Description et mise à jour de l'objet AdminSDHolder dans Active Directory

Traductions disponibles Traductions disponibles
Numéro d'article: 232199 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Résumé

Les informations de cet article s'appliquent uniquement à une mise à niveau de Windows 2000 RC2 (ou versions antérieures) vers la version finale de Windows 2000. Une modification a été apportée dans Windows 2000 RC3 à la liste de contrôle d'accès (ACL) de l'objet Active Directory AdminSDHolder. Cet objet est utilisé pour contrôler les autorisations des comptes d'utilisateurs qui sont membres des groupes Administrateurs ou Administrateurs de domaines intégrés.

Chaque heure, le contrôleur de domaine Windows 2000 qui joue le rôle FSMO (Flexible Single Master Operation) du contrôleur principal de domaine compare la liste de contrôle d'accès sur toutes le entités de sécurité (comptes d'utilisateurs, de groupes et d'ordinateurs) présents pour son domaine dans Active Directory et qui se trouvent dans des groupes d'administration de la liste de contrôle d'accès sur l'objet suivant :
CN=AdminSDHolder,CN=System,DC=MyDomain,DC=Com

Remplacez "DC=MyDomain,DC=Com" dans ce chemin par le nom unique (DN) de votre domaine.
Si la liste de contrôle d'accès est différente, celle de l'objet utilisateur est remplacée pour refléter les paramètres de sécurité de l'objet AdminSDHolder (lequel désactive l'héritage de la liste de contrôle d'accès). Cela protège ces comptes d'administrateur contre toute modification par des utilisateurs non autorisés si les comptes sont déplacés vers un conteneur ou une unité d'organisation dans lesquels un utilisateur dispose de droits d'administration lui permettant de modifier les comptes d'utilisateur. Notez que lorsqu'un utilisateur est supprimé du groupe d'administration, le processus n'est pas inversé et il doit être modifié manuellement.

REMARQUE La procédure suivante n'est pas obligatoire si vous effectuez une mise à niveau de Microsoft Windows NT 4.0 vers la version finale de Windows 2000.

Plus d'informations

Pour corriger cette situation, utilisez cette procédure sur un contrôleur de domaine par domaine :
  1. Installez les outils de support de Windows 2000 à partir du CD-ROM Windows 2000 Professionnel ou Windows 2000 Server. Ces outils incluent un utilitaire Dsacls.exe que vous pouvez utiliser pour afficher, modifier ou supprimer des entrées de contrôle d'accès sur des objets d'Active Directory.
  2. Créez un fichier de commandes comportant le texte suivant, en remplaçant « DC=MyDomain,DC=Com » par le nom unique (DN) de votre domaine :
    dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\Everyone:CA;Change Password"
    dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\Pre-Windows 2000 Compatible Access:RP;Remote Access Information"
    dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\Pre-Windows 2000 Compatible Access:RP;General Information"
    dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\Pre-Windows 2000 Compatible Access:RP;Group Membership"
    dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\Pre-Windows 2000 Compatible Access:RP;Logon 7Information"
    dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\Pre-Windows 2000 Compatible Access:RP;Account Restrictions"
  3. Exécutez le fichier de commandes sur le contrôleur de domaine. Celui-ci ajoute les entrées de contrôle d'accès (ACE, Access Control Entries) pour les groupes Tout le monde et Accès compatible pré-Windows 2000.
  4. À une invite de commandes, tapez dsacls cn=adminsdholder,cn=system,dc=mydomain,dc=com, en remplaçant « DC=MyDomain,DC=Com » par le nom unique (DN) de votre domaine. Comparez-le à la sortie suivante :
    Access list:
    {This object is protected from inheriting permissions from the parent}
    Effective Permissions on this object are:
    Allow NT AUTHORITY\Authenticated Users            SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      LIST CONTENTS
                                                      READ PROPERTY
                                                      LIST OBJECT
    Allow BUILTIN\Administrators                      SPECIAL ACCESS
                                                      DELETE
                                                      READ PERMISSONS
                                                      WRITE PERMISSIONS
                                                      CHANGE OWNERSHIP
                                                      CREATE CHILD
                                                      DELETE CHILD
                                                      LIST CONTENTS
                                                      WRITE SELF
                                                      WRITE PROPERTY
                                                      READ PROPERTY
                                                      LIST OBJECT
                                                      CONTROL ACCESS
    Allow IFRPILOT\Enterprise Admins                  SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      WRITE PERMISSIONS
                                                      CHANGE OWNERSHIP
                                                      CREATE CHILD
                                                      DELETE CHILD
                                                      LIST CONTENTS
                                                      WRITE SELF
                                                      WRITE PROPERTY
                                                      READ PROPERTY
                                                      LIST OBJECT
                                                      CONTROL ACCESS
    Allow FAA\Domain Admins                           SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      WRITE PERMISSIONS
                                                      CHANGE OWNERSHIP
                                                      CREATE CHILD
                                                      DELETE CHILD
                                                      LIST CONTENTS
                                                      WRITE SELF
                                                      WRITE PROPERTY
                                                      READ PROPERTY
                                                      LIST OBJECT
                                                      CONTROL ACCESS
    Allow NT AUTHORITY\SYSTEM                         FULL CONTROL
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      LIST CONTENTS
                                                      READ PROPERTY
                                                      LIST OBJECT
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Remote Access Information
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for General Information
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Group Membership
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Account Restrictions
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Logon Information
                                                      READ PROPERTY
    Allow Everyone                                    Change Password
    					

Propriétés

Numéro d'article: 232199 - Dernière mise à jour: vendredi 15 juin 2007 - Version: 3.3
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Mots-clés : 
kbenv kbinfo KB232199
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com