Descrizione e aggiornamento dell'oggetto AdminSDHolder Active Directory

Traduzione articoli Traduzione articoli
Identificativo articolo: 232199 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

Sommario

Le informazioni contenute in questo articolo si applicano solo all'aggiornamento da Windows 2000 RC2 (o versioni precedenti) alla versione finale di Windows 2000. In Windows 2000 RC3 è stata apportata una modifica all'elenco di controllo di accesso (ACL) dell'oggetto AdminSDHolder di Active Directory. Questo oggetto viene utilizzato per controllare le autorizzazioni di account utente membri dei gruppi Administrators o Domain Administrators incorporati.

Ogni ora, il controller di dominio di Windows 2000 che contiene che il ruolo FSMO (Flexible Single Master operazione) del controller (PDC, primary domain controller) primario di dominio confronta l'ACL per tutte le identità di protezione (utenti, gruppi e account computer) presenti per il dominio in Active Directory e che appartengono a gruppi amministrativi con l'ACL sul seguente oggetto:
CN = AdminSDHolder, CN = System, DC = MyDomain, DC = Com

Sostituire "DC = MyDomain, DC = Com" in questo percorso con il nome distinto (DN) del dominio.
Se l'ACL è diverso, l'ACL per l'oggetto utente viene sovrascritto per riflettere le impostazioni di protezione dell'oggetto AdminSDHolder (che include l'eredità ACL di disattivazione). Questo impedisce che questi account amministrativi venga modificato da utenti non autorizzati se gli account vengono spostati in un contenitore o unità organizzativa in cui un utente è stato delegato privilegi amministrativi per la modifica di account utente. Si noti che quando un utente viene rimosso dal gruppo amministrativo, il processo non viene annullato e deve essere modificato manualmente.

Nota : tramite la procedura riportata di seguito non è necessario se si sono l'aggiornamento di Microsoft Windows NT 4.0 alla versione di Windows 2000.

Informazioni

Per risolvere questo problema, utilizzare questa procedura su un controller di dominio per dominio:
  1. Installare gli strumenti di supporto di Windows 2000 dai Windows 2000 Professional o dal CD di server. Tali strumenti includono un'utilità denominata DSACLS.exe, che è possibile utilizzare per visualizzare, modificare o rimuovere voci di controllo di accesso per gli oggetti in Active Directory.
  2. Creare un file batch con il testo seguente, sostituire "DC = MyDomain, DC = Com" con il nome distinto (DN) del dominio):
    DSACLS "cn = adminsdholder, cn = system, dc = mydomain, dc = com" /G "\Everyone:CA;Change password"
    DSACLS "cn = adminsdholder, cn = system, dc = mydomain, dc = com"/G"\Pre-Windows 2000 Compatible Access: RP; informazioni di accesso remoto"
    DSACLS "cn = adminsdholder, cn = system, dc = mydomain, dc = com"/G"\Pre-Windows 2000 Compatible Access: RP; informazioni generali"
    DSACLS "cn = adminsdholder, cn = system, dc = mydomain, dc = com"/G"\Pre-Windows 2000 Compatible Access: RP; gruppi"
    DSACLS "cn = adminsdholder, cn = system, dc = mydomain, dc = com"/G"\Pre-Windows 2000 Compatible Access: RP; informazioni di accesso"
    DSACLS "cn = adminsdholder, cn = system, dc = mydomain, dc = com"/G"\Pre-Windows 2000 Compatible Access: RP; limitazioni account"
  3. Eseguire il file batch sul controller di dominio. Aggiunge le voci di controllo di accesso (ACE) specificate per Everyone e i gruppi di precedenti a Windows 2000 Compatible Access.
  4. A un prompt dei comandi, digitare dsacls cn = adminsdholder, cn = system, dc = mydomain, dc = com, sostituire "DC = MyDomain, DC = Com" con il nome distinto (DN) del dominio). Confronto con il seguente output:
    Access list:
    {This object is protected from inheriting permissions from the parent}
    Effective Permissions on this object are:
    Allow NT AUTHORITY\Authenticated Users            SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      LIST CONTENTS
                                                      READ PROPERTY
                                                      LIST OBJECT
    Allow BUILTIN\Administrators                      SPECIAL ACCESS
                                                      DELETE
                                                      READ PERMISSONS
                                                      WRITE PERMISSIONS
                                                      CHANGE OWNERSHIP
                                                      CREATE CHILD
                                                      DELETE CHILD
                                                      LIST CONTENTS
                                                      WRITE SELF
                                                      WRITE PROPERTY
                                                      READ PROPERTY
                                                      LIST OBJECT
                                                      CONTROL ACCESS
    Allow IFRPILOT\Enterprise Admins                  SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      WRITE PERMISSIONS
                                                      CHANGE OWNERSHIP
                                                      CREATE CHILD
                                                      DELETE CHILD
                                                      LIST CONTENTS
                                                      WRITE SELF
                                                      WRITE PROPERTY
                                                      READ PROPERTY
                                                      LIST OBJECT
                                                      CONTROL ACCESS
    Allow FAA\Domain Admins                           SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      WRITE PERMISSIONS
                                                      CHANGE OWNERSHIP
                                                      CREATE CHILD
                                                      DELETE CHILD
                                                      LIST CONTENTS
                                                      WRITE SELF
                                                      WRITE PROPERTY
                                                      READ PROPERTY
                                                      LIST OBJECT
                                                      CONTROL ACCESS
    Allow NT AUTHORITY\SYSTEM                         FULL CONTROL
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      LIST CONTENTS
                                                      READ PROPERTY
                                                      LIST OBJECT
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Remote Access Information
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for General Information
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Group Membership
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Account Restrictions
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Logon Information
                                                      READ PROPERTY
    Allow Everyone                                    Change Password
    					

Proprietà

Identificativo articolo: 232199 - Ultima modifica: venerdì 23 febbraio 2007 - Revisione: 3.3
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Chiavi: 
kbmt kbenv kbinfo KB232199 KbMtit
Traduzione automatica articoli
Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 232199
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com