Atualizações de esquema em todo o domínio

• Aplica-se a:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Você pode revisar o conjunto de alterações a seguir para ajudar a entender e se preparar para as atualizações de esquema executadas pelo adprep /domainprep no Windows Server.

A partir do Windows Server 2012, os comandos do Adprep são executados automaticamente conforme necessário durante a instalação do AD DS. Eles também podem ser executados separadamente antes da instalação do AD DS. Para obter mais informações, consulte Executando Adprep.exe.

Para obter mais informações sobre como interpretar as cadeias de caracteres de ACE (entrada de controle de acesso), confira Cadeias de caracteres de ACE. Para obter mais informações sobre como interpretar as cadeias de caracteres de SID (ID de segurança), confira Cadeias de caracteres de SID.

Windows Server (Canal Semestral): atualizações em todo o domínio

Depois que as operações executadas pelo domainprep no Windows Server 2016 (operação 89) forem concluídas, o atributo revision do objeto CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain será definido como 16.

Número de operações e GUID	Descrição	Permissões
Operação 89: {A0C238BA-9E30-4EE6-80A6-43F731E9A5CD}	Exclua a ACE que concede controle completo aos Administradores de Chave Corporativa e adicione uma ACE que concede controle completo aos Administradores de Chave Corporativa apenas sobre o atributo msdsKeyCredentialLink.	Exclua (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;Administradores de Chave Corporativa) Adicione (OA;CI;RPWP;5b47d60f-6090-40b2-9f37-2a4de88f3063;;Administradores de Chave Corporativa)

Windows Server 2016: atualizações em todo o domínio

Depois que as operações executadas pelo domainprep no Windows Server 2016 (operações 82-88) forem concluídas, o atributo revision do objeto CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain será definido como 15.

Número de operações e GUID	Descrição	Atributos	Permissões
Operação 82: {83C53DA7-427E-47A4-A07A-A324598B88F7}	Criar o contêiner CN=Keys na raiz do domínio	– objectClass: container – descrição: Contêiner padrão para objetos de credencial de chave – ShowInAdvancedViewOnly: TRUE	(A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;EA) (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;DA) (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;SY) (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;DD) (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;ED)
Operação 83: {C81FC9CC-0130-4FD1-B272-634D74818133}	A adição de controle completo permite acesso ao contêiner CN=Keys para "domain\Key Admins" e "rootdomain\Enterprise Key Admins".	N/D	(A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;Administradores de Chave) (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;Administradores de Chave Corporativa)
Operação 84: {E5F9E791-D96D-4FC9-93C9-D53E1DC439BA}	Modifique o atributo otherWellKnownObjects para apontá-lo para o contêiner CN=Keys.	– otherWellKnownObjects: B:32:683A24E2E8164BD3AF86AC3C2CF3F981:CN=Keys,%ws	N/D
Operação 85: {e6d5fd00-385d-4e65-b02d-9da3493ed850}	Modifique o NC de domínio para permitir que "domain\Key Admins" e "rootdomain\Enterprise Key Admins" modifiquem o atributo msds-KeyCredentialLink.	N/D	(OA;CI;RPWP;5b47d60f-6090-40b2-9f37-2a4de88f3063;;Administradores de Chave) (OA;CI;RPWP;5b47d60f-6090-40b2-9f37-2a4de88f3063;;Administradores de Chave Corporativa no domínio raiz, mas em domínios não raiz, isso resultou em um ACE falso relativo ao domínio com um SID -527 que não pode ser resolvido)
Operação 86: {3a6b3fbf-3168-4312-a10d-dd5b3393952d}	Conceda o CAR DS-Validated-Write-Computer ao proprietário/criador e a si mesmo	N/D	(OA;CIIO;SW;9b026da6-0d3c-465c-8bee-5199d7165cba;bf967a86-0de6-11d0-a285-00aa003049e2;PS) (OA;CIIO;SW;9b026da6-0d3c-465c-8bee-5199d7165cba;bf967a86-0de6-11d0-a285-00aa003049e2;CO)
Operação 87: {7F950403-0AB3-47F9-9730-5D7B0269F9BD}	Exclua a ACE que concede controle completo ao grupo Administradores de Chave Corporativa relativo ao domínio incorreto e adicione uma ACE que concede controle completo ao grupo Administradores de Chave Corporativa.	N/D	Exclua (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;Administradores de Chave Corporativa) Adicione (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;Administradores de Chave Corporativa)
Operação 88: {434bb40d-dbc9-4fe7-81d4-d57229f7b080}	Adicione "msDS-ExpirePasswordsOnSmartCardOnlyAccounts" ao objeto de NC de domínio e defina o valor padrão como FALSE	N/D	N/D

Os grupos Administradores de Chave Corporativa e Administradores de Chave só são criados depois que um controlador de domínio do Windows Server 2016 é promovido e assume a função FSMO do Emulador PDC.

Windows Server 2012 R2: atualizações em todo o domínio

Embora nenhuma operação seja executada pelo domainprep no Windows Server 2012 R2, após a conclusão do comando, o atributo revision do objeto CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain é definido como 10.

Windows Server 2012: atualizações em todo o domínio

Depois que as operações executadas pelo domainprep no Windows Server 2012 (operações 78, 79, 80 e 81) forem concluídas, o atributo revision do objeto CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain será definido como 9.

Número de operações e GUID	Descrição	Atributos	Permissões
Operação 78: {c3c927a6-cc1d-47c0-966b-be8f9b63d991}	Crie um objeto CN=TPM Devices na partição Domain.	Classe de objeto: msTPM-InformationObjectsContainer	N/D
Operação 79: {54afcfb9-637a-4251-9f47-4d50e7021211}	Uma entrada de controle de acesso foi criada para o serviço TPM.	N/D	(OA;CIIO;WP;ea1b7b93-5e48-46d5-bc6c-4df4fda78a35;bf967a86-0de6-11d0-a285-00aa003049e2;PS)
Operação 80: {f4728883-84dd-483c-9897-274f2ebcf11e}	Conceder o direito estendido "Clonar Controlador de Domínio" ao grupo Controladores de Domínio Clonáveis	N/D	(OA;;CR;3e0f7e18-2c7a-4c10-ba82-4d926db99a3e;;SID do domínio-522)
Operação 81: {ff4f9d27-7157-4cb0-80a9-5d6f2b14c8ff}	Conceda ms-DS-Allowed-To-Act-On-Behalf-Of-Other-Identity a Principal Self em todos os objetos.	N/D	(OA;CIOI;RPWP;3f78c3e5-f79a-46bd-a0b8-9d18116ddc79;;PS)