Artigo: 232199 - �ltima revis�o: sexta-feira, 23 de Fevereiro de 2007 - Revis�o: 3.3

Descri��o e actualiza��o do objecto AdminSDHolder do Active Directory

Clique aqui para exibir o artigo traduzido e o artigo original em ingl�s, lado a lado.

Ver isen��o de responsabilidades para tradu��o autom�tica

Ver produtos para os quais este artigo se aplica.

Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que est� a utilizar. Foi desactivado o conte�do do artigo, que pode n�o ser relevante para si.

Expandir tudo | Reduzir tudo

Sum�rio

As informa��es neste artigo aplicam-se apenas a actualizar do Windows 2000 RC2 (ou vers�es anteriores) para a vers�o comercializada do Windows 2000. Foi efectuada uma altera��o no Windows 2000 RC3 � lista de controlo de acesso (ACL, Access Control List) do objecto AdminSDHolder do Active Directory. Este objecto � utilizado para controlar as permiss�es de contas de utilizador que s�o membros dos grupos Administradores ou administradores de dom�nio incorporados.

Cada hora, o controlador de dom�nio Windows 2000 que det�m que a fun��o do dom�nio principal controlador (PDC, Primary Domain Controller) flex�vel �nico principal Operation (FSMO) compara a ACL em todos os principais de seguran�a (utilizadores, grupos e contas de computador) presentes para o respectivo dom�nio no Active Directory e que estiverem em grupos administrativos contra a ACL no seguinte objecto:

CN = AdminSDHolder, CN = System, DC = MyDomain, DC = Com

Substituir "DC = MyDomain, DC = Com" neste caminho com o nome distinto (DN, Distinguished Name) do seu dom�nio.

Se a ACL, Access Control List for diferente, a ACL no objecto utilizador ser� substitu�da para reflectir as defini��es de seguran�a do objecto AdminSDHolder (que inclui desactivar heran�a de ACL, Access Control List). Estas contas administrativas Isto protege contra modifica��es por utilizadores n�o autorizados se as contas s�o movidas para um contentor ou unidade organizacional na qual um utilizador tenha sido delegada privil�gios administrativos para a modifica��o de contas de utilizador. Note que, quando um utilizador for removido do grupo administrativo, o processo n�o � invertido e tem de ser alterado manualmente.

Nota : utilizar o procedimento seguinte n�o � necess�ria se estiver a actualizar o Microsoft Windows NT 4.0 para a vers�o comercializada do Windows 2000.

Mais Informa��o

Para corrigir esta situa��o, utilize este procedimento num controlador de dom�nio por dom�nio:

Instale as ferramentas suporte do Windows 2000 a partir do CD-ROM Server ou Windows 2000 Professional. Estas ferramentas incluem um utilit�rio denominado Dsacls.exe, que pode utilizar para visualizar, modificar ou remover entradas de controlo de acesso em objectos do Active Directory.
Criar um ficheiro batch com o texto seguinte, substituir "DC = MyDomain, DC = Com" com o nome distinto (DN, Distinguished Name) do seu dom�nio):
Dsacls "cn = adminsdholder, cn = system, dc = mydomain, dc = com" /G "\Everyone:CA;Change palavra-passe"
Dsacls "cn = adminsdholder, cn = system, dc = mydomain, dc = com"/G"\Pre-Windows 2000 Compatible Access: RP; informa��es de acesso remoto"
Dsacls "cn = adminsdholder, cn = system, dc = mydomain, dc = com"/G"\Pre-Windows 2000 Compatible Access: RP; informa��es gerais"
Dsacls "cn = adminsdholder, cn = system, dc = mydomain, dc = com"/G"\Pre-Windows 2000 Compatible Access: RP; membros do grupo"
Dsacls "cn = adminsdholder, cn = system, dc = mydomain, dc = com"/G"\Pre-Windows 2000 Compatible Access: RP; informa��es de in�cio de sess�o"
Dsacls "cn = adminsdholder, cn = system, dc = mydomain, dc = com"/G"\Pre-Windows 2000 Compatible Access: RP; restri��es de conta"
Execute o ficheiro batch no controlador de dom�nio. Adiciona as entradas de controlo de acesso (ACEs) especificadas para o todos (Everyone) e grupos de acesso compat�vel com 2000 Pre-Windows.

Na linha de comandos, escreva dsacls cn = adminsdholder, cn = system, dc = mydomain, dc = com, substituir "DC = MyDomain, DC = Com" com o nome distinto (DN, Distinguished Name) do seu dom�nio). Compar�-la com o seguinte resultado:

Access list:
{This object is protected from inheriting permissions from the parent}
Effective Permissions on this object are:
Allow NT AUTHORITY\Authenticated Users            SPECIAL ACCESS
                                                  READ PERMISSONS
                                                  LIST CONTENTS
                                                  READ PROPERTY
                                                  LIST OBJECT
Allow BUILTIN\Administrators                      SPECIAL ACCESS
                                                  DELETE
                                                  READ PERMISSONS
                                                  WRITE PERMISSIONS
                                                  CHANGE OWNERSHIP
                                                  CREATE CHILD
                                                  DELETE CHILD
                                                  LIST CONTENTS
                                                  WRITE SELF
                                                  WRITE PROPERTY
                                                  READ PROPERTY
                                                  LIST OBJECT
                                                  CONTROL ACCESS
Allow IFRPILOT\Enterprise Admins                  SPECIAL ACCESS
                                                  READ PERMISSONS
                                                  WRITE PERMISSIONS
                                                  CHANGE OWNERSHIP
                                                  CREATE CHILD
                                                  DELETE CHILD
                                                  LIST CONTENTS
                                                  WRITE SELF
                                                  WRITE PROPERTY
                                                  READ PROPERTY
                                                  LIST OBJECT
                                                  CONTROL ACCESS
Allow FAA\Domain Admins                           SPECIAL ACCESS
                                                  READ PERMISSONS
                                                  WRITE PERMISSIONS
                                                  CHANGE OWNERSHIP
                                                  CREATE CHILD
                                                  DELETE CHILD
                                                  LIST CONTENTS
                                                  WRITE SELF
                                                  WRITE PROPERTY
                                                  READ PROPERTY
                                                  LIST OBJECT
                                                  CONTROL ACCESS
Allow NT AUTHORITY\SYSTEM                         FULL CONTROL
Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS
                                                  READ PERMISSONS
                                                  LIST CONTENTS
                                                  READ PROPERTY
                                                  LIST OBJECT
Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Remote Access Information
                                                  READ PROPERTY
Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for General Information
                                                  READ PROPERTY
Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Group Membership
                                                  READ PROPERTY
Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Account Restrictions
                                                  READ PROPERTY
Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Logon Information
                                                  READ PROPERTY
Allow Everyone                                    Change Password

A informa��o contida neste artigo aplica-se a:

Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server

Voltar ao topo

kbmt kbenv kbinfo KB232199 KbMtpt

Tradu��o autom�tica

IMPORTANTE: Este artigo foi traduzido por um sistema de tradu��o autom�tica (tamb�m designado por Machine translation ou MT), n�o tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplica��es (MT) e artigos traduzidos por tradutores profissionais. O objectivo � simples: oferecer em Portugu�s a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradu��o autom�tica n�o � sempre perfeita. Esta pode conter erros de vocabul�rio, sintaxe ou gram�tica? erros semelhantes aos que um estrangeiro realiza ao falar em Portugu�s. A Microsoft n�o � respons�vel por incoer�ncias, erros ou estragos realizados na sequ�ncia da utiliza��o dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualiza��es frequentes ao software de tradu��o autom�tica (MT). Obrigado.

Clique aqui para ver a vers�o em Ingl�s deste artigo: 232199� (http://support.microsoft.com/kb/232199/en-us/ )

Voltar ao topo

This site in other countries/regions:

Descri��o e actualiza��o do objecto AdminSDHolder do Active Directory

Sum�rio

Mais Informa��o

A informa��o contida neste artigo aplica-se a:

Palavras-chave:�

Outros Sites de Suporte

Comunidades

Tradu��es de Artigos

Centros de suporte relacionados