprise Key admins 组,并将 "完全控制" 权限授予 "Enterprise 密钥管理员" 组。 空值 删除 (;CI; RPWPCRLCLOCCDCRCWDWOSDDTSW;;;Enterprise 密钥管理员)

添加 (;CI; RPWPCRLCLOCCDCRCWDWOSDDTSW;;;Enterprise 密钥管理员)
操作 88: {434bb40d-dbc9-4fe7-81d4-d57229f7b080} 在域 NC 对象上添加 "ExpirePasswordsOnSmartCardOnlyAccounts" 并将默认值设置为 FALSE 空值 空值

只有在 Windows Server 2016 域控制器升级并接管 PDC Emulator FSMO 角色之后,才会创建 Enterprise 密钥管理员和密钥管理员组。

Windows Server 2012 R2:全域性更新

尽管 Windows Server 2012 R2 中的"完成" 操作不执行任何操作,但在命令完成后,cn = 都,cn = DomainUpdates,cn = System,DC = ForestRootDomain 对象的修订属性设置为10

Windows Server 2012:全域性更新

在完成 Windows Server 2012 (操作78、79、80和 81) 完成操作后执行的操作之后,cn = 都,cn = DomainUpdates,cn = System,DC = ForestRootDomain 对象的修订版属性将设置为9

操作编号和 GUID 说明 属性 权限
操作 78: {c3c927a6-cc1d-47c0-966b-be8f9b63d991} 创建新的对象 CN = 域分区中的 TPM 设备。 对象类: Mstpm-ownerinformation-InformationObjectsContainer 空值
操作 79: {54afcfb9-637a-4251-9f47-4d50e7021211} 创建了 TPM 服务的访问控制项。 空值 (OA;CIIO;WP; ea1b7b93-5e48-46d5-bc6c-4df4fda78a35; bf967a86-0de6-11d0-a285-00aa003049e2; PS)
操作 80: {f4728883-84dd-483c-9897-274f2ebcf11e} 可克隆域控制器 组授予 "克隆 DC" 的扩展权限 空值 (OA;;CR; 3e0f7e18-2c7a-4c10-ba82-4d926db99a3e;;域 SID-522)
操作 81: {ff4f9d27-7157-4cb0-80a9-5d6f2b14c8ff} 在所有对象上向主体自助授予对等的、允许的、其他身份操作。 空值 (OA;CIOI;RPWP;3f78c3e5-f79a-46bd-a0b8-9d18116ddc79;;PS)