Actualizaciones de esquema para todo el dominio
Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server
Puede revisar el siguiente conjunto de cambios para comprender y preparar las actualizaciones de esquema que realiza adprep /domainprep en Windows Server.
A partir de Windows Server 2012, los comandos Adprep se ejecutan automáticamente según sea necesario durante la instalación de AD DS. También se pueden ejecutar por separado antes de la instalación de AD DS. Para obtener más información, consulta Ejecutar Adprep.exe.
Para obtener más información sobre cómo interpretar las cadenas de entrada de control de acceso (ACE), consulte Cadenas ACE. Para obtener más información sobre cómo interpretar las cadenas de identificador de seguridad (SID), consulte Cadenas SID.
Windows Server (canal semianual): actualizaciones para todo el dominio
Una vez completadas las operaciones realizadas por domainprep en Windows Server 2016 (operación 89), el atributo revision del objeto CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain se establece en 16.
| Número de operaciones y GUID | Descripción | Permisos |
|---|---|---|
| Operación 89: {A0C238BA-9E30-4EE6-80A6-43F731E9A5CD} | Elimine la ACE que concede control total a los administradores de claves de empresa y agregue una ACE que conceda control total a los administradores de claves de empresa solo sobre el atributo msdsKeyCredentialLink. | Delete (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;Enterprise Key Admins) Add (OA;CI;RPWP;5b47d60f-6090-40b2-9f37-2a4de88f3063;;Enterprise Key Admins) |
Windows Server 2016: actualizaciones para todo el dominio
Una vez completadas las operaciones realizadas por domainprep en Windows Server 2016 (operaciones 82-88), el atributo revision del objeto CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain se establece en 15.
| Número de operaciones y GUID | Descripción | Atributos | Permisos |
|---|---|---|---|
| Operación 82: {83C53DA7-427E-47A4-A07A-A324598B88F7} | Creación de un contenedor CN=Keys en la raíz del dominio | - objectClass: contenedor - description: contenedor predeterminado para los objetos de credencial de clave - ShowInAdvancedViewOnly: TRUE |
(A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;EA) (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;DA) (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;SY) (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;DD) (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;ED) |
| Operación 83: {C81FC9CC-0130-4FD1-B272-634D74818133} | Agregue control total para permitir aces al contenedor CN=Keys para "domain\Key Admins" y "rootdomain\Enterprise Key Admins". | N/D | (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;Key Admins) (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;Enterprise Key Admins) |
| Operación 84: {E5F9E791-D96D-4FC9-93C9-D53E1DC439BA} | Modifique el atributo otherWellKnownObjects para que apunte al contenedor CN=Keys. | - otherWellKnownObjects: B:32:683A24E2E8164BD3AF86AC3C2CF3F981:CN=Keys,%ws | N/D |
| Operation 85: {e6d5fd00-385d-4e65-b02d-9da3493ed850} | Modifique el contexto de nomenclatura de dominios para permitir a "domain\Key Admins" y "rootdomain\Enterprise Key Admins" modificar el atributo msds-KeyCredentialLink. | N/D | (OA;CI;RPWP;5b47d60f-6090-40b2-9f37-2a4de88f3063;;Key Admins) (OA;CI;RPWP;5b47d60f-6090-40b2-9f37-2a4de88f3063;;Los administradores de claves de empresa en el dominio raíz, pero en dominios que no son de raíz, han dado lugar a una ACE relativa a un dominio falso con un SID -527 que no se puede resolver) |
| Operación 86: {3a6b3fbf-3168-4312-a10d-dd5b3393952d} | Autoconcederse el CAR DS-Validated-Write-Computer y concederlo también al propietario creador | N/D | (OA;CIIO;SW;9b026da6-0d3c-465c-8bee-5199d7165cba;bf967a86-0de6-11d0-a285-00aa003049e2;PS) (OA;CIIO;SW;9b026da6-0d3c-465c-8bee-5199d7165cba;bf967a86-0de6-11d0-a285-00aa003049e2;CO) |
| Operación 87: {7F950403-0AB3-47F9-9730-5D7B0269F9BD} | Elimine la ACE que concede control total al grupo de administradores de claves de empresa relativo de dominio incorrecto y agregue una ACE que conceda control total al grupo de administradores de claves de empresa. | N/D | Delete (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;Enterprise Key Admins) Add (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;Enterprise Key Admins) |
| Operation 88: {434bb40d-dbc9-4fe7-81d4-d57229f7b080} | Adición de "msDS-ExpirePasswordsOnSmartCardOnlyAccounts" en el objeto de contexto de nomenclatura de dominios y establecimiento del valor predeterminado en FALSE | N/D | N/D |
Los grupos de administradores de claves de empresa y de administradores de claves solo se crean una vez que un controlador de dominio de Windows Server 2016 se promueve y controla el rol FSMO del emulador de PDC.
Windows Server 2012 R2: actualizaciones para todo el dominio
Una vez completadas las operaciones realizadas por domainprep en Windows Server 2012 R2, tras completarse el comando, el atributo revision del objeto CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain se establece en 10.
Windows Server 2012: actualizaciones para todo el dominio
Una vez completadas las operaciones realizadas por domainprep en Windows Server 2012 (operaciones 78, 79, 80 y 81), el atributo revision del objeto CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain se establece en 9.
| Número de operaciones y GUID | Descripción | Atributos | Permisos |
|---|---|---|---|
| Operación 78: {c3c927a6-cc1d-47c0-966b-be8f9b63d991} | Cree un nuevo objeto CN=TPM Devices en la partición de dominio. | Clase de objeto: msTPM-InformationObjectsContainer | N/D |
| Operación 79: {54afcfb9-637a-4251-9f47-4d50e7021211} | Creó una entrada de control de acceso para el servicio de TPM. | N/D | (OA;CIIO;WP;ea1b7b93-5e48-46d5-bc6c-4df4fda78a35;bf967a86-0de6-11d0-a285-00aa003049e2;PS) |
| Operación 80: {f4728883-84dd-483c-9897-274f2ebcf11e} | Concesión del derecho extendido "controlador de dominio clonado" al grupo Controladores de dominio clonables | N/D | (OA;;CR;3e0f7e18-2c7a-4c10-ba82-4d926db99a3e;;domain SID-522) |
| Operation 81: {ff4f9d27-7157-4cb0-80a9-5d6f2b14c8ff} | Conceda ms-DS-Allowed-To-Act-On-Behalf-Of-Other-Identity a la entidad de seguridad propia en todos los objetos. | N/D | (OA;CIOI;RPWP;3f78c3e5-f79a-46bd-a0b8-9d18116ddc79;;PS) |
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de