域范围架构更新
可以查看以下一组更改,以便了解和准备 Windows Server 中的 adprep /domainprep 执行的架构更新。
从 Windows Server 2012 开始,Adprep 命令会在 AD DS 安装期间按需自动运行。 也可以在安装 AD DS 之前单独运行这些命令。 有关详细信息,请参阅运行 Adprep.exe。
有关如何解释访问控制条目 (ACE) 字符串的详细信息,请参阅 ACE 字符串。 有关如何解释安全 ID (SID) 字符串的详细信息,请参阅 SID 字符串。
Windows Server(半年频道):域范围更新
Windows Server 2016 中 domainprep 执行的操作(操作 89)完成后,CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain 对象的 revision 属性将设置为 16。
| 操作编号和 GUID | 说明 | 权限 |
|---|---|---|
| 操作 89:{A0C238BA-9E30-4EE6-80A6-43F731E9A5CD} | 删除授予企业密钥管理员完全控制权的 ACE,添加一个授予企业密钥管理员完全控制权(仅针对 msdsKeyCredentialLink 属性)的 ACE。 | 删除 (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;企业密钥管理员) 添加 (OA;CI;RPWP;5b47d60f-6090-40b2-9f37-2a4de88f3063;;企业密钥管理员) |
Windows Server 2016:域范围更新
Windows Server 2016 中 domainprep 执行的操作(操作 82-88)完成后,CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain 对象的 revision 属性将设置为 15。
| 操作编号和 GUID | 说明 | 属性 | 权限 |
|---|---|---|---|
| 操作 82:{83C53DA7-427E-47A4-A07A-A324598B88F7} | 在域的根目录中创建 CN=Keys 容器 | - objectClass:容器 - 说明:密钥凭据对象的默认容器 - ShowInAdvancedViewOnly:TRUE |
(A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;EA) (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;DA) (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;SY) (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;DD) (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;ED) |
| 操作 83:{C81FC9CC-0130-4FD1-B272-634D74818133} | 为“domain\Key Admins”和“rootdomain\Enterprise Key Admins”添加完全控制,允许针对 CN=Keys 容器的 ACE。 | 空值 | (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;密钥管理员) (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;企业密钥管理员) |
| 操作 84:{E5F9E791-D96D-4FC9-93C9-D53E1DC439BA} | 修改 otherWellKnownObjects 属性,让其指向 CN=Keys 容器。 | - otherWellKnownObjects:B:32:683A24E2E8164BD3AF86AC3C2CF3F981:CN=Keys,%ws | 空值 |
| 操作 85:{e6d5fd00-385d-4e65-b02d-9da3493ed850} | 修改域 NC 以允许“domain\Key Admins”和“rootdomain\Enterprise Key Admins”,以便修改 msds-KeyCredentialLink 属性。 | 空值 | (OA;CI;RPWP;5b47d60f-6090-40b2-9f37-2a4de88f3063;;密钥管理员) (OA;CI;RPWP;5b47d60f-6090-40b2-9f37-2a4de88f3063;;企业密钥管理员在根域中,但在非根域中生成一个具有不可解析的 527 SID 的虚假域相关 ACE) |
| 操作 86:{3a6b3fbf-3168-4312-a10d-dd5b3393952d} | 将 DS-Validated-Write-Computer CAR 授予创建者所有者和自己 | 空值 | (OA;CIIO;SW;9b026da6-0d3c-465c-8bee-5199d7165cba;bf967a86-0de6-11d0-a285-00aa003049e2;PS) (OA;CIIO;SW;9b026da6-0d3c-465c-8bee-5199d7165cba;bf967a86-0de6-11d0-a285-00aa003049e2;CO) |
| 操作 87:{7F950403-0AB3-47F9-9730-5D7B0269F9BD} | 删除向不正确的域相关企业密钥管理员组授予完全控制权的 ACE,添加一个向企业密钥管理员组授予完全控制权的 ACE。 | 空值 | 删除 (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;企业密钥管理员) 添加 (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;企业密钥管理员) |
| 操作 88:{434bb40d-dbc9-4fe7-81d4-d57229f7b080} | 在域 NC 对象上添加“msDS-ExpirePasswordsOnSmartCardOnlyAccounts”并将默认值设置为 FALSE | 空值 | 空值 |
只有在提升 Windows Server 2016 域控制器并接管 PDC 仿真器 FSMO 角色之后,才会创建企业密钥管理员组和密钥管理员组。
Windows Server 2012 R2:域范围更新
尽管 Windows Server 2012 R2 中的 domainprep 未执行任何操作,但在命令完成后,CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain 对象的 revision 属性将设置为 10。
Windows Server 2012:域范围更新
Windows Server 2012 中 domainprep 执行的操作(操作 78、79、80 和 81)完成后,CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain 对象的 revision 属性将设置为 9。
| 操作编号和 GUID | 说明 | 属性 | 权限 |
|---|---|---|---|
| 操作 78:{c3c927a6-cc1d-47c0-966b-be8f9b63d991} | 在域分区中创建新对象 CN=TPM Devices。 | 对象类:msTPM-InformationObjectsContainer | 空值 |
| 操作 79:{54afcfb9-637a-4251-9f47-4d50e7021211} | 为 TPM 服务创建了访问控制项。 | 空值 | (OA;CIIO;WP;ea1b7b93-5e48-46d5-bc6c-4df4fda78a35;bf967a86-0de6-11d0-a285-00aa003049e2;PS) |
| 操作 80:{f4728883-84dd-483c-9897-274f2ebcf11e} | 向“可克隆域控制器”组授予“克隆 DC”扩展权限 | 空值 | (OA;;CR;3e0f7e18-2c7a-4c10-ba82-4d926db99a3e;;域 SID-522) |
| 操作 81:{ff4f9d27-7157-4cb0-80a9-5d6f2b14c8ff} | 在所有对象上将 ms-DS-Allowed-To-Act-On-Behalf-Of-Other-Identity 授予主体自身。 | 空值 | (OA;CIOI;RPWP;3f78c3e5-f79a-46bd-a0b8-9d18116ddc79;;PS) |