Descripción y actualización del objeto AdminSDHolder de Active Directory

Seleccione idioma Seleccione idioma
Id. de artículo: 232199 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

Resumen

La información de este artículo sólo se aplica a la actualización desde Windows 2000 RC2 (o versiones anteriores) a la versión de Windows 2000. Un cambio se realizó en Windows 2000 RC3 a la lista de control de acceso (ACL) del objeto de Active Directory AdminSDHolder. Este objeto se utiliza para controlar los permisos de cuentas de usuario que son miembros de los grupos Administradores o Domain Administrators integrados.

Cada hora, el controlador de dominio de Windows 2000 que contiene que la función de maestro de operación único flexible (FSMO) del controlador (PDC) de dominio principal compara la ACL en todos los principales de seguridad (usuarios, grupos y cuentas de equipo) presentes en su dominio en Active Directory y están en grupos administrativos con ACL en el siguiente objeto:
CN = AdminSDHolder, CN = System, DC = MyDomain, DC = Com

Reemplazar "DC = MyDomain, DC = Com" de este trazado con el nombre completo (DN) de su dominio.
Si la lista de control de acceso es diferente, se sobrescribe la ACL en el objeto de usuario para reflejar la configuración de seguridad del objeto AdminSDHolder (que incluye deshabilitar la herencia de ACL). Esto impide que estas cuentas administrativas siendo modificado por los usuarios no autorizados si las cuentas se mueven a un contenedor o unidad organizativa en la que ha sido un usuario delega privilegios administrativos para la modificación de cuentas de usuario. Tenga en cuenta que, cuando un usuario se quita del grupo administrativo, el proceso no se invierte y debe cambiarse manualmente.

Nota : utilizar el procedimiento siguiente no es necesario si va a actualizar Microsoft Windows NT 4.0 a la versión de Windows 2000.

Más información

Para corregir esta situación, utilice este procedimiento en un controlador de dominio por dominio:
  1. Instalar las herramientas de soporte de Windows 2000 desde el Windows 2000 Professional o Server CD-ROM. Estas herramientas incluyen una utilidad denominada DSACLS.exe, que puede utilizar para ver, modificar o quitar las entradas de control de acceso en objetos en Active Directory.
  2. Cree un archivo por lotes con el texto siguiente, reemplazando "DC = MyDomain, DC = Com" con el nombre completo (DN) de su dominio):
    DSACLS "cn = adminsdholder, cn = system, dc = mydomain, dc = com" /G "\Everyone:CA;Change contraseña"
    DSACLS "cn = adminsdholder, cn = system, dc = mydomain, dc = com"/G"\Pre-Windows 2000 Compatible Access: RP; información de acceso remoto"
    DSACLS "cn = adminsdholder, cn = system, dc = mydomain, dc = com"/G"\Pre-Windows 2000 Compatible Access: RP; información general"
    DSACLS "cn = adminsdholder, cn = system, dc = mydomain, dc = com"/G"\Pre-Windows 2000 Compatible Access: RP; pertenencia"
    DSACLS "cn = adminsdholder, cn = system, dc = mydomain, dc = com"/G"\Pre-Windows 2000 Compatible Access: RP; información de inicio de sesión"
    DSACLS "cn = adminsdholder, cn = system, dc = mydomain, dc = com"/G"\Pre-Windows 2000 Compatible Access: RP; restricciones de cuenta"
  3. Ejecute el archivo por lotes en el controlador de dominio. Agrega las entradas de control de acceso (ACE) especificadas para el todos y anteriores a Windows 2000 Compatible Access grupos.
  4. En un símbolo del sistema, escriba dsacls cn = adminsdholder, cn = system, dc = mydomain, dc = com, reemplazar "DC = MyDomain, DC = Com" con el nombre completo (DN) de su dominio). Comparar con el siguiente resultado:
    Access list:
    {This object is protected from inheriting permissions from the parent}
    Effective Permissions on this object are:
    Allow NT AUTHORITY\Authenticated Users            SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      LIST CONTENTS
                                                      READ PROPERTY
                                                      LIST OBJECT
    Allow BUILTIN\Administrators                      SPECIAL ACCESS
                                                      DELETE
                                                      READ PERMISSONS
                                                      WRITE PERMISSIONS
                                                      CHANGE OWNERSHIP
                                                      CREATE CHILD
                                                      DELETE CHILD
                                                      LIST CONTENTS
                                                      WRITE SELF
                                                      WRITE PROPERTY
                                                      READ PROPERTY
                                                      LIST OBJECT
                                                      CONTROL ACCESS
    Allow IFRPILOT\Enterprise Admins                  SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      WRITE PERMISSIONS
                                                      CHANGE OWNERSHIP
                                                      CREATE CHILD
                                                      DELETE CHILD
                                                      LIST CONTENTS
                                                      WRITE SELF
                                                      WRITE PROPERTY
                                                      READ PROPERTY
                                                      LIST OBJECT
                                                      CONTROL ACCESS
    Allow FAA\Domain Admins                           SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      WRITE PERMISSIONS
                                                      CHANGE OWNERSHIP
                                                      CREATE CHILD
                                                      DELETE CHILD
                                                      LIST CONTENTS
                                                      WRITE SELF
                                                      WRITE PROPERTY
                                                      READ PROPERTY
                                                      LIST OBJECT
                                                      CONTROL ACCESS
    Allow NT AUTHORITY\SYSTEM                         FULL CONTROL
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      LIST CONTENTS
                                                      READ PROPERTY
                                                      LIST OBJECT
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Remote Access Information
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for General Information
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Group Membership
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Account Restrictions
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Logon Information
                                                      READ PROPERTY
    Allow Everyone                                    Change Password
    					

Propiedades

Id. de artículo: 232199 - Última revisión: viernes, 23 de febrero de 2007 - Versión: 3.3
La información de este artículo se refiere a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Palabras clave: 
kbmt kbenv kbinfo KB232199 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 232199

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com