Deskripsi dan Update dari objek AdminSDHolder direktori aktif

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 232199 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

RINGKASAN

Informasi di dalam artikel ini hanya berlaku untuk upgrade dari Windows 2000 RC2 (atau membangun sebelumnya) untuk merilis versi Windows 2000. Perubahan di Windows 2000 RC3 untuk daftar kontrol akses (ACL) dari objek direktori aktif AdminSDHolder. Objek ini digunakan untuk mengendalikan hak akses account pengguna yang merupakan anggota dari administrator built-in atau Kelompok-kelompok administrator domain.

Setiap jam, pengontrol domain Windows 2000 yang memegang domain utama peran pengoperasian Master tunggal fleksibel (FSMO) controller (PDC) membandingkan ACL pada semua keamanan pelaku (pengguna, grup, dan mesin account) hadir untuk yang domain direktori aktif dan yang berada dalam kelompok-kelompok administratif terhadap ACL pada objek berikut:
CN = AdminSDHolder, CN = System, DC =MyDomainDC =Com

Menggantikan "DC =MyDomainDC =Com"di jalan ini dengan nama terkemuka (DN) dari domain Anda.
Jika ACL berbeda, ACL pada objek pengguna adalah ditimpa untuk mencerminkan pengaturan keamanan objek AdminSDHolder (yang termasuk menonaktifkan ACL warisan). Ini melindungi ini administratif account dari yang dimodifikasi oleh pengguna yang tidak sah jika account pindah ke wadah atau unit organisasi di mana pengguna telah mendelegasikan hak administratif untuk modifikasi account pengguna. Perhatikan bahwa ketika pengguna akan dihapus dari grup administratif, proses tidak terbalik dan harus diganti secara manual.

CATATAN: Menggunakan prosedur berikut ini tidak diperlukan jika Anda upgrade Microsoft Windows NT 4.0 dirilis versi Windows 2000.

INFORMASI LEBIH LANJUT

Untuk memperbaiki situasi ini, menggunakan prosedur ini pada satu domain controller per domain:
  1. Menginstal alat dukungan Windows 2000 dari Windows 2000 Professional atau Server CD-ROM. Piranti ini mencakup sebuah utilitas bernama Dsacls.exe, yang dapat Anda gunakan untuk melihat, mengubah, atau menghapus entri kontrol akses pada objek di Active Directory.
  2. Buat batch file dengan berikut teks, menggantikan "DC =MyDomainDC =Com"dengan dibedakan nama (DN) dari domain Anda):
    dsacls "cn = adminsdholder, cn = system, dc =mydomain, dc =com"/G" \Everyone:CA;Ubah sandi"
    dsacls "cn = adminsdholder, cn = system, dc =mydomain, dc =com"/G" \Pre-Windows 2000 kompatibel akses: RP;Remote akses informasi"
    dsacls "cn = adminsdholder, cn = system, dc =mydomain, dc =com"/G" \Pre-Windows 2000 kompatibel akses: RP;Informasi umum"
    dsacls "cn = adminsdholder, cn = system, dc =mydomain, dc =com"/G" \Pre-Windows 2000 kompatibel akses: RP;Keanggotaan grup"
    dsacls "cn = adminsdholder, cn = system, dc =mydomain, dc =com"/G" \Pre-Windows 2000 kompatibel akses: RP;Informasi masuk"
    dsacls "cn = adminsdholder, cn = system, dc =mydomain, dc =com"/G" \Pre-Windows 2000 kompatibel akses: RP;Pembatasan account"
  3. Jalankan file batch pada domain controller. Itu menambah Kontrol akses ditentukan entri (ACEs) untuk semua orang dan Pre-Windows 2000 Kelompok akses kompatibel.
  4. Pada prompt perintah, ketik dsacls cn = adminsdholder, cn = system, dc =mydomain, dc =com, menggantikan "DC =MyDomainDC =Com"dengan dibedakan nama (DN) domain). Membandingkannya dengan berikut output:
    Access list:
    {This object is protected from inheriting permissions from the parent}
    Effective Permissions on this object are:
    Allow NT AUTHORITY\Authenticated Users            SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      LIST CONTENTS
                                                      READ PROPERTY
                                                      LIST OBJECT
    Allow BUILTIN\Administrators                      SPECIAL ACCESS
                                                      DELETE
                                                      READ PERMISSONS
                                                      WRITE PERMISSIONS
                                                      CHANGE OWNERSHIP
                                                      CREATE CHILD
                                                      DELETE CHILD
                                                      LIST CONTENTS
                                                      WRITE SELF
                                                      WRITE PROPERTY
                                                      READ PROPERTY
                                                      LIST OBJECT
                                                      CONTROL ACCESS
    Allow IFRPILOT\Enterprise Admins                  SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      WRITE PERMISSIONS
                                                      CHANGE OWNERSHIP
                                                      CREATE CHILD
                                                      DELETE CHILD
                                                      LIST CONTENTS
                                                      WRITE SELF
                                                      WRITE PROPERTY
                                                      READ PROPERTY
                                                      LIST OBJECT
                                                      CONTROL ACCESS
    Allow FAA\Domain Admins                           SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      WRITE PERMISSIONS
                                                      CHANGE OWNERSHIP
                                                      CREATE CHILD
                                                      DELETE CHILD
                                                      LIST CONTENTS
                                                      WRITE SELF
                                                      WRITE PROPERTY
                                                      READ PROPERTY
                                                      LIST OBJECT
                                                      CONTROL ACCESS
    Allow NT AUTHORITY\SYSTEM                         FULL CONTROL
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      LIST CONTENTS
                                                      READ PROPERTY
                                                      LIST OBJECT
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Remote Access Information
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for General Information
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Group Membership
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Account Restrictions
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Logon Information
                                                      READ PROPERTY
    Allow Everyone                                    Change Password
    					

Properti

ID Artikel: 232199 - Kajian Terakhir: 20 September 2011 - Revisi: 2.0
Berlaku bagi:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Kata kunci: 
kbenv kbinfo kbmt KB232199 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:232199

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com