ID do artigo: 232199 - �ltima revis�o: sexta-feira, 23 de fevereiro de 2007 - Revis�o: 3.3

Descri��o e atualiza��o do objeto AdminSDHolder do Active Directory

Clique aqui para exibir o artigo traduzido e o artigo original em ingl�s, lado a lado.

Exibir Aviso de Isen��o de Tradu��o Autom�tica

Exibir os produtos aos quais esse artigo se aplica.

Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que est� a utilizar. Foi desactivado o conte�do do artigo, que pode n�o ser relevante para si.

Expandir tudo | Recolher tudo

Sum�rio

As informa��es neste artigo se aplicam somente a atualiza��o do Windows 2000 RC2 (ou compila��es anteriores) para a vers�o lan�ada do Windows 2000. Foi feita uma altera��o no Windows 2000 RC3 � lista de controle de acesso (ACL) do objeto AdminSDHolder Active Directory. Esse objeto � usado para controlar as permiss�es de contas de usu�rio que s�o membros dos grupos Administradores ou administradores de dom�nio internos.

Cada hora, o controlador de dom�nio do Windows 2000 que cont�m que a fun��o de FSMO (Flexible Single Master Operation) do dom�nio prim�rio PDC (controlador) compara a ACL em todos os objetos de seguran�a (usu�rios, grupos e contas de computador) presentes para seu dom�nio no Active Directory e que est�o em grupos administrativos contra a ACL no seguinte objeto:

CN = AdminSDHolder, CN = System, DC = MyDomain, DC = Com

Substituir "DC = MyDomain, DC = Com" neste caminho com o nome distinto (DN) do seu dom�nio.

Se a ACL � diferente, a ACL no objeto de usu�rio � substitu�da para refletir as configura��es de seguran�a do objeto AdminSDHolder (que inclui Desativar heran�a da ACL). Isso protege essas contas administrativas de que est� sendo modificado por usu�rios n�o autorizados se as contas s�o movidas para um recipiente ou unidade organizacional em que um usu�rio foi delegada privil�gio administrativo para a modifica��o de contas de usu�rio. Observe que quando um usu�rio � removido do grupo administrativo, o processo n�o � revertido e deve ser alterado manualmente.

Observa��o : usar o procedimento a seguir n�o � necess�rio se voc� estiver atualizando o Microsoft Windows NT 4.0 para a vers�o lan�ada do Windows 2000.

Mais Informa��es

Para corrigir essa situa��o, use este procedimento em um controlador de dom�nio por dom�nio:

Instale as ferramentas de suporte do Windows 2000 do Windows 2000 Professional ou Server CD-ROM. Essas ferramentas incluem um utilit�rio chamado Dsacls.exe, que voc� pode usar para exibir, modificar ou remover as entradas de controle de acesso em objetos do Active Directory.
Criar um arquivo em lotes com o texto a seguir, substituindo "DC = MyDomain, DC = Com" com o nome distinto (DN) do seu dom�nio):
DSACLS "cn = adminsdholder, cn = system, dc = mydomain, dc = com" /G "\Everyone:CA;Change senha"
DSACLS "cn = adminsdholder, cn = system, dc = mydomain, dc = com"/G"\Pre-Windows 2000 Compatible Access: RP; informa��es de acesso remoto"
DSACLS "cn = adminsdholder, cn = system, dc = mydomain, dc = com"/G"\Pre-Windows 2000 Compatible Access: RP; informa��es gerais"
DSACLS "cn = adminsdholder, cn = system, dc = mydomain, dc = com"/G"\Pre-Windows 2000 Compatible Access: RP; membro do grupo"
DSACLS "cn = adminsdholder, cn = system, dc = mydomain, dc = com"/G"\Pre-Windows 2000 Compatible Access: RP; informa��es de logon"
DSACLS "cn = adminsdholder, cn = system, dc = mydomain, dc = com"/G"\Pre-Windows 2000 Compatible Access: RP; restri��es de conta"
Execute o arquivo em lotes no controlador de dom�nio. Ele adiciona as entradas de controle de acesso (ACEs) especificadas para todos e Pre-Windows 2000 Compatible Access grupos.

Em um prompt de comando, digite dsacls cn = adminsdholder, cn = system, dc = mydomain, dc = com, substituir "DC = MyDomain, DC = Com" com o nome distinto (DN) do seu dom�nio). Compar�-lo com a seguinte sa�da:

Access list:
{This object is protected from inheriting permissions from the parent}
Effective Permissions on this object are:
Allow NT AUTHORITY\Authenticated Users            SPECIAL ACCESS
                                                  READ PERMISSONS
                                                  LIST CONTENTS
                                                  READ PROPERTY
                                                  LIST OBJECT
Allow BUILTIN\Administrators                      SPECIAL ACCESS
                                                  DELETE
                                                  READ PERMISSONS
                                                  WRITE PERMISSIONS
                                                  CHANGE OWNERSHIP
                                                  CREATE CHILD
                                                  DELETE CHILD
                                                  LIST CONTENTS
                                                  WRITE SELF
                                                  WRITE PROPERTY
                                                  READ PROPERTY
                                                  LIST OBJECT
                                                  CONTROL ACCESS
Allow IFRPILOT\Enterprise Admins                  SPECIAL ACCESS
                                                  READ PERMISSONS
                                                  WRITE PERMISSIONS
                                                  CHANGE OWNERSHIP
                                                  CREATE CHILD
                                                  DELETE CHILD
                                                  LIST CONTENTS
                                                  WRITE SELF
                                                  WRITE PROPERTY
                                                  READ PROPERTY
                                                  LIST OBJECT
                                                  CONTROL ACCESS
Allow FAA\Domain Admins                           SPECIAL ACCESS
                                                  READ PERMISSONS
                                                  WRITE PERMISSIONS
                                                  CHANGE OWNERSHIP
                                                  CREATE CHILD
                                                  DELETE CHILD
                                                  LIST CONTENTS
                                                  WRITE SELF
                                                  WRITE PROPERTY
                                                  READ PROPERTY
                                                  LIST OBJECT
                                                  CONTROL ACCESS
Allow NT AUTHORITY\SYSTEM                         FULL CONTROL
Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS
                                                  READ PERMISSONS
                                                  LIST CONTENTS
                                                  READ PROPERTY
                                                  LIST OBJECT
Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Remote Access Information
                                                  READ PROPERTY
Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for General Information
                                                  READ PROPERTY
Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Group Membership
                                                  READ PROPERTY
Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Account Restrictions
                                                  READ PROPERTY
Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Logon Information
                                                  READ PROPERTY
Allow Everyone                                    Change Password

A informa��o contida neste artigo aplica-se a:

Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server

Voltar para o in�cio

kbmt kbenv kbinfo KB232199 KbMtpt

Tradu��o autom�tica

IMPORTANTE: Este artigo foi traduzido por um sistema de tradu��o autom�tica (tamb�m designado por Machine Translation ou MT), n�o tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplica��es (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em portugu�s a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradu��o autom�tica n�o � sempre perfeita, podendo conter erros de vocabul�rio, sintaxe ou gram�tica. A Microsoft n�o � respons�vel por incoer�ncias, erros ou preju�zos ocorridos em decorr�ncia da utiliza��o dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualiza��es freq�entes ao software de tradu��o autom�tica (MT). Obrigado.

Clique aqui para ver a vers�o em Ingl�s deste artigo: 232199� (http://support.microsoft.com/kb/232199/en-us/ )

Voltar para o in�cio

This site in other countries/regions:

Descri��o e atualiza��o do objeto AdminSDHolder do Active Directory

Sum�rio

Mais Informa��es

A informa��o contida neste artigo aplica-se a:

Palavras-chave:�

Outros Sites de Suporte

Comunidades

Tradu��es deste artigo

Centros de suporte relacionados