Domänenweite Schemaupdates
Die folgenden Änderungen sollen helfen, die Schemaupdates, die von „adprep/domainprep“ in Windows Server durchgeführt werden, zu verstehen und sich darauf vorzubereiten.
Ab Windows Server 2012 werden Adprep-Befehle während der AD DS-Installation automatisch nach Bedarf ausgeführt. Sie können vor der AD DS-Installation auch separat ausgeführt werden. Weitere Informationen finden Sie unter Ausführen von Adprep.exe.
Weitere Informationen dazu, wie Sie ACE-Zeichenfolgen (Access Control Entry, Zugriffssteuerungseintrag) interpretieren, finden Sie unter ACE-Zeichenfolgen. Weitere Informationen dazu, wie Sie SID-Zeichenfolgen (Security ID, Sicherheits-ID) interpretieren, finden Sie unter SID-Zeichenfolgen.
Windows Server (halbjährlicher Kanal): Domänenweite Updates
Nachdem der von Domainprep in Windows Server 2016 ausgeführten Vorgang (Vorgang 89) abgeschlossen ist, wird das revision-Attribut für das Objekt „CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain“ auf 16 festgelegt.
| Vorgangsnummer und GUID | BESCHREIBUNG | Berechtigungen |
|---|---|---|
| Vorgang 89: {A0C238BA-9E30-4EE6-80A6-43F731E9A5CD} | Löscht den ACE, der Unternehmensschlüsseladministratoren Vollzugriff gewährt, und fügt einen ACE hinzu, der Unternehmensschlüsseladministratoren ausschließlich Vollzugriff auf das msdsKeyCredentialLink-Attribut gewährt. | Löschen (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;Enterprise Key Admins) Hinzufügen (OA;CI;RPWP;5b47d60f-6090-40b2-9f37-2a4de88f3063;;Enterprise Key Admins) |
Windows Server 2016: Domänenweite Updates
Nachdem die von Domainprep in Windows Server 2016 ausgeführten Vorgänge (Vorgänge 82–88) abgeschlossen sind, wird das revision-Attribut für das Objekt „CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain“ auf 15 festgelegt.
| Vorgangsnummer und GUID | Beschreibung | Attribute | Berechtigungen |
|---|---|---|---|
| Vorgang 82: {83C53DA7-427E-47A4-A07A-A324598B88F7} | Erstellt einen CN=Keys-Container im Stammverzeichnis der Domäne. | – objectClass: Container – description: Standardcontainer für Schlüsselanmeldeinformationsobjekte – ShowInAdvancedViewOnly: TRUE |
(A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;EA) (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;DA) (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;SY) (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;DD) (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;ED) |
| Vorgang 83: {C81FC9CC-0130-4FD1-B272-634D74818133} | Fügt dem CN=Keys-Container Vollzugriff auf „domain\Key Admins“ und „rootdomain\Enterprise Key Admins“ hinzu. | – | (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;Key Admins) (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;Enterprise Key Admins) |
| Vorgang 84: {E5F9E791-D96D-4FC9-93C9-D53E1DC439BA} | Ändert das otherWellKnownObjects-Attribut, sodass es auf den CN=Keys-Container verweist. | – otherWellKnownObjects: B:32:683A24E2E8164BD3AF86AC3C2CF3F981:CN=Keys,%ws | – |
| Vorgang 85: {e6d5fd00-385d-4e65-b02d-9da3493ed850} | Ändert den Domänen-NC so, dass das msds-KeyCredentialLink-Attribut von „domain\Key Admins“ und „rootdomain\Enterprise Key Admins“ geändert werden kann. | – | (OA;CI;RPWP;5b47d60f-6090-40b2-9f37-2a4de88f3063;;Key Admins) (OA;CI;RPWP;5b47d60f-6090-40b2-9f37-2a4de88f3063;;Unternehmensschlüsseladministrator*innen in Stammdomäne. In Nicht-Stammdomänen führte dies allerdings zu einem falschen domänenbezogenen ACE mit einer nicht auflösbaren -527-SID.) |
| Vorgang 86: {3a6b3fbf-3168-4312-a10d-dd5b3393952d} | Gewährt dem Ersteller-Besitzer und sich selbst DS-Validated-Write-Computer CAR. | – | (OA;CIIO;SW;9b026da6-0d3c-465c-8bee-5199d7165cba;bf967a86-0de6-11d0-a285-00aa003049e2;PS) (OA;CIIO;SW;9b026da6-0d3c-465c-8bee-5199d7165cba;bf967a86-0de6-11d0-a285-00aa003049e2;CO) |
| Vorgang 87: {7F950403-0AB3-47F9-9730-5D7B0269F9BD} | Löscht den ACE, der der falschen domänenbezogenen Gruppe „Unternehmensschlüsseladministratoren“ Vollzugriff gewährt, und fügt einen ACE hinzu, der der Gruppe „Unternehmensschlüsseladministratoren“ Vollzugriff gewährt. | – | Löschen (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;Enterprise Key Admins) Hinzufügen (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;Enterprise Key Admins) |
| Vorgang 88: {434bb40d-dbc9-4fe7-81d4-d57229f7b080} | Fügt dem Domänen-NC-Objekt „msDS-ExpirePasswordsOnSmartCardOnlyAccounts“ hinzu und legt den Standardwert auf FALSE fest. | – | – |
Die Gruppen „Unternehmensschlüsseladministratoren“ und „Schlüsseladministratoren“ werden erst erstellt, nachdem ein Windows Server 2016-Domänencontroller höhergestuft wurde und die FSMO-Rolle „PDC-Emulator“ übernommen hat.
Windows Server 2012 R2: Domänenweite Updates
Obwohl Domainprep in Windows Server 2012 R2 keine Vorgänge ausführt, wird das revision-Attribut für das Objekt „CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain“ nach Abschluss des Befehls auf 10 festgelegt.
Windows Server 2012: Domänenweite Updates
Nachdem die von Domainprep in Windows Server 2012 ausgeführten Vorgänge (Vorgänge 78, 79, 80 und 81) abgeschlossen sind, wird das revision-Attribut für das Objekt „CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain“ auf 9 festgelegt.
| Vorgangsnummer und GUID | Beschreibung | Attribute | Berechtigungen |
|---|---|---|---|
| Vorgang 78: {c3c927a6-cc1d-47c0-966b-be8f9b63d991} | Erstellt ein neues CN=TPM Devices-Objekt in der Domänenpartition. | Objektklasse: msTPM-InformationObjectsContainer | – |
| Vorgang 79: {54afcfb9-637a-4251-9f47-4d50e7021211} | Erstellt einen Zugriffssteuerungseintrag für den TPM-Dienst. | – | (OA;CIIO;WP;ea1b7b93-5e48-46d5-bc6c-4df4fda78a35;bf967a86-0de6-11d0-a285-00aa003049e2;PS) |
| Vorgang 80: {f4728883-84dd-483c-9897-274f2ebcf11e} | Gewährt der Gruppe Klonbare Domänencontroller das erweiterte Recht „DC klonen“. | – | (OA;;CR;3e0f7e18-2c7a-4c10-ba82-4d926db99a3e;;domain SID-522) |
| Vorgang 81: {ff4f9d27-7157-4cb0-80a9-5d6f2b14c8ff} | Gewährt dem Prinzipal selbst für alle Objekte das Recht „ms-DS-Allowed-To-Act-On-Behalf-Of-Other-Identity“. | – | (OA;CIOI;RPWP;3f78c3e5-f79a-46bd-a0b8-9d18116ddc79;;PS) |