Aggiornamenti dello schema a livello di dominio
Si applica a: Windows Server 2022, Windows Server 2019, Windows Server
È possibile esaminare il set di modifiche seguente per comprendere e preparare gli aggiornamenti dello schema eseguiti da adprep /domainprep in Windows Server.
A partire da Windows Server 2012, i comandi Adprep vengono eseguiti automaticamente in base alle esigenze durante l'installazione di Active Directory Domain Services. Possono anche essere eseguiti separatamente prima dell'installazione di Active Directory Domain Services. Per altre informazioni, vedere Esecuzione di Adprep.exe.
Per altre informazioni su come interpretare le stringhe della voce di controllo di accesso (ACE), vedere Stringhe della voce di controllo di accesso (ACE). Per altre informazioni su come interpretare le stringhe SID (Security ID), vedere stringhe SID.
Windows Server (canale semestrale): Aggiornamenti a livello di dominio
Al termine delle operazioni eseguite da domainprep in Windows Server 2016 (operazione 89), l'attributo revision per l'oggetto CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain è impostato su 16.
| Numeri di operazioni e GUID | Descrizione | Autorizzazioni |
|---|---|---|
| Operazione 89: {A0C238BA-9E30-4EE6-80A6-43F731E9A5CD} | Elimina la voce di controllo di accesso che concede il controllo completo a Enterprise Key Admins e aggiunge una voce di controllo di accesso che concede il controllo completo a Enterprise Key Admins solo sull'attributo msdsKeyCredentialLink. | Elimina (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;Enterprise Key Admins) Aggiunge (OA;CI;RPWP;5b47d60f-6090-40b2-9f37-2a4de88f3063;;Enterprise Key Admins) |
Windows Server 2016: Aggiornamenti a livello di dominio
Al termine delle operazioni eseguite da domainprep in Windows Server 2016 (operazioni 82-88), l'attributo revision per l'oggetto CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain è impostato su 15.
| Numeri di operazioni e GUID | Descrizione | Attributi | Autorizzazioni |
|---|---|---|---|
| Operazione 82: {83C53DA7-427E-47A4-A07A-A324598B88F7} | Crea un contenitore CN=Keys nella radice del dominio | - classe dell'oggetto: contenitore - descrizione: contenitore predefinito per gli oggetti credenziali delle chiavi - ShowInAdvancedViewOnly: TRUE |
(A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;EA) (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;DA) (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;SY) (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;DD) (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;ED) |
| Operazione 83: {C81FC9CC-0130-4FD1-B272-634D74818133} | Aggiunge le voci di controllo di accesso per consentire il controllo completo al contenitore CN=Keys per "domain\Key Admins" e "rootdomain\Enterprise Key Admins". | N/D | (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;Key Admins) (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;Enterprise Key Admins) |
| Operazione 84: {E5F9E791-D96D-4FC9-93C9-D53E1DC439BA} | Modifica l'attributo otherWellKnownObjects affinché punti al contenitore CN=Keys. | - otherWellKnownObjects: B:32:683A24E2E8164BD3AF86AC3C2CF3F981:CN=Keys,%ws | N/D |
| Operazione 85: {e6d5fd00-385d-4e65-b02d-9da3493ed850} | Modifica il controller di rete del dominio per consentire "domain\Key Admins" e "rootdomain\Enterprise Key Admins" per modificare l'attributo msds-KeyCredentialLink. | N/D | (OA;CI;RPWP;5b47d60f-6090-40b2-9f37-2a4de88f3063;;Key Admins) (OA;CI;RPWP;5b47d60f-6090-40b2-9f37-2a4de88f3063;;Enterprise Key Admins nel dominio radice, ma nei domini non radice ha restituito una voce di controllo di accesso relativa al dominio fittizia con un SID -527 non risolvibile) |
| Operazione 86: {3a6b3fbf-3168-4312-a10d-dd5b3393952d} | Concede il diritto di controllo dell'accesso DS-Validated-Write-Computer al proprietario e a se stessi | N/D | (OA;CIIO;SW;9b026da6-0d3c-465c-8bee-5199d7165cba;bf967a86-0de6-11d0-a285-00aa003049e2;PS) (OA;CIIO;SW;9b026da6-0d3c-465c-8bee-5199d7165cba;bf967a86-0de6-11d0-a285-00aa003049e2;CO) |
| Operazione 87: {7F950403-0AB3-47F9-9730-5D7B0269F9BD} | Elimina la voce di controllo di accesso che concede il controllo completo al gruppo Enterprise Key Admins relativo al dominio non corretto e aggiunge una voce di controllo di accesso che concede il controllo completo al gruppo Enterprise Key Admins. | N/D | Elimina (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;Enterprise Key Admins) Aggiunge (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;Enterprise Key Admins) |
| Operazione 88: {434bb40d-dbc9-4fe7-81d4-d57229f7b080} | Aggiunge "msDS-ExpirePasswordsOnSmartCardOnlyAccounts" nell'oggetto controller di rete del dominio e imposta il valore predefinito su FALSE | N/D | N/D |
I gruppi Enterprise Key Admins e Key Admins vengono creati solo dopo che un controller di dominio di Windows Server 2016 viene alzato di livello e assume il ruolo FSMO dell'emulatore PDC.
Windows Server 2012 R2: Aggiornamenti a livello di dominio
Anche se domainprep non esegue alcuna operazione in Windows Server 2012 R2, al termine del comando l'attributo revision per l'oggetto CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain è impostato su 10.
Windows Server 2012: Aggiornamenti a livello di dominio
Al termine delle operazioni eseguite da domainprep in Windows Server 2012 (operazioni 78, 79, 80 e 81), l'attributo revision per l'oggetto CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain è impostato su 9.
| Numeri di operazioni e GUID | Descrizione | Attributi | Autorizzazioni |
|---|---|---|---|
| Operazione 78: {c3c927a6-cc1d-47c0-966b-be8f9b63d991} | Crea un nuovo oggetto CN=TPM Devices nella partizione dominio. | Classe dell'oggetto: msTPM-InformationObjectsContainer | N/D |
| Operazione 79: {54afcfb9-637a-4251-9f47-4d50e7021211} | Crea una voce di controllo di accesso per il servizio TPM. | N/D | (OA;CIIO;WP;ea1b7b93-5e48-46d5-bc6c-4df4fda78a35;bf967a86-0de6-11d0-a285-00aa003049e2;PS) |
| Operazione 80: {f4728883-84dd-483c-9897-274f2ebcf11e} | Concede il diritto "Clona controller di dominio" esteso al gruppo controller di dominio clonabili | N/D | (OA;;CR;3e0f7e18-2c7a-4c10-ba82-4d926db99a3e;;SID dominio-522) |
| Operazione 81: {ff4f9d27-7157-4cb0-80a9-5d6f2b14c8ff} | Concede ms-DS-Allowed-To-Act-On-Behalf-Of-Other-Identity all'utente corrente dell'entità di sicurezza su tutti gli oggetti. | N/D | (OA;CIOI;RPWP;3f78c3e5-f79a-46bd-a0b8-9d18116ddc79;;PS) |
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per