Síntomas
En Windows Server 2016, ejecute el comando ADPREP /DOMAINPREP para conceder acceso a dos nuevos principales de seguridad que tienen los identificadores relativos (RID) 526 y 527. Estos valores hacen referencia a los grupos de seguridad Administradores de clave y clave de administradores. En este escenario, no se puede resolver el RID 526 y 527 a nombres descriptivos hasta que un controlador de dominio de Windows Server 2016 posee la función de operación de maestro único Flexible (FSMO) del controlador (PDC) de dominio principal.
Además, ambos grupos se dan de lectura y acceso de escritura para el atributo ms-DS-clave-credencial-Link en todos los objetos secundarios de la raíz del dominio.
El grupo RID 527/Enterprise clave administradores tiene control total de la cabeza del contexto (CN) y todos los objetos subordinados en el dominio raíz del bosque y todos los dominios secundarios de nombres de dominio.
Causa
Windows Server 2016 presenta a nuevos principales de seguridad. El comando ADPREP /DOMAINPREP define permisos en particiones de Active Directory para distintos principales de seguridad
Se muestran los nombres descriptivos para entidades de seguridad cuando un equipo que ejecuta el versión del sistema operativo (SO) que les introducido está implementado en funciones clave en un bosque de Active Directory.
Con respecto a los permisos predeterminados asignados a los grupos de administración de claves, la intención es para que ese grupo de haber delegado el acceso de escritura en el atributo msdsKeyCredentialLink, que es idéntico para el acceso del grupo Administradores de dominio clave.
Solución
Para que la seguridad 526 y 527 identificadores resolución nombres descriptivos, la función FSMO de PDC en un controlador de dominio de Windows Server 2016 de host. Para ello, puede instalar un controlador de dominio de Windows Server de 2016 como el primer controlador de dominio en un bosque nuevo o transferir la función FSMO de PDC a un controlador de dominio de Windows Server de 2016.