전체 도메인 스키마 업데이트

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server

다음 변경 내용을 검토하여 Windows Server에서 adprep /domainprep에서 수행하는 스키마 업데이트를 이해하고 준비할 수 있습니다.

Windows Server 2012부터 Adprep 명령은 AD DS 설치 중에 필요에 따라 자동으로 실행됩니다. 또한 AD DS 설치 전에 별도로 실행할 수도 있습니다. 자세한 내용은 Adprep.exe 실행을 참조하세요.

ACE(액세스 제어 항목) 문자열을 해석하는 방법에 대한 자세한 내용은 ACE 문자열을 참조 하세요. SID(보안 ID) 문자열을 해석하는 방법에 대한 자세한 내용은 SID 문자열을 참조 하세요.

Windows Server(반기 채널): 도메인 전체 업데이트

Windows Server 2016(작업 89)에서 domainprep에서 수행하는 작업이 완료되면 CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain 개체의 수정 특성이 16으로 설정됩니다.

작업 번호 및 GUID	설명	사용 권한
작업 89: {A0C238BA-9E30-4EE6-80A6-43F731E9A5CD}	엔터프라이즈 키 관리자에게 모든 권한을 부여하는 ACE를 삭제하고 msdsKeyCredentialLink 특성에 대한 모든 권한을 Enterprise Key Admins에 부여하는 ACE를 추가합니다.	삭제(A; CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;; Enterprise 키 관리자) 추가(OA; CI;RPWP; 5b47d60f-6090-40b2-9f37-2a4de88f3063;; Enterprise 키 관리자)

Windows Server 2016: 도메인 전체 업데이트

Windows Server 2016(작업 82-88)에서 domainprep에서 수행하는 작업이 완료되면 CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain 개체의 수정 특성이 15으로 설정됩니다.

작업 번호 및 GUID	설명	특성	사용 권한
작업 82: {83C53DA7-427E-47A4-A07A-A324598B88F7}	도메인 루트에 CN=Keys 컨테이너 만들기	- objectClass: container - 설명: 키 자격 증명 개체의 기본 컨테이너 - ShowInAdvancedViewOnly: TRUE	(A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;EA) (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;DA) (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;SY) (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;DD) (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;ED)
작업 83: {C81FC9CC-0130-4FD1-B272-634D74818133}	모든 권한을 추가하면 "domain\Key Admins" 및 "rootdomain\Enterprise Key Admins"에 대한 CN=Keys 컨테이너에 aces가 허용됩니다.	해당 없음	(A; CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;; 키 관리자) (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;Enterprise 키 관리자)
작업 84: {E5F9E791-D96D-4FC9-93C9-D53E1DC439BA}	CN=Keys 컨테이너를 가리키도록 otherWellKnownObjects 특성을 수정합니다.	- otherWellKnownObjects: B:32:683A24E2E8164BD3AF86AC3C2CF3F981:CN=Keys,%ws	해당 없음
작업 85: {e6d5fd00-385d-4e65-b02d-9da3493ed850}	"domain\Key Admins" 및 "rootdomain\Enterprise Key Admins"가 msds-KeyCredentialLink 특성을 수정하도록 허용하도록 도메인 NC를 수정합니다.	해당 없음	(OA; CI;RPWP; 5b47d60f-6090-40b2-9f37-2a4de88f3063;; 키 관리자) (OA; CI;RPWP; 5b47d60f-6090-40b2-9f37-2a4de88f3063;; 루트 도메인의 엔터프라이즈 키 관리자이지만 루트가 아닌 도메인에서는 확인할 수 없는 -527 SID를 사용하는 가짜 도메인 상대 ACE가 발생했습니다.
작업 86: {3a6b3fbf-3168-4312-a10d-dd5b3393952d}	작성자 소유자 및 자체에게 DS-Validated-Write-Computer CAR 부여	해당 없음	(OA;CIIO;SW;9b026da6-0d3c-465c-8bee-5199d7165cba;bf967a86-0de6-11d0-a285-00aa003049e2;PS) (OA;CIIO;SW;9b026da6-0d3c-465c-8bee-5199d7165cba;bf967a86-0de6-11d0-a285-00aa003049e2;CO)
작업 87: {7F950403-0AB3-47F9-9730-5D7B0269F9BD}	잘못된 도메인 상대 Enterprise Key Admins 그룹에 대한 모든 권한을 부여하는 ACE를 삭제하고 ENTERPRISE 키 관리자 그룹에 모든 권한을 부여하는 ACE를 추가합니다.	해당 없음	삭제(A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;Enterprise 키 관리자) 추가 (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;Enterprise 키 관리자)
작업 88: {434bb40d-dbc9-4fe7-81d4-d57229f7b080}	도메인 NC 개체에 "msDS-ExpirePasswordsOnSmartCardOnlyAccounts"를 추가하고 기본값을 FALSE로 설정합니다.	해당 없음	해당 없음

엔터프라이즈 키 관리자 및 키 관리자 그룹은 Windows Server 2016 도메인 컨트롤러가 승격되고 PDC 에뮬레이터 FSMO 역할을 인수한 후에만 만들어집니다.

Windows Server 2012 R2: 도메인 전체 업데이트

Windows Server 2012 R2에서는 domainprep에서 작업을 수행하지 않지만 명령이 완료되면 CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain 개체에 대한 수정 특성이 10으로 설정됩니다.

Windows Server 2012: 도메인 전체 업데이트

Windows Server 2012(작업 78, 79, 80 및 81)에서 domainprep에서 수행하는 작업이 완료되면 CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain 개체의 수정 특성이 9으로 설정됩니다.

작업 번호 및 GUID	설명	특성	사용 권한
작업 78: {c3c927a6-cc1d-47c0-966b-be8f9b63d991}	도메인 파티션에 새 개체 CN=TPM 디바이스를 만듭니다.	개체 클래스: msTPM-InformationObjectsContainer	해당 없음
작업 79: {54afcfb9-637a-4251-9f47-4d50e7021211}	TPM 서비스에 대한 액세스 제어 항목을 만들었습니다.	해당 없음	(OA;CIIO;WP;ea1b7b93-5e48-46d5-bc6c-4df4fda78a35;bf967a86-0de6-11d0-a285-00aa003049e2;PS)
작업 80: {f4728883-84dd-483c-9897-274f2ebcf11e}	복제 가능한 도메인 컨트롤러 그룹에 "DC 복제" 확장 권한 부여	해당 없음	(OA;;CR;3e0f7e18-2c7a-4c10-ba82-4d926db99a3e;;domain SID-522)
작업 81: {ff4f9d27-7157-4cb0-80a9-5d6f2b14c8ff}	모든 개체에 대해 ms-DS 허용-작업-On-Behalf-of-Other-Identity를 보안 주체 자체에 부여합니다.	해당 없음	(OA;CIOI;RPWP;3f78c3e5-f79a-46bd-a0b8-9d18116ddc79;;PS)