Los nombres descriptivos de los grupos Administradores de clave no se muestran en Windows Server 2016

Síntomas

En Windows Server 2016, ejecute el comando ADPREP /DOMAINPREP para conceder acceso a dos nuevos principales de seguridad que tienen los identificadores relativos (RID) 526 y 527. Estos valores hacen referencia a los grupos de seguridad Administradores de clave y clave de administradores. En este escenario, no se puede resolver el RID 526 y 527 a nombres descriptivos hasta que un controlador de dominio de Windows Server 2016 posee la función de operación de maestro único Flexible (FSMO) del controlador (PDC) de dominio principal.

Propiedades de seguridad

Además, ambos grupos se dan de lectura y acceso de escritura para el atributo ms-DS-clave-credencial-Link en todos los objetos secundarios de la raíz del dominio.

El grupo RID 527/Enterprise clave administradores tiene control total de la cabeza del contexto (CN) y todos los objetos subordinados en el dominio raíz del bosque y todos los dominios secundarios de nombres de dominio.

2 captura de pantalla de las propiedades de seguridad

Causa

Windows Server 2016 presenta a nuevos principales de seguridad. El comando ADPREP /DOMAINPREP define permisos en particiones de Active Directory para distintos principales de seguridad

Se muestran los nombres descriptivos para entidades de seguridad cuando un equipo que ejecuta el versión del sistema operativo (SO) que les introducido está implementado en funciones clave en un bosque de Active Directory.

Con respecto a los permisos predeterminados asignados a los grupos de administración de claves, la intención es para que ese grupo de haber delegado el acceso de escritura en el atributo msdsKeyCredentialLink, que es idéntico para el acceso del grupo Administradores de dominio clave.
 

Solución

Para que la seguridad 526 y 527 identificadores resolución nombres descriptivos, la función FSMO de PDC en un controlador de dominio de Windows Server 2016 de host. Para ello, puede instalar un controlador de dominio de Windows Server de 2016 como el primer controlador de dominio en un bosque nuevo o transferir la función FSMO de PDC a un controlador de dominio de Windows Server de 2016.

¿Necesita más ayuda?

Ampliar sus conocimientos
Explorar los cursos
Obtener nuevas características primero
Unirse a Microsoft Insider

¿Le ha sido útil esta información?

¡Gracias por sus comentarios!

Gracias por sus comentarios. Quizá le interese ponerse en contacto con uno de nuestros agentes de soporte de Office.

×