설명 및 Active Directory AdminSDHolder 개체 업데이트

기술 자료 번역 기술 자료 번역
기술 자료: 232199 - 이 문서가 적용되는 제품 보기.
모두 확대 | 모두 축소

요약

이 문서에 나와 있는 정보는 경우에만 Windows 2000 RC2 (또는 이전 빌드를) Windows 2000 릴리스 버전으로 업그레이드하는 데 적용됩니다. 변경 액세스 제어 목록에 AdminSDHolder Active Directory 개체 (ACL) 에서 Windows 2000 RC3 했습니다. 이 개체는 기본 제공 관리자 또는 도메인 관리자 그룹의 구성원인 사용자 계정의 사용 권한을 제어하는 데 사용됩니다.

ACL 다음 개체에 대해 관리 그룹에 매시간, Windows 2000 도메인 컨트롤러가 주 도메인 컨트롤러 (PDC) FSMO (신축 단일 마스터 작업) 역할 모든 보안 주체 (사용자, 그룹 및 컴퓨터 계정) 현재 해당 도메인에 대한 Active Directory 및 있는 ACL을 비교하는 보유하는 같습니다.
CN AdminSDHolder CN = 시스템, DC = MyDomain, DC = Com =

바꾸기 "DC MyDomain, DC = Com =" 도메인의 고유 이름 (DN)이 이 경로에 있는.
ACL 다른 경우 ACL 상속 해제 포함한 AdminSDHolder 개체의 보안 설정을 반영하도록 사용자 개체에 대한 ACL이 덮어씁니다. 이러한 관리 계정을 권한이 없는 사용자가 계정 컨테이너로 이동하거나 사용자가 왔습니다 조직 구성 단위에 사용자 계정 수정할 관리 권한을 위임할 경우 수정되는 데이터를 보호합니다. 참고 사용자가 관리 그룹에서 제거되는 경우에는 이러한 프로세스를 반대로 수행되지 않으므로 수동으로 변경해야 합니다.

참고: Windows 2000 릴리스된 버전의 Microsoft Windows NT 4.0 업그레이드 중인 경우 다음 절차를 사용하여 필요하지 않습니다.

추가 정보

이 상황을 해결하려면 도메인 당 한 도메인 컨트롤러에서 다음 이 절차를 따릅니다.
  1. Windows 2000 Professional 또는 Server CD-ROM Windows 2000 지원 도구를 설치하십시오. 이러한 도구를 사용하여 보고, 수정 또는 Active Directory 개체에 대한 액세스 제어 항목을 제거할 수 Dsacls.exe 명명된 유틸리티가 포함됩니다.
  2. 배치 파일을 만든 다음 텍스트로 바꾸기 "DC MyDomain, DC = Com =" 도메인의 고유 이름 (DN) 함께):
    dsacls "cn adminsdholder cn = 시스템, = dc = mydomain, dc = com"/G "\Everyone:CA;Change 암호"
    dsacls "cn adminsdholder cn = 시스템, = dc = mydomain, dc ="/G"com RP: \Pre-Windows 2000 호환 액세스; 원격 액세스 정보"
    dsacls "cn adminsdholder cn = 시스템, = dc = mydomain, dc com"/G"= \Pre-Windows 2000 호환 액세스: RP; 일반 정보"
    dsacls "cn adminsdholder cn = 시스템, = dc mydomain, = dc = com"/G"RP: \Pre-Windows 2000 호환 액세스, 그룹 구성원"
    dsacls "cn adminsdholder cn = 시스템, = dc = mydomain, dc ="/G"com RP: \Pre-Windows 2000 호환 액세스, 로그온 정보"
    dsacls "cn adminsdholder cn = 시스템, = dc = mydomain, dc com"/G"= \Pre-Windows 2000 호환 액세스: RP; 계정 제한"
  3. 도메인 컨트롤러의 배치 파일을 실행하십시오. 모든 사람 및 Pre-Windows 2000 호환 액세스 그룹에 대해 지정된 액세스 제어 항목 (ACE) 추가합니다.
  4. 명령 프롬프트에서 dsacls cn adminsdholder cn = 시스템, = dc = mydomain, dc com =, 대체 "DC MyDomain, DC = Com =" 도메인의 고유 이름 (DN) 함께). 다음 출력 비교:
    Access list:
    {This object is protected from inheriting permissions from the parent}
    Effective Permissions on this object are:
    Allow NT AUTHORITY\Authenticated Users            SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      LIST CONTENTS
                                                      READ PROPERTY
                                                      LIST OBJECT
    Allow BUILTIN\Administrators                      SPECIAL ACCESS
                                                      DELETE
                                                      READ PERMISSONS
                                                      WRITE PERMISSIONS
                                                      CHANGE OWNERSHIP
                                                      CREATE CHILD
                                                      DELETE CHILD
                                                      LIST CONTENTS
                                                      WRITE SELF
                                                      WRITE PROPERTY
                                                      READ PROPERTY
                                                      LIST OBJECT
                                                      CONTROL ACCESS
    Allow IFRPILOT\Enterprise Admins                  SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      WRITE PERMISSIONS
                                                      CHANGE OWNERSHIP
                                                      CREATE CHILD
                                                      DELETE CHILD
                                                      LIST CONTENTS
                                                      WRITE SELF
                                                      WRITE PROPERTY
                                                      READ PROPERTY
                                                      LIST OBJECT
                                                      CONTROL ACCESS
    Allow FAA\Domain Admins                           SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      WRITE PERMISSIONS
                                                      CHANGE OWNERSHIP
                                                      CREATE CHILD
                                                      DELETE CHILD
                                                      LIST CONTENTS
                                                      WRITE SELF
                                                      WRITE PROPERTY
                                                      READ PROPERTY
                                                      LIST OBJECT
                                                      CONTROL ACCESS
    Allow NT AUTHORITY\SYSTEM                         FULL CONTROL
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      LIST CONTENTS
                                                      READ PROPERTY
                                                      LIST OBJECT
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Remote Access Information
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for General Information
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Group Membership
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Account Restrictions
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Logon Information
                                                      READ PROPERTY
    Allow Everyone                                    Change Password
    					

속성

기술 자료: 232199 - 마지막 검토: 2007년 2월 23일 금요일 - 수정: 3.3
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
키워드:?
kbmt kbenv kbinfo KB232199 KbMtko
기계 번역된 문서
중요: 본 문서는 전문 번역가가 번역한 것이 아니라 Microsoft 기계 번역 소프트웨어로 번역한 것입니다. Microsoft는 번역가가 번역한 문서 및 기계 번역된 문서를 모두 제공하므로 Microsoft 기술 자료에 있는 모든 문서를 한글로 접할 수 있습니다. 그러나 기계 번역 문서가 항상 완벽한 것은 아닙니다. 따라서 기계 번역 문서에는 마치 외국인이 한국어로 말할 때 실수를 하는 것처럼 어휘, 구문 또는 문법에 오류가 있을 수 있습니다. Microsoft는 내용상의 오역 또는 Microsoft 고객이 이러한 오역을 사용함으로써 발생하는 부 정확성, 오류 또는 손해에 대해 책임을 지지 않습니다. Microsoft는 이러한 문제를 해결하기 위해 기계 번역 소프트웨어를 자주 업데이트하고 있습니다.

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com