ADprep erforderlichen Berechtigungen fuer Schemaerweiterungen

ADprep erforderlichen Berechtigungen für Schemaerweiterungen

AD-Schemaerweiterung

Das Active Directory Schema definiert die Datenbank des Verzeichnisdienstes. In der Active-Directory-Datenbank werden Datensätze als Objekte bezeichnet und deren Eigenschaften als Attribute. Das Schema legt also fest, welche Objektklassen und Attribute im AD existieren.

Ermittlung der AD-SchemaVersion

Mithilfe von ADSEDIT finden wir die Informationen an folgende Stellen:

CN=ActiveDirectoryUpdate,CN=ForestUpdates,CN=Configuration,DC=ForestRootDomain
CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain
CN=ActiveDirectoryRodcUpdate,CN=ForestUpdates,CN=Configuration,DC=ForestRootDomain

In der Registry finden wir die Informationen an dieser Stelle:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NTDS\Parameters

FSMO-Rollen

  • Schemamaster
    • Ein Schemamaster pro Gesamtstruktur. Der Inhaber der FSMO-Funktion Schemamaster ist der Domänencontroller, der für das Ausführen von Aktualisierungen im Verzeichnisschema zuständig ist.
  • Domänennamen-Master
    • Ein Domänennamen-Master pro Gesamtstruktur. Der Inhaber der FSMO-Funktion Domänennamen-Master ist der Domänencontroller, der für das Ausführen von Änderungen im gesamtstrukturübergreifenden Domänennamespace des Verzeichnisses zuständig ist.
  • Infrastrukturmaster
    • Ein Infrastrukturmaster pro Domäne. Der Inhaber der FSMO-Funktion Infrastruktur ist der DC, der dafür verantwortlich ist, die SID eines Objekts und dessen DN in einer domänenübergreifenden Referenz zu aktualisieren.
  • RID-Master
    • Ein RID-Master pro Domäne. Der Inhaber der FSMO-Funktion RID-Master ist der DC, der für das Verarbeiten von Anforderungen für den RID-Pool von allen DCs in einer bestimmten Domäne zuständig ist.
  • PDC-Emulator
    • Ein PDC-Emulator pro Domäne. Der Inhaber der FSMO-Funktion PDC-Emulator ist ein Windows 2000-Domänencontroller, der sich gegenüber Arbeitsstationen, Mitgliedsservern und Domänencontrollern, auf denen frühere Versionen von Windows ausgeführt werden, als der primäre Domänencontroller (PDC) ausgibt. Er ist auch der Hauptsuchdienst der Domäne und für Kennwortabweichungen verantwortlich.

ADprep erforderlichen Berechtigungen für Schemaerweiterungen

Vor jeder Erweiterung sollte das AD zuvor einem Health-Check unterzogen werden.

ADprep erforderlichen Berechtigungen für Schemaerweiterungen

BefehlBerechtigungDCLaufzeitWann und wie oft?
adprep /forestprepSchema,Domänen und Enterprise AdminSchema-Master3-5 MinutenEinmalig für jedem Forest
adprep /domainprepDomänen-AdminInfrastruktur-MasterSekundenEinmalig für jeder Domäne
adprep /rodcprepDomänen-AdminDomänennamen-MasterSekundenEinmalig für jeden Forest
adprep /gpprepDomänen-AdminInfrastruktur-MasterSekundenEinmaling in jeder Domäne eines Forest