Beschreibung und Version der Active Directory AdminSDHolder Object

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 232199 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Zusammenfassung

Die Informationen in diesem Artikel gelten nur für das Aktualisieren von Windows 2000 RC2 (oder früheren Builds) auf die freigegebene Version von Windows 2000. Die Zugriffssteuerungsliste (ACL) des Objekts AdminSDHolder Active Directory wurde in Windows 2000 RC3 eine Änderung vorgenommen. Dieses Objekt wird zum steuern die Berechtigungen von Benutzerkonten, die Mitglieder der integrierten Gruppen Administratoren oder Domänenadministratoren sind.

Stündlich, der Windows 2000-Domänencontroller, der die primäre Domänenfunktion-Controller (PDC) Flexible Single Master Operation (FSMO) die ACL für alle Sicherheitsprinzipale (Benutzer, Gruppen und Computerkonten) in Active Directory für seine Domäne vorhanden vergleicht enthält sind administrative Gruppen mit der ZUGRIFFSSTEUERUNGSLISTE für das folgende Objekt:
CN = AdminSDHolder, CN = System, DC = MyDomain, DC = Com

Ersetzen Sie "DC = MyDomain, DC = Com" in diesem Pfad mit dem definierten Namen (DN) Ihrer Domäne.
Wenn die ACL unterschiedlich ist, wird die ACL für Objekt für den Benutzer entsprechend die Sicherheitseinstellungen des AdminSDHolder-Objekts (einschließlich ACL-Vererbung deaktivieren) überschrieben. Dies verhindert, dass diese administrativen Konten durch nicht autorisierte Benutzer geändert wird, wenn die Konten in einem Container verschoben werden oder in dem ein Benutzer wurde Organisationseinheit Administratorrechte für die Änderung von Benutzerkonten delegiert. Beachten Sie, dass wenn ein Benutzer aus der administrativen Gruppe entfernt wird, der Vorgang nicht rückgängig gemacht und manuell geändert werden muss.

Hinweis : verwenden die folgende Prozedur ist nicht erforderlich, wenn Sie Microsoft Windows NT 4.0 auf die freigegebene Version von Windows 2000 aktualisieren.

Weitere Informationen

Verwenden Sie um dieses Problem zu beheben, das folgende Verfahren auf einem Domänencontroller pro Domäne:
  1. Installieren Sie Windows 2000-Supporttools von der Windows 2000 Professional oder Server-CD. Diese Tools umfassen ein Dienstprogramm namens DSACLS.exe, das Sie zum Anzeigen, ändern oder Entfernen von Zugriffssteuerungseinträgen für Objekte in Active Directory verwenden können.
  2. Erstellen Sie eine Batchdatei mit den folgenden Text ersetzen "DC = MyDomain, DC = Com" mit dem definierten Namen (DN) Ihrer Domäne):
    DSACLS "Cn = Adminsdholder, Cn = System, dc = mydomain, dc = com" g "\Everyone:CA;Change Kennwort"
    DSACLS "Cn = Adminsdholder, Cn = System, dc = mydomain, dc = com"g"\Pre-Windows 2000 Compatible Access: RP; Informationen zu Remote Access"
    DSACLS "Cn = Adminsdholder, Cn = System, dc = mydomain, dc = com"g"\Pre-Windows 2000 Compatible Access: RP; allgemeine Informationen"
    DSACLS "Cn = Adminsdholder, Cn = System, dc = mydomain, dc = com"g"\Pre-Windows 2000 Compatible Access: RP; Gruppenmitgliedschaft"
    DSACLS "Cn = Adminsdholder, Cn = System, dc = mydomain, dc = com"g"\Pre-Windows 2000 Compatible Access: RP; Anmeldeinformationen"
    DSACLS "Cn = Adminsdholder, Cn = System, dc = mydomain, dc = com"g"\Pre-Windows 2000 Compatible Access: RP; Kontenbeschränkungen"
  3. Führen Sie die Batchdatei auf dem Domänencontroller. Er fügt der angegebenen Zugriffssteuerung (ACEs) für die Gruppe Jeder und älter als Windows 2000 kompatibler Zugriff Gruppen.
  4. Geben Sie an einer Eingabeaufforderung Dsacls Cn = Adminsdholder, Cn = System, dc = mydomain, dc = com, ersetzen "DC = MyDomain, DC = Com" mit dem definierten Namen (DN) Ihrer Domäne). Mit der folgenden Ausgabe vergleichen:
    Access list:
    {This object is protected from inheriting permissions from the parent}
    Effective Permissions on this object are:
    Allow NT AUTHORITY\Authenticated Users            SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      LIST CONTENTS
                                                      READ PROPERTY
                                                      LIST OBJECT
    Allow BUILTIN\Administrators                      SPECIAL ACCESS
                                                      DELETE
                                                      READ PERMISSONS
                                                      WRITE PERMISSIONS
                                                      CHANGE OWNERSHIP
                                                      CREATE CHILD
                                                      DELETE CHILD
                                                      LIST CONTENTS
                                                      WRITE SELF
                                                      WRITE PROPERTY
                                                      READ PROPERTY
                                                      LIST OBJECT
                                                      CONTROL ACCESS
    Allow IFRPILOT\Enterprise Admins                  SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      WRITE PERMISSIONS
                                                      CHANGE OWNERSHIP
                                                      CREATE CHILD
                                                      DELETE CHILD
                                                      LIST CONTENTS
                                                      WRITE SELF
                                                      WRITE PROPERTY
                                                      READ PROPERTY
                                                      LIST OBJECT
                                                      CONTROL ACCESS
    Allow FAA\Domain Admins                           SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      WRITE PERMISSIONS
                                                      CHANGE OWNERSHIP
                                                      CREATE CHILD
                                                      DELETE CHILD
                                                      LIST CONTENTS
                                                      WRITE SELF
                                                      WRITE PROPERTY
                                                      READ PROPERTY
                                                      LIST OBJECT
                                                      CONTROL ACCESS
    Allow NT AUTHORITY\SYSTEM                         FULL CONTROL
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      LIST CONTENTS
                                                      READ PROPERTY
                                                      LIST OBJECT
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Remote Access Information
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for General Information
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Group Membership
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Account Restrictions
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Logon Information
                                                      READ PROPERTY
    Allow Everyone                                    Change Password
    					

Eigenschaften

Artikel-ID: 232199 - Geändert am: Freitag, 23. Februar 2007 - Version: 3.3
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Keywords: 
kbmt kbenv kbinfo KB232199 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 232199
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com