Mises à jour de schéma à l’échelle du domaine

Article
05/16/2023

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server

Vous pouvez passer en revue l’ensemble de modifications suivant pour vous aider à comprendre et à préparer les mises à jour de schéma effectuées par adprep /domainprep dans Windows Server.

À compter de Windows Server 2012, les commandes Adprep s’exécutent automatiquement en fonction des besoins lors de l’installation d’AD DS. Elles peuvent également être exécutées séparément avant l’installation d’AD DS. Pour plus d’informations, voir Exécution d’Adprep.exe.

Pour plus d’informations sur l’interprétation des chaînes d’entrée de contrôle d’accès (ACE), consultez Chaînes ACE. Pour plus d’informations sur l’interprétation des chaînes d’ID de sécurité (SID), consultez Chaînes SID.

Windows Server (canal semi-annuel) : mises à jour à l’échelle du domaine

Une fois les opérations effectuées par domainprep dans Windows Server 2016 (opération 89), l’attribut revision de l’objet CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain est défini sur 16.

Numéro d’opération et GUID	Description	Autorisations
Opération 89 : {A0C238BA-9E30-4EE6-80A6-43F731E9A5CD}	Supprimez l’ACE accordant le contrôle total aux administrateurs de clé d’entreprise et ajoutez un ACE accordant aux administrateurs de clé d’entreprise le contrôle total sur uniquement l’attribut msdsKeyCredentialLink.	Supprimer (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;Administrateurs de clé d’entreprise) Ajouter (OA;CI;RPWP;5b47d60f-6090-40b2-9f37-2a4de88f3063;;Administrateurs de clé d’entreprise)

Windows Server 2016 : mises à jour à l’échelle du domaine

Une fois les opérations effectuées par domainprep dans Windows Server 2016 (opérations 82-88), l’attribut revision de l’objet CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain est défini sur 15.

Numéro d’opération et GUID	Description	Attributs	Autorisations
Opération 82 : {83C53DA7-427E-47A4-A07A-A324598B88F7}	Créer un conteneur CN=Keys à la racine du domaine	- objectClass : conteneur - description : conteneur par défaut pour les objets d’informations d’identification clés - ShowInAdvancedViewOnly : TRUE	(A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;EA) (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;DA) (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;SY) (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;DD) (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;ED)
Opération 83 : {C81FC9CC-0130-4FD1-B272-634D74818133}	Ajoutez le contrôle total autoriser les ACE au conteneur CN=Keys pour « domain\Key Admins » et « rootdomain\Enterprise Key Admins ».	N/A	(A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;Administrateurs de clés) (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;Administrateurs de clé d’entreprise)
Opération 84 : {E5F9E791-D96D-4FC9-93C9-D53E1DC439BA}	Modifiez l’attribut otherWellKnownObjects pour qu’il pointe vers le conteneur CN=Keys.	- otherWellKnownObjects: B:32:683A24E2E8164BD3AF86AC3C2CF3F981:CN=Keys,%ws	N/A
Opération 85 : {e6d5fd00-385d-4e65-b02d-9da3493ed850}	Modifiez le contrôleur de domaine pour autoriser « domain\Key Admins » et « rootdomain\Enterprise Key Admins » à modifier l’attribut msds-KeyCredentialLink.	N/A	(OA;CI;RPWP;5b47d60f-6090-40b2-9f37-2a4de88f3063;;Administrateurs de clés) (OA;CI;RPWP;5b47d60f-6090-40b2-9f37-2a4de88f3063;;Les administrateurs de clé d’entreprise dans le domaine racine, mais dans les domaines non-racines ont entraîné un ACE relatif au domaine erroné avec un SID non résolu -527)
Opération 86 : {3a6b3fbf-3168-4312-a10d-dd5b3393952d}	Accorder le CAR DS-Validated-Write-Computer au propriétaire du créateur et à lui-même	N/A	(OA;CIIO;SW;9b026da6-0d3c-465c-8bee-5199d7165cba;bf967a86-0de6-11d0-a285-00aa003049e2;PS) (OA;CIIO;SW;9b026da6-0d3c-465c-8bee-5199d7165cba;bf967a86-0de6-11d0-a285-00aa003049e2;CO)
Opération 87 : {7F950403-0AB3-47F9-9730-5D7B0269F9BD}	Supprimez l’ACE qui accorde le contrôle total au groupe Administrateurs de clé d’entreprise relatif au domaine incorrect, puis ajoutez un ACE accordant le contrôle total au groupe Administrateurs de clé d’entreprise.	N/A	Supprimer (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;Administrateurs de clé d’entreprise) Ajouter (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;Administrateurs de clé d’entreprise)
Opération 88 : {434bb40d-dbc9-4fe7-81d4-d57229f7b080}	Ajoutez « msDS-ExpirePasswordsOnSmartCardOnlyAccounts » à l’objet NC de domaine et définissez la valeur par défaut sur FALSE	N/A	N/A

Les groupes Administrateurs de clé d’entreprise et Administrateurs de clés sont créés uniquement après qu’un contrôleur de domaine Windows Server 2016 a été promu et prend le rôle FSMO de l’émulateur PDC.

Windows Server 2012 R2 : mises à jour à l’échelle du domaine

Bien qu’aucune opération ne soit effectuée par domainprep dans Windows Server 2012 R2, une fois la commande terminée, l’attribut revision de l’objet CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain est défini sur 10.

Windows Server 2012 : mises à jour à l’échelle du domaine

Une fois les opérations effectuées par domainprep dans Windows Server 2012 (opérations 78, 79, 80 et 81), l’attribut revision de l’objet CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain est défini sur 9.

Numéro d’opération et GUID	Description	Attributs	Autorisations
Opération 78 : {c3c927a6-cc1d-47c0-966b-be8f9b63d991}	Créez un objet CN=TPM Devices dans la partition Domain.	Classe d’objet : msTPM-InformationObjectsContainer	N/A
Opération 79 : {54afcfb9-637a-4251-9f47-4d50e7021211}	Création d’une entrée de contrôle d’accès pour le service TPM.	N/A	(OA;CIIO;WP;ea1b7b93-5e48-46d5-bc6c-4df4fda78a35;bf967a86-0de6-11d0-a285-00aa003049e2;PS)
Opération 80 : {f4728883-84dd-483c-9897-274f2ebcf11e}	Accordez le droit étendu « Cloner le contrôleur de domaine » au groupe Contrôleurs de domaine clonables	N/A	(OA;;CR;3e0f7e18-2c7a-4c10-ba82-4d926db99a3e;;domain SID-522)
Opération 81 : {ff4f9d27-7157-4cb0-80a9-5d6f2b14c8ff}	Accordez ms-DS-Allowed-To-Act-On-Behalf-Of-Other-Identity à Principal Self sur tous les objets.	N/A	(OA;CIOI;RPWP;3f78c3e5-f79a-46bd-a0b8-9d18116ddc79;;PS)

Partager via