Descrição e actualização do objecto AdminSDHolder do Active Directory

Traduções de Artigos Traduções de Artigos
Artigo: 232199 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Sumário

As informações neste artigo aplicam-se apenas a actualizar do Windows 2000 RC2 (ou versões anteriores) para a versão comercializada do Windows 2000. Foi efectuada uma alteração no Windows 2000 RC3 à lista de controlo de acesso (ACL, Access Control List) do objecto AdminSDHolder do Active Directory. Este objecto é utilizado para controlar as permissões de contas de utilizador que são membros dos grupos Administradores ou administradores de domínio incorporados.

Cada hora, o controlador de domínio Windows 2000 que detém que a função do domínio principal controlador (PDC, Primary Domain Controller) flexível único principal Operation (FSMO) compara a ACL em todos os principais de segurança (utilizadores, grupos e contas de computador) presentes para o respectivo domínio no Active Directory e que estiverem em grupos administrativos contra a ACL no seguinte objecto:
CN = AdminSDHolder, CN = System, DC = MyDomain, DC = Com

Substituir "DC = MyDomain, DC = Com" neste caminho com o nome distinto (DN, Distinguished Name) do seu domínio.
Se a ACL, Access Control List for diferente, a ACL no objecto utilizador será substituída para reflectir as definições de segurança do objecto AdminSDHolder (que inclui desactivar herança de ACL, Access Control List). Estas contas administrativas Isto protege contra modificações por utilizadores não autorizados se as contas são movidas para um contentor ou unidade organizacional na qual um utilizador tenha sido delegada privilégios administrativos para a modificação de contas de utilizador. Note que, quando um utilizador for removido do grupo administrativo, o processo não é invertido e tem de ser alterado manualmente.

Nota : utilizar o procedimento seguinte não é necessária se estiver a actualizar o Microsoft Windows NT 4.0 para a versão comercializada do Windows 2000.

Mais Informação

Para corrigir esta situação, utilize este procedimento num controlador de domínio por domínio:
  1. Instale as ferramentas suporte do Windows 2000 a partir do CD-ROM Server ou Windows 2000 Professional. Estas ferramentas incluem um utilitário denominado Dsacls.exe, que pode utilizar para visualizar, modificar ou remover entradas de controlo de acesso em objectos do Active Directory.
  2. Criar um ficheiro batch com o texto seguinte, substituir "DC = MyDomain, DC = Com" com o nome distinto (DN, Distinguished Name) do seu domínio):
    Dsacls "cn = adminsdholder, cn = system, dc = mydomain, dc = com" /G "\Everyone:CA;Change palavra-passe"
    Dsacls "cn = adminsdholder, cn = system, dc = mydomain, dc = com"/G"\Pre-Windows 2000 Compatible Access: RP; informações de acesso remoto"
    Dsacls "cn = adminsdholder, cn = system, dc = mydomain, dc = com"/G"\Pre-Windows 2000 Compatible Access: RP; informações gerais"
    Dsacls "cn = adminsdholder, cn = system, dc = mydomain, dc = com"/G"\Pre-Windows 2000 Compatible Access: RP; membros do grupo"
    Dsacls "cn = adminsdholder, cn = system, dc = mydomain, dc = com"/G"\Pre-Windows 2000 Compatible Access: RP; informações de início de sessão"
    Dsacls "cn = adminsdholder, cn = system, dc = mydomain, dc = com"/G"\Pre-Windows 2000 Compatible Access: RP; restrições de conta"
  3. Execute o ficheiro batch no controlador de domínio. Adiciona as entradas de controlo de acesso (ACEs) especificadas para o todos (Everyone) e grupos de acesso compatível com 2000 Pre-Windows.
  4. Na linha de comandos, escreva dsacls cn = adminsdholder, cn = system, dc = mydomain, dc = com, substituir "DC = MyDomain, DC = Com" com o nome distinto (DN, Distinguished Name) do seu domínio). Compará-la com o seguinte resultado:
    Access list:
    {This object is protected from inheriting permissions from the parent}
    Effective Permissions on this object are:
    Allow NT AUTHORITY\Authenticated Users            SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      LIST CONTENTS
                                                      READ PROPERTY
                                                      LIST OBJECT
    Allow BUILTIN\Administrators                      SPECIAL ACCESS
                                                      DELETE
                                                      READ PERMISSONS
                                                      WRITE PERMISSIONS
                                                      CHANGE OWNERSHIP
                                                      CREATE CHILD
                                                      DELETE CHILD
                                                      LIST CONTENTS
                                                      WRITE SELF
                                                      WRITE PROPERTY
                                                      READ PROPERTY
                                                      LIST OBJECT
                                                      CONTROL ACCESS
    Allow IFRPILOT\Enterprise Admins                  SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      WRITE PERMISSIONS
                                                      CHANGE OWNERSHIP
                                                      CREATE CHILD
                                                      DELETE CHILD
                                                      LIST CONTENTS
                                                      WRITE SELF
                                                      WRITE PROPERTY
                                                      READ PROPERTY
                                                      LIST OBJECT
                                                      CONTROL ACCESS
    Allow FAA\Domain Admins                           SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      WRITE PERMISSIONS
                                                      CHANGE OWNERSHIP
                                                      CREATE CHILD
                                                      DELETE CHILD
                                                      LIST CONTENTS
                                                      WRITE SELF
                                                      WRITE PROPERTY
                                                      READ PROPERTY
                                                      LIST OBJECT
                                                      CONTROL ACCESS
    Allow NT AUTHORITY\SYSTEM                         FULL CONTROL
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      LIST CONTENTS
                                                      READ PROPERTY
                                                      LIST OBJECT
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Remote Access Information
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for General Information
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Group Membership
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Account Restrictions
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Logon Information
                                                      READ PROPERTY
    Allow Everyone                                    Change Password
    					

Propriedades

Artigo: 232199 - Última revisão: 23 de fevereiro de 2007 - Revisão: 3.3
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Palavras-chave: 
kbmt kbenv kbinfo KB232199 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 232199

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com