Descrição e atualização do objeto AdminSDHolder do Active Directory

Traduções deste artigo Traduções deste artigo
ID do artigo: 232199 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Sumário

As informações neste artigo se aplicam somente a atualização do Windows 2000 RC2 (ou compilações anteriores) para a versão lançada do Windows 2000. Foi feita uma alteração no Windows 2000 RC3 à lista de controle de acesso (ACL) do objeto AdminSDHolder Active Directory. Esse objeto é usado para controlar as permissões de contas de usuário que são membros dos grupos Administradores ou administradores de domínio internos.

Cada hora, o controlador de domínio do Windows 2000 que contém que a função de FSMO (Flexible Single Master Operation) do domínio primário PDC (controlador) compara a ACL em todos os objetos de segurança (usuários, grupos e contas de computador) presentes para seu domínio no Active Directory e que estão em grupos administrativos contra a ACL no seguinte objeto:
CN = AdminSDHolder, CN = System, DC = MyDomain, DC = Com

Substituir "DC = MyDomain, DC = Com" neste caminho com o nome distinto (DN) do seu domínio.
Se a ACL é diferente, a ACL no objeto de usuário é substituída para refletir as configurações de segurança do objeto AdminSDHolder (que inclui Desativar herança da ACL). Isso protege essas contas administrativas de que está sendo modificado por usuários não autorizados se as contas são movidas para um recipiente ou unidade organizacional em que um usuário foi delegada privilégio administrativo para a modificação de contas de usuário. Observe que quando um usuário é removido do grupo administrativo, o processo não é revertido e deve ser alterado manualmente.

Observação : usar o procedimento a seguir não é necessário se você estiver atualizando o Microsoft Windows NT 4.0 para a versão lançada do Windows 2000.

Mais Informações

Para corrigir essa situação, use este procedimento em um controlador de domínio por domínio:
  1. Instale as ferramentas de suporte do Windows 2000 do Windows 2000 Professional ou Server CD-ROM. Essas ferramentas incluem um utilitário chamado Dsacls.exe, que você pode usar para exibir, modificar ou remover as entradas de controle de acesso em objetos do Active Directory.
  2. Criar um arquivo em lotes com o texto a seguir, substituindo "DC = MyDomain, DC = Com" com o nome distinto (DN) do seu domínio):
    DSACLS "cn = adminsdholder, cn = system, dc = mydomain, dc = com" /G "\Everyone:CA;Change senha"
    DSACLS "cn = adminsdholder, cn = system, dc = mydomain, dc = com"/G"\Pre-Windows 2000 Compatible Access: RP; informações de acesso remoto"
    DSACLS "cn = adminsdholder, cn = system, dc = mydomain, dc = com"/G"\Pre-Windows 2000 Compatible Access: RP; informações gerais"
    DSACLS "cn = adminsdholder, cn = system, dc = mydomain, dc = com"/G"\Pre-Windows 2000 Compatible Access: RP; membro do grupo"
    DSACLS "cn = adminsdholder, cn = system, dc = mydomain, dc = com"/G"\Pre-Windows 2000 Compatible Access: RP; informações de logon"
    DSACLS "cn = adminsdholder, cn = system, dc = mydomain, dc = com"/G"\Pre-Windows 2000 Compatible Access: RP; restrições de conta"
  3. Execute o arquivo em lotes no controlador de domínio. Ele adiciona as entradas de controle de acesso (ACEs) especificadas para todos e Pre-Windows 2000 Compatible Access grupos.
  4. Em um prompt de comando, digite dsacls cn = adminsdholder, cn = system, dc = mydomain, dc = com, substituir "DC = MyDomain, DC = Com" com o nome distinto (DN) do seu domínio). Compará-lo com a seguinte saída:
    Access list:
    {This object is protected from inheriting permissions from the parent}
    Effective Permissions on this object are:
    Allow NT AUTHORITY\Authenticated Users            SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      LIST CONTENTS
                                                      READ PROPERTY
                                                      LIST OBJECT
    Allow BUILTIN\Administrators                      SPECIAL ACCESS
                                                      DELETE
                                                      READ PERMISSONS
                                                      WRITE PERMISSIONS
                                                      CHANGE OWNERSHIP
                                                      CREATE CHILD
                                                      DELETE CHILD
                                                      LIST CONTENTS
                                                      WRITE SELF
                                                      WRITE PROPERTY
                                                      READ PROPERTY
                                                      LIST OBJECT
                                                      CONTROL ACCESS
    Allow IFRPILOT\Enterprise Admins                  SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      WRITE PERMISSIONS
                                                      CHANGE OWNERSHIP
                                                      CREATE CHILD
                                                      DELETE CHILD
                                                      LIST CONTENTS
                                                      WRITE SELF
                                                      WRITE PROPERTY
                                                      READ PROPERTY
                                                      LIST OBJECT
                                                      CONTROL ACCESS
    Allow FAA\Domain Admins                           SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      WRITE PERMISSIONS
                                                      CHANGE OWNERSHIP
                                                      CREATE CHILD
                                                      DELETE CHILD
                                                      LIST CONTENTS
                                                      WRITE SELF
                                                      WRITE PROPERTY
                                                      READ PROPERTY
                                                      LIST OBJECT
                                                      CONTROL ACCESS
    Allow NT AUTHORITY\SYSTEM                         FULL CONTROL
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      LIST CONTENTS
                                                      READ PROPERTY
                                                      LIST OBJECT
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Remote Access Information
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for General Information
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Group Membership
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Account Restrictions
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Logon Information
                                                      READ PROPERTY
    Allow Everyone                                    Change Password
    					

Propriedades

ID do artigo: 232199 - Última revisão: sexta-feira, 23 de fevereiro de 2007 - Revisão: 3.3
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Palavras-chave: 
kbmt kbenv kbinfo KB232199 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 232199

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com