次の方法で共有

ドメイン全体のスキーマの更新

次の一連の変更を確認すると、Windows Server で adprep /domainprep によって実行されるスキーマの更新を理解し、準備することができます。

Windows Server 2012 以降では、AD DS のインストール時に、必要に応じて Adprep コマンドが自動的に実行されます。 また、AD DS のインストールの前に個別に実行することもできます。 詳細については、「Adprep.exe の実行」を参照してください。

アクセス制御エントリ (ACE) 文字列を解釈する方法の詳細については、「ACE 文字列」をご覧ください。 セキュリティ ID (SID) 文字列を解釈する方法の詳細については、「SID 文字列」をご覧ください。

Windows Server (半期チャネル): ドメイン全体の更新

Windows Server 2016 (操作 89) で domainprep によって実行される操作が完了すると、CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain オブジェクトの revision 属性が 16 に設定されます。

操作番号と GUID 説明 アクセス許可
操作 89: {A0C238BA-9E30-4EE6-80A6-43F731E9A5CD} Enterprise Key Admins に対してフル コントロールを許可する ACE を削除し、msdsKeyCredentialLink 属性に対してのみ Enterprise Key Admins のフル コントロールを許可する ACE を追加します。 Delete (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;Enterprise Key Admins)

Add (OA;CI;RPWP;5b47d60f-6090-40b2-9f37-2a4de88f3063;;Enterprise Key Admins)

Windows Server 2016: ドメイン全体の更新

Windows Server 2016 (操作 82-88) で domainprep によって実行される操作が完了すると、CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain オブジェクトの revision 属性が 15 に設定されます。

操作番号と GUID 説明 属性 アクセス許可
操作 82: {83C53DA7-427E-47A4-A07A-A324598B88F7} ドメインのルートに CN=Keys コンテナーを作成する - objectClass: container
- description: キー資格情報オブジェクトの既定のコンテナー
- ShowInAdvancedViewOnly: TRUE		 (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;EA)
(A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;DA)
(A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;SY)
(A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;DD)
(A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;ED)
操作 83: {C81FC9CC-0130-4FD1-B272-634D74818133} フル コントロールの追加は、ACE に "domain\Key Admins" と "rootdomain\Enterprise Key Admins" に対する CN=Keys コンテナーを許可します。 該当なし (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;Key Admins)
(A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;Enterprise Key Admins)
操作 84: {E5F9E791-D96D-4FC9-93C9-D53E1DC439BA} CN=Keys コンテナーを指すように otherWellKnownObjects 属性を変更します。 - otherWellKnownObjects: B:32:683A24E2E8164BD3AF86AC3C2CF3F981:CN=Keys,%ws 該当なし
操作 85: {e6d5fd00-385d-4e65-b02d-9da3493ed850} "domain\Key Admins" と "rootdomain\Enterprise Key Admins" に msds-KeyCredentialLink 属性の変更を許可するようにドメイン NC を変更します。 該当なし (OA;CI;RPWP;5b47d60f-6090-40b2-9f37-2a4de88f3063;;Key Admins)
(OA;CI;RPWP;5b47d60f-6090-40b2-9f37-2a4de88f3063;;Enterprise Key Admins in root domain, but in nonroot domains resulted in a bogus domain-relative ACE with a nonresolvable -527 SID)
操作 86: {3a6b3fbf-3168-4312-a10d-dd5b3393952d} DS-Validated-Write-Computer CAR を作成者の所有者と自己に付与します 該当なし (OA;CIIO;SW;9b026da6-0d3c-465c-8bee-5199d7165cba;bf967a86-0de6-11d0-a285-00aa003049e2;PS)
(OA;CIIO;SW;9b026da6-0d3c-465c-8bee-5199d7165cba;bf967a86-0de6-11d0-a285-00aa003049e2;CO)
操作 87: {7F950403-0AB3-47F9-9730-5D7B0269F9BD} 正しくないドメイン関連の Enterprise Key Admins グループに対してフル コントロールを許可する ACE を削除し、Enterprise Key Admins グループにフル コントロールを許可する ACE を追加します。 該当なし Delete (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;Enterprise Key Admins)

Add (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;Enterprise Key Admins)
操作 88: {434bb40d-dbc9-4fe7-81d4-d57229f7b080} ドメイン NC オブジェクトに "msDS-ExpirePasswordsOnSmartCardOnlyAccounts" を追加し、既定値を FALSE に設定します 該当なし 該当なし

Enterprise Key Admins と Key Admins グループは、Windows Server 2016 ドメイン コントローラーが昇格され、PDC Emulator FSMO の役割を引き継ぎた後にのみ作成されます。

Windows Server 2012 R2: ドメイン全体の更新

Windows Server 2012 R2 では domainprep によって実行される操作はありませんが、コマンドが完了した後、CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain オブジェクトの revision 属性が 10 に設定されます。

Windows Server 2012: ドメイン全体の更新

Windows Server 2012 (操作 78、79、80、81) で domainprep によって実行される操作が完了すると、CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain オブジェクトの revision 属性が 9 に設定されます。

操作番号と GUID 説明 属性 アクセス許可
操作 78: {c3c927a6-cc1d-47c0-966b-be8f9b63d991} 新しいオブジェクト CN=TPM デバイスをドメイン パーティションに作成します。 オブジェクト クラス: msTPM-InformationObjectsContainer 該当なし
操作 79: {54afcfb9-637a-4251-9f47-4d50e7021211} TPM サービスのアクセス制御エントリを作成しました。 該当なし (OA;CIIO;WP;ea1b7b93-5e48-46d5-bc6c-4df4fda78a35;bf967a86-0de6-11d0-a285-00aa003049e2;PS)
操作 80: {f4728883-84dd-483c-9897-274f2ebcf11e} "DC の複製" 拡張権限を Cloneable Domain Controllers グループに付与します 該当なし (OA;;CR;3e0f7e18-2c7a-4c10-ba82-4d926db99a3e;;domain SID-522)
操作 81: {ff4f9d27-7157-4cb0-80a9-5d6f2b14c8ff} すべてのオブジェクトのプリンシパル セルフに、ms-DS-Allowed-To-Act-On-Behalf-Of-Other-Identity を付与します。 該当なし (OA;CIOI;RPWP;3f78c3e5-f79a-46bd-a0b8-9d18116ddc79;;PS)