说明和 Active Directory AdminSDHolder 对象的更新

文章翻译 文章翻译
文章编号: 232199 - 查看本文应用于的产品
展开全部 | 关闭全部

概要

本文中的信息仅适用于从 Windows 2000 RC2 (或更早版本) 升级到 Windows 2000 的发布版本。在 Windows 2000 RC3 AdminSDHolder Active Directory 对象的访问控制列表 (ACL) 来进行了更改。此对象用于控制的用户帐户是内置的管理员或域管理员组的成员的权限。

每隔 1 小时、 Windows 2000 域控制器持有主域控制器 (PDC) 灵活单主机操作 (FSMO) 角色将在所有安全主体 (用户、 组和计算机帐户) 存在其域在 Active Directory 和任意位置的 ACL 进行比较的是管理组上以下对象 acl 中:
CN = AdminSDHolder,CN = 系统,DC = MyDomain,DC = Com

替换"DC = MyDomain,DC = Com"在此路径中与您的域的可分辨名称 (DN)。
不同 ACL 是否在用户对象上的 ACL 会覆盖以反映 AdminSDHolder 对象 (它包括禁用 ACL 继承) 的安全设置。这可防止这些管理帐户未经授权的用户被修改,如果将帐户移动到容器或组织单位的用户已被委派管理权限的用户帐户的修改。请注意当从管理组中删除用户时过程不可逆,必须进行手动更改。

: 使用下面的过程不需要如果 Microsoft Windows NT 4.0 升级到 Windows 2000 的发布版本。

更多信息

若要更正这种情况下,请在每个域的一个域控制器上使用此过程:
  1. 从 Windows 2000 专业版或 Server CD-ROM 上安装 Windows 2000 支持工具。这些工具包括一个名为 Dsacls.exe,您可以使用它来查看、 修改,或在 Active Directory 中删除的对象的访问控制项的实用程序。
  2. 使用下面的文本创建一个批处理文件替换"DC = MyDomain,DC = Com"与您的域的可分辨名称 (DN)):
    dsacls"cn = adminsdholder,cn = 系统,dc = mydomain,dc = com"/ G"\Everyone:CA;Change 密码"
    dsacls"cn = adminsdholder,cn = 系统,dc = mydomain,dc = com"/ G"\Pre-Windows 2000年兼容访问: RP ; 远程访问信息"
    dsacls"cn = adminsdholder,cn = 系统,dc = mydomain,dc = com"/ G"\Pre-Windows 2000年兼容访问: RP ; 一般信息"
    dsacls"cn = adminsdholder,cn = 系统,dc = mydomain,dc = com"/ G"\Pre-Windows 2000年兼容访问: RP ; 组成员身份"
    dsacls"cn = adminsdholder,cn = 系统,dc = mydomain,dc = com"/ G"\Pre-Windows 2000年兼容访问: RP ; 登录信息"
    dsacls"cn = adminsdholder,cn = 系统,dc = mydomain,dc = com"/ G"\Pre-Windows 2000年兼容访问: RP ; 帐户限制"
  3. 运行该批处理文件,在域控制器上。它为所有人和 Pre-Windows 2000 兼容访问组中添加指定的访问控制项 (ace)。
  4. 在命令提示符键入 dsacls cn = adminsdholder,cn = 系统,dc = mydomain,dc = com、 替换"DC = MyDomain,DC = Com"与您的域的可分辨名称 (DN))。将它与下面的输出进行比较:
    Access list:
    {This object is protected from inheriting permissions from the parent}
    Effective Permissions on this object are:
    Allow NT AUTHORITY\Authenticated Users            SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      LIST CONTENTS
                                                      READ PROPERTY
                                                      LIST OBJECT
    Allow BUILTIN\Administrators                      SPECIAL ACCESS
                                                      DELETE
                                                      READ PERMISSONS
                                                      WRITE PERMISSIONS
                                                      CHANGE OWNERSHIP
                                                      CREATE CHILD
                                                      DELETE CHILD
                                                      LIST CONTENTS
                                                      WRITE SELF
                                                      WRITE PROPERTY
                                                      READ PROPERTY
                                                      LIST OBJECT
                                                      CONTROL ACCESS
    Allow IFRPILOT\Enterprise Admins                  SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      WRITE PERMISSIONS
                                                      CHANGE OWNERSHIP
                                                      CREATE CHILD
                                                      DELETE CHILD
                                                      LIST CONTENTS
                                                      WRITE SELF
                                                      WRITE PROPERTY
                                                      READ PROPERTY
                                                      LIST OBJECT
                                                      CONTROL ACCESS
    Allow FAA\Domain Admins                           SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      WRITE PERMISSIONS
                                                      CHANGE OWNERSHIP
                                                      CREATE CHILD
                                                      DELETE CHILD
                                                      LIST CONTENTS
                                                      WRITE SELF
                                                      WRITE PROPERTY
                                                      READ PROPERTY
                                                      LIST OBJECT
                                                      CONTROL ACCESS
    Allow NT AUTHORITY\SYSTEM                         FULL CONTROL
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      LIST CONTENTS
                                                      READ PROPERTY
                                                      LIST OBJECT
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Remote Access Information
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for General Information
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Group Membership
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Account Restrictions
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Logon Information
                                                      READ PROPERTY
    Allow Everyone                                    Change Password
    					

属性

文章编号: 232199 - 最后修改: 2007年2月23日 - 修订: 3.3
这篇文章中的信息适用于:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
关键字:?
kbmt kbenv kbinfo KB232199 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 232199
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com