Описание и обновления объекта Active Directory AdminSDHolder

Переводы статьи Переводы статьи
Код статьи: 232199 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

Аннотация

Информация в данной статье относится только к официальной версии Windows 2000 до Windows 2000 RC2 (или более ранней версии сборки). Был изменен в Windows 2000 RC3 список управления доступом (ACL) для объекта AdminSDHolder Active Directory. Этот объект используется для управления разрешениями учетных записей пользователей, которые являются членами встроенной группы администраторов или администраторов домена.

Каждый час, контроллер домена Windows 2000, содержащего роль основного контроллера домена (PDC) гибкую один образец операций (FSMO) сравнивает ACL для всех участников безопасности (пользователей, группы и учетные записи компьютера) представлены для своего домена в Active Directory и доступны в административных групп для списка управления Доступом на следующий объект:
CN = AdminSDHolder, CN = System, DC =имя_текущего_домена,dc=COM

Замените "DC =имя_текущего_домена,dc=COM"в этот путь с различающимся именем (DN) вашего домена.
Если список управления Доступом не совпадают, список управления Доступом для объекта пользователя перезаписывается в соответствии с параметрами безопасности объекта AdminSDHolder (в том числе отключение наследования списков ACL). Эти учетные записи администраторов это защищает от несанкционированного изменения учетных записей, помещаются в контейнер или подразделение, в котором он был делегирования административных полномочий для изменения учетных записей пользователей. Обратите внимание, что при удалении пользователя из административной группы, процесс не изменяется и должен быть изменен вручную.

Примечание.: С помощью следующей процедуры не является обязательным, если при обновлении Microsoft Windows NT 4.0 до версии Windows 2000.

Дополнительная информация

Чтобы исправить эту ситуацию, используйте следующую процедуру на одном контроллере домена в домене:
  1. Установка средств поддержки Windows 2000 из Windows 2000 Professional или Server компакт-диска. Эти средства включают программу с именем DSACLS.exe, который можно использовать для просмотра, изменения или удаления записей управления доступом к объектам в Active Directory.
  2. Создайте пакетный файл со следующим текстом замены "DC =имя_текущего_домена,dc=COM"с различающимся именем (DN) вашего домена):
    DSACLS "cn = adminsdholder, cn = система, dc =имя_текущего_домена,dc=COM\Everyone:CA;Change "/G" пароль"
    DSACLS "cn = adminsdholder, cn = система, dc =имя_текущего_домена,dc=COM«/G» \Pre-Windows 2000 совместимых доступа: RP; удаленный доступ К информации»
    DSACLS "cn = adminsdholder, cn = система, dc =имя_текущего_домена,dc=COM«/G» \Pre-Windows 2000 совместимых доступа: RP, общие сведения»
    DSACLS "cn = adminsdholder, cn = система, dc =имя_текущего_домена,dc=COM«/G» \Pre-Windows 2000 совместимых доступа: RP; принадлежность к группам»
    DSACLS "cn = adminsdholder, cn = система, dc =имя_текущего_домена,dc=COM«/G» \Pre-Windows 2000 совместимых доступа: RP; учетных данных»
    DSACLS "cn = adminsdholder, cn = система, dc =имя_текущего_домена,dc=COM«/G» \Pre-Windows 2000 совместимых доступа: RP; ограничения учетных записей»
  3. Запустите пакетный файл на контроллере домена. Добавляет указанные записи управления доступом (ACE) всем пользователям и группам доступ Pre-Windows 2000.
  4. В командной строке введитеDSACLS cn = adminsdholder, cn = система, dc =имя_текущего_домена,dc=COM, заменив "DC =имя_текущего_домена,dc=COM"с различающимся именем (DN) вашего домена). Сравните его следующий результат:
    Access list:
    {This object is protected from inheriting permissions from the parent}
    Effective Permissions on this object are:
    Allow NT AUTHORITY\Authenticated Users            SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      LIST CONTENTS
                                                      READ PROPERTY
                                                      LIST OBJECT
    Allow BUILTIN\Administrators                      SPECIAL ACCESS
                                                      DELETE
                                                      READ PERMISSONS
                                                      WRITE PERMISSIONS
                                                      CHANGE OWNERSHIP
                                                      CREATE CHILD
                                                      DELETE CHILD
                                                      LIST CONTENTS
                                                      WRITE SELF
                                                      WRITE PROPERTY
                                                      READ PROPERTY
                                                      LIST OBJECT
                                                      CONTROL ACCESS
    Allow IFRPILOT\Enterprise Admins                  SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      WRITE PERMISSIONS
                                                      CHANGE OWNERSHIP
                                                      CREATE CHILD
                                                      DELETE CHILD
                                                      LIST CONTENTS
                                                      WRITE SELF
                                                      WRITE PROPERTY
                                                      READ PROPERTY
                                                      LIST OBJECT
                                                      CONTROL ACCESS
    Allow FAA\Domain Admins                           SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      WRITE PERMISSIONS
                                                      CHANGE OWNERSHIP
                                                      CREATE CHILD
                                                      DELETE CHILD
                                                      LIST CONTENTS
                                                      WRITE SELF
                                                      WRITE PROPERTY
                                                      READ PROPERTY
                                                      LIST OBJECT
                                                      CONTROL ACCESS
    Allow NT AUTHORITY\SYSTEM                         FULL CONTROL
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      LIST CONTENTS
                                                      READ PROPERTY
                                                      LIST OBJECT
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Remote Access Information
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for General Information
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Group Membership
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Account Restrictions
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Logon Information
                                                      READ PROPERTY
    Allow Everyone                                    Change Password
    					

Свойства

Код статьи: 232199 - Последний отзыв: 17 ноября 2010 г. - Revision: 2.0
Информация в данной статье относится к следующим продуктам.
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Ключевые слова: 
kbenv kbinfo kbmt KB232199 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:232199

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com