Popis a aktualizovat objekt AdminSDHolder služby Active Directory

Překlady článku Překlady článku
ID článku: 232199 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Souhrn

Informace v tomto článku platí pouze pro inovace ze systému Windows 2000 RC2 (nebo dřívější sestavení) vydanou verzi systému Windows 2000. Byla provedena změna v systému Windows 2000 RC3 seznamu řízení přístupu (ACL) z objekt AdminSDHolder služby Active Directory. Tento objekt se používá k řízení oprávnění uživatelských účtů, které jsou členy vestavěné správci nebo Skupiny správců domény.

Každých Hodina, řadič domény systému Windows 2000, který má primární domény role FSMO (Flexible Single Master operace) řadič porovná seznam ACL zabezpečení všech zaregistrovaných objektů (uživatele, skupiny a účty počítačů) představují pro jeho domény služby Active Directory a zda jsou skupiny pro správu proti ACL v následující objekt:
CN = AdminSDHolder, CN = System, DC =DomenaDC =Com

Nahradit "DC =DomenaDC =Com"v této cestě s rozlišující název (DN) v doméně.
Pokud seznam ACL liší, je objekt uživatele do seznamu řízení přístupu přepsat tak, aby odpovídaly nastavení zabezpečení objekt AdminSDHolder (který zahrnuje zakázat dědičnost ACL). Tím je zajištěna ochrana těchto správních účty způsobenými neoprávněným uživatelům v případě, že účty jsou přesunuty do kontejner nebo organizační jednotku, ve kterém má uživatel přidělena oprávnění pro změnu uživatelských účtů. Všimněte si, že při Odebrání uživatele ze skupiny pro správu, proces nebyly stornovány. a musí být ručně změněn.

POZNÁMKA:: Pomocí následujícího postupu není potřeba se upgrade systému Microsoft Windows NT 4.0 na vydanou verzi systému Windows 2000.

Další informace

Chcete-li tuto situaci napravit, použijte tento postup v jedné doméně. řadič pro doménu:
  1. Nainstalujte nástroje podpory systému Windows 2000 ze systému Windows CD-ROM 2000 Professional nebo Server. Tyto nástroje zahrnují nástroj s názvem DSACLS.exe, které slouží k zobrazení, změna nebo odebrání položky řízení přístupu u objektů v adresáři Active Directory.
  2. Vytvořte dávkový soubor s následující text, nahrazení "DC =DomenaDC =Com"s rozlišující název (DN) domény):
    dsacls "cn = adminsdholder, cn = system, dc =domena, dc =com"/G" \Everyone:CA;Změnit heslo"
    dsacls "cn = adminsdholder, cn = system, dc =domena, dc =com"/G" RP: \Pre-Windows 2000 kompatibilní přístup;Informace o vzdáleném přístupu"
    dsacls "cn = adminsdholder, cn = system, dc =domena, dc =com"/G" RP: \Pre-Windows 2000 kompatibilní přístup;Obecné informace"
    dsacls "cn = adminsdholder, cn = system, dc =domena, dc =com"/G" RP: \Pre-Windows 2000 kompatibilní přístup;Členství ve skupině"
    dsacls "cn = adminsdholder, cn = system, dc =domena, dc =com"/G" RP: \Pre-Windows 2000 kompatibilní přístup;Přihlašovací informace"
    dsacls "cn = adminsdholder, cn = system, dc =domena, dc =com"/G" RP: \Pre-Windows 2000 kompatibilní přístup;Omezení účtu"
  3. Spusťte dávkový soubor v řadiči domény. Přidá zadané položky řízení přístupu (ACE) Everyone a starší verze systému Windows 2000 Kompatibilní přístupové skupiny.
  4. Na příkazovém řádku zadejte následující příkaz: dsacls CN = adminsdholder, cn = system, dc =domena, dc =com, nahrazení "DC =DomenaDC =Com"s rozlišující název (DN) vaší domény). Porovnejte je následující výstup:
    Access list:
    {This object is protected from inheriting permissions from the parent}
    Effective Permissions on this object are:
    Allow NT AUTHORITY\Authenticated Users            SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      LIST CONTENTS
                                                      READ PROPERTY
                                                      LIST OBJECT
    Allow BUILTIN\Administrators                      SPECIAL ACCESS
                                                      DELETE
                                                      READ PERMISSONS
                                                      WRITE PERMISSIONS
                                                      CHANGE OWNERSHIP
                                                      CREATE CHILD
                                                      DELETE CHILD
                                                      LIST CONTENTS
                                                      WRITE SELF
                                                      WRITE PROPERTY
                                                      READ PROPERTY
                                                      LIST OBJECT
                                                      CONTROL ACCESS
    Allow IFRPILOT\Enterprise Admins                  SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      WRITE PERMISSIONS
                                                      CHANGE OWNERSHIP
                                                      CREATE CHILD
                                                      DELETE CHILD
                                                      LIST CONTENTS
                                                      WRITE SELF
                                                      WRITE PROPERTY
                                                      READ PROPERTY
                                                      LIST OBJECT
                                                      CONTROL ACCESS
    Allow FAA\Domain Admins                           SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      WRITE PERMISSIONS
                                                      CHANGE OWNERSHIP
                                                      CREATE CHILD
                                                      DELETE CHILD
                                                      LIST CONTENTS
                                                      WRITE SELF
                                                      WRITE PROPERTY
                                                      READ PROPERTY
                                                      LIST OBJECT
                                                      CONTROL ACCESS
    Allow NT AUTHORITY\SYSTEM                         FULL CONTROL
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      LIST CONTENTS
                                                      READ PROPERTY
                                                      LIST OBJECT
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Remote Access Information
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for General Information
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Group Membership
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Account Restrictions
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Logon Information
                                                      READ PROPERTY
    Allow Everyone                                    Change Password
    					

Vlastnosti

ID článku: 232199 - Poslední aktualizace: 26. dubna 2011 - Revize: 5.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Klíčová slova: 
kbenv kbinfo kbmt KB232199 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:232199

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com