全網域結構描述更新
您可以查看下列變更,協助了解和準備 Windows Server 中由 adprep /domainprep 執行的結構描述更新。
從 Windows Server 2012 開始,Adprep 命令會在 AD DS 安裝期間視需要自動執行。 這些命令也可以在 AD DS 安裝之前個別執行。 如需詳細資訊,請參閱<執行 Adprep.exe>。
如需如何解譯存取控制項目 (ACE) 字串的詳細資訊,請參閱 ACE 字串。 如需如何解譯安全性識別碼 (SID) 字串的詳細資訊,請參閱SID 字串。
Windows Server (半年通道更新):全網域更新
在 Windows Server 2016 中 domainprep 所執行的作業 (作業 89) 完成之後,CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain 物件的修訂屬性會設定為 16。
| 作業編號和 GUID | 描述 | 權限 |
|---|---|---|
| 作業 89:{A0C238BA-9E30-4EE6-80A6-43F731E9A5CD} | 刪除向企業金鑰管理員授與完整控制權的 ACE,並新增僅針對 msdsKeyCredentialLink 屬性向企業金鑰管理員授與完整控制權的 ACE。 | 刪除 (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;企業金鑰管理員) 新增 (OA;CI;RPWP;5b47d60f-6090-40b2-9f37-2a4de88f3063;;企業金鑰管理員) |
Windows Server 2016 全網域更新
在 Windows Server 2016 中 domainprep 所執行的作業 (作業 82-88) 完成之後,CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain 物件的修訂屬性會設定為 15。
| 作業編號和 GUID | 描述 | 屬性 | 權限 |
|---|---|---|---|
| 作業 82:{83C53DA7-427E-47A4-A07A-A324598B88F7} | 在網域根目錄建立 CN=Keys 容器 | - objectClass:容器 - 描述:金鑰認證物件的預設容器 - ShowInAdvancedViewOnly: TRUE |
(A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;EA) (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;DA) (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;SY) (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;DD) (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;ED) |
| 作業 83:{C81FC9CC-0130-4FD1-B272-634D74818133} | 新增完整控制允許 ace 到 "domain\Key Admins" 和 "rootdomain\Enterprise Key Admins" 的 CN=Keys 容器。 | N/A | (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;金鑰管理員) (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;企業金鑰管理員) |
| 作業 84:{E5F9E791-D96D-4FC9-93C9-D53E1DC439BA} | 修改 otherWellKnownObjects 屬性以指向 CN=Keys 容器。 | - otherWellKnownObjects: B:32:683A24E2E8164BD3AF86AC3C2CF3F981:CN=Keys,%ws | N/A |
| 作業 85:{e6d5fd00-385d-4e65-b02d-9da3493ed850} | 修改網域 NC 以允許 "domain\Key Admins" 和 "rootdomain\Enterprise Key Admins" 修改 msds-KeyCredentialLink 屬性。 | N/A | (OA;CI;RPWP;5b47d60f-6090-40b2-9f37-2a4de88f3063;;金鑰管理員) (OA;CI;RPWP;5b47d60f-6090-40b2-9f37-2a4de88f3063;;根網域中的企業金鑰管理員,但非根網域中的企業金鑰管理員會導致具有不可解析 -527 SID 的虛假網域相對 ACE) |
| 作業 86:{3a6b3fbf-3168-4312-a10d-dd5b3393952d} | 將 DS-Validated-Write-Computer CAR 授與建立者擁有者和自己 | N/A | (OA;CIIO;SW;9b026da6-0d3c-465c-8bee-5199d7165cba;bf967a86-0de6-11d0-a285-00aa003049e2;PS) (OA;CIIO;SW;9b026da6-0d3c-465c-8bee-5199d7165cba;bf967a86-0de6-11d0-a285-00aa003049e2;CO) |
| 作業 87:{7F950403-0AB3-47F9-9730-5D7B0269F9BD} | 刪除向錯誤網域相對企業金鑰管理員群組授與完整控制權的 ACE,並新增向企業金鑰管理員群組授與完整控制權的 ACE。 | N/A | 刪除 (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;企業金鑰管理員) 新增 (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;企業金鑰管理員) |
| 作業 88:{434bb40d-dbc9-4fe7-81d4-d57229f7b080} | 在網域 NC 物件上新增 "msDS-ExpirePasswordsOnSmartCardOnlyAccounts",並將預設值設定為 FALSE | N/A | N/A |
僅在 Windows Server 2016 網域控制站升級並接管 PDC 模擬器 FSMO 角色之後,才會建立企業金鑰管理員和金鑰管理員群組。
Windows Server 2012 R2:全網域更新
儘管 Windows Server 2012 R2 中的 domainprep 未執行任何操作,但在命令完成之後,CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain 物件的修訂屬性會設定為 10。
Windows Server 2012:全網域更新
在 Windows Server 2012 中 domainprep 所執行的作業 (作業 78、79、80 和 81) 完成之後,CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain 物件的修訂屬性會設定為 9。
| 作業編號和 GUID | 描述 | 屬性 | 權限 |
|---|---|---|---|
| 作業 78:{c3c927a6-cc1d-47c0-966b-be8f9b63d991} | 在網域分割中建立新的物件 CN=TPM 裝置。 | 物件類別:msTPM-InformationObjectsContainer | N/A |
| 作業 79:{54afcfb9-637a-4251-9f47-4d50e7021211} | 建立 TPM 服務的存取控制項目。 | N/A | (OA;CIIO;WP;ea1b7b93-5e48-46d5-bc6c-4df4fda78a35;bf967a86-0de6-11d0-a285-00aa003049e2;PS) |
| 作業 80:{f4728883-84dd-483c-9897-274f2ebcf11e} | 將 "Clone DC" 擴充權限授與可複製的網域控制站群組 | N/A | (OA;;CR;3e0f7e18-2c7a-4c10-ba82-4d926db99a3e;;domain SID-522) |
| 作業 81:{ff4f9d27-7157-4cb0-80a9-5d6f2b14c8ff} | 將 ms-DS-Allowed-To-Act-On-Behalf-Of-Other-Identity 授與所有物件的主體本身。 | N/A | (OA;CIOI;RPWP;3f78c3e5-f79a-46bd-a0b8-9d18116ddc79;;PS) |