Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die folgenden Änderungen sollen helfen, die Schemaupdates, die von „adprep/domainprep“ in Windows Server durchgeführt werden, zu verstehen und sich darauf vorzubereiten.
Ab Windows Server 2012 werden Adprep-Befehle während der AD DS-Installation automatisch nach Bedarf ausgeführt. Sie können vor der AD DS-Installation auch separat ausgeführt werden. Weitere Informationen finden Sie unter Ausführen von Adprep.exe.
Weitere Informationen dazu, wie Sie ACE-Zeichenfolgen (Access Control Entry, Zugriffssteuerungseintrag) interpretieren, finden Sie unter ACE-Zeichenfolgen. Weitere Informationen dazu, wie Sie SID-Zeichenfolgen (Security ID, Sicherheits-ID) interpretieren, finden Sie unter SID-Zeichenfolgen.
Windows Server (halbjährlicher Kanal): Domänenweite Updates
Nachdem der von Domainprep in Windows Server 2016 ausgeführten Vorgang (Vorgang 89) abgeschlossen ist, wird das revision-Attribut für das Objekt „CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain“ auf 16 festgelegt.
| Vorgangsnummer und GUID | BESCHREIBUNG | Berechtigungen |
|---|---|---|
| Vorgang 89: {A0C238BA-9E30-4EE6-80A6-43F731E9A5CD} | Löscht den ACE, der Unternehmensschlüsseladministratoren Vollzugriff gewährt, und fügt einen ACE hinzu, der Unternehmensschlüsseladministratoren ausschließlich Vollzugriff auf das msdsKeyCredentialLink-Attribut gewährt. | Löschen (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;Enterprise Key Admins) Hinzufügen (OA;CI;RPWP;5b47d60f-6090-40b2-9f37-2a4de88f3063;;Enterprise Key Admins) |
Windows Server 2016: Domänenweite Updates
Nachdem die von Domainprep in Windows Server 2016 ausgeführten Vorgänge (Vorgänge 82–88) abgeschlossen sind, wird das revision-Attribut für das Objekt „CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain“ auf 15 festgelegt.
| Vorgangsnummer und GUID | BESCHREIBUNG | Attribute | Berechtigungen |
|---|---|---|---|
| Vorgang 82: {83C53DA7-427E-47A4-A07A-A324598B88F7} | Erstellt einen CN=Keys-Container im Stammverzeichnis der Domäne. | – objectClass: Container – description: Standardcontainer für Schlüsselanmeldeinformationsobjekte – ShowInAdvancedViewOnly: TRUE |
(A; CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;; EA) (A; CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;; DA) (A; CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;; SY) (A; CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;; DD) (A; CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;; ED) |
| Vorgang 83: {C81FC9CC-0130-4FD1-B272-634D74818133} | Fügt dem CN=Keys-Container Vollzugriff auf „domain\Key Admins“ und „rootdomain\Enterprise Key Admins“ hinzu. | – | (A; CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;; Wichtige Administratoren) (A; CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;; Enterprise-Schlüsseladministratoren) |
| Vorgang 84: {E5F9E791-D96D-4FC9-93C9-D53E1DC439BA} | Ändert das otherWellKnownObjects-Attribut, sodass es auf den CN=Keys-Container verweist. | – otherWellKnownObjects: B:32:683A24E2E8164BD3AF86AC3C2CF3F981:CN=Keys,%ws | – |
| Vorgang 85: {e6d5fd00-385d-4e65-b02d-9da3493ed850} | Ändert den Domänen-NC so, dass das msds-KeyCredentialLink-Attribut von „domain\Key Admins“ und „rootdomain\Enterprise Key Admins“ geändert werden kann. | – | (OA; CI;RPWP; 5b47d60f-6090-40b2-9f37-2a4de88f3063;; Wichtige Administratoren) (OA;CI;RPWP;5b47d60f-6090-40b2-9f37-2a4de88f3063;;Unternehmensschlüsseladministrator*innen in Stammdomäne. In Nicht-Stammdomänen führte dies allerdings zu einem falschen domänenbezogenen ACE mit einer nicht auflösbaren -527-SID.) |
| Vorgang 86: {3a6b3fbf-3168-4312-a10d-dd5b3393952d} | Gewährt dem Ersteller-Besitzer und sich selbst DS-Validated-Write-Computer CAR. | – | (OA; CIIO;SW; 9B026DA6-0D3C-465C-8BEE-5199D7165CBA; bf967a86-0de6-11d0-a285-00aa003049e2;PS) (OA; CIIO;SW; 9B026DA6-0D3C-465C-8BEE-5199D7165CBA; bf967a86-0de6-11d0-a285-00aa003049e2;CO) |
| Vorgang 87: {7F950403-0AB3-47F9-9730-5D7B0269F9BD} | Löscht den ACE, der der falschen domänenbezogenen Gruppe „Unternehmensschlüsseladministratoren“ Vollzugriff gewährt, und fügt einen ACE hinzu, der der Gruppe „Unternehmensschlüsseladministratoren“ Vollzugriff gewährt. | – | Löschen (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;Enterprise Key Admins) Hinzufügen (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;Enterprise Key Admins) |
| Vorgang 88: {434bb40d-dbc9-4fe7-81d4-d57229f7b080} | Fügt dem Domänen-NC-Objekt „msDS-ExpirePasswordsOnSmartCardOnlyAccounts“ hinzu und legt den Standardwert auf FALSE fest. | – | – |
Die Gruppen „Unternehmensschlüsseladministratoren“ und „Schlüsseladministratoren“ werden erst erstellt, nachdem ein Windows Server 2016-Domänencontroller höhergestuft wurde und die FSMO-Rolle „PDC-Emulator“ übernommen hat.
Windows Server 2012 R2: Domänenweite Updates
Obwohl Domainprep in Windows Server 2012 R2 keine Vorgänge ausführt, wird das revision-Attribut für das Objekt „CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain“ nach Abschluss des Befehls auf 10 festgelegt.
Windows Server 2012: Domänenweite Updates
Nachdem die von Domainprep in Windows Server 2012 ausgeführten Vorgänge (Vorgänge 78, 79, 80 und 81) abgeschlossen sind, wird das revision-Attribut für das Objekt „CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain“ auf 9 festgelegt.
| Vorgangsnummer und GUID | BESCHREIBUNG | Attribute | Berechtigungen |
|---|---|---|---|
| Vorgang 78: {c3c927a6-cc1d-47c0-966b-be8f9b63d991} | Erstellt ein neues CN=TPM Devices-Objekt in der Domänenpartition. | Objektklasse: msTPM-InformationObjectsContainer | – |
| Vorgang 79: {54afcfb9-637a-4251-9f47-4d50e7021211} | Erstellt einen Zugriffssteuerungseintrag für den TPM-Dienst. | – | (OA; CIIO; WP; ea1b7b93-5e48-46d5-bc6c-4df4fda78a35; bf967a86-0de6-11d0-a285-00aa003049e2;PS) |
| Vorgang 80: {f4728883-84dd-483c-9897-274f2ebcf11e} | Gewährt der Gruppe Klonbare Domänencontroller das erweiterte Recht „DC klonen“. | – | (OA; CR; 3E0F7E18-2C7A-4C10-BA82-4D926DB99A3E;; Domäne SID-522) |
| Vorgang 81: {ff4f9d27-7157-4cb0-80a9-5d6f2b14c8ff} | Gewährt dem Prinzipal selbst für alle Objekte das Recht „ms-DS-Allowed-To-Act-On-Behalf-Of-Other-Identity“. | – | (OA; CIOI; RPWP; 3f78c3e5-f79a-46bd-a0b8-9d18116ddc79;; PS) |