本文資訊僅適用於從 Windows 2000 RC2 (或較早的組建) 升級到 Windows 2000 的發行的版本。對已進行變更在 Windows 2000 RC3 AdminSDHolder Active Directory 物件的存取控制清單 (ACL)。這個物件用來控制成員的內建的系統管理員或網域系統管理員群組的使用者帳戶的權限。
每小時、 主要網域控制站 (PDC) 彈性單一主機操作 (FSMO) 角色會比較上所有安全性主體 (使用者、 群組和電腦帳戶) 其網域存在於 Active Directory,且該 ACL 會保留在 Windows 2000 網域控制站位於針對下列物件上 ACL 的系統管理群組:
CN = AdminSDHolder CN = 系統,DC = MyDomain,DC = Com
取代"DC = MyDomain,DC = Com 」 在這個路徑中使用您網域的辨別的名稱 (DN)。
如果 ACL 是不同,使用者物件上的 ACL 就會被覆寫以反映 AdminSDHolder 物件 (包括停用 ACL 繼承) 的安全性設定。這將保護這些系統管理帳戶不會受到修改未經授權的使用者如果帳戶被移到容器或組織單位使用者已被委派系統管理特殊權限的使用者帳戶所作的修改。請注意當使用者從系統管理群組中移除,處理程序不會反轉,且必須以手動方式變更。
注意: 使用下列程序不需要如果您正在升級 Microsoft Windows NT 4.0 發行版本的 Windows 2000。
若要更正這種情況下,請每個網域的一個網域控制站上使用此程序:
- 從 Windows 2000 專業版或 Server 光碟片安裝 Windows 2000 支援工具。這些工具包含名為 Dsacls.exe 可用來檢視、 修改,或在 Active Directory 中移除存取控制項目,在物件上的公用程式。
- 建立批次檔以下列文字取代"DC = MyDomain,DC = Com 「 辨別名稱 (DN),您的網域的):
dsacls 「 cn = adminsdholder cn = 系統,dc = mydomain,dc = com"/ G \Everyone:CA;Change 密碼"
dsacls 「 cn = adminsdholder cn = 系統,dc = mydomain,dc = com"/ G"\Pre-Windows 2000年相容的存取: RP ; 遠端存取資訊 」
dsacls 「 cn = adminsdholder cn = 系統,dc = mydomain,dc = com"/ G"\Pre-Windows 2000年相容的存取: RP ; 一般資訊 」
dsacls 「 cn = adminsdholder cn = 系統,dc = mydomain,dc = com"/ G"\Pre-Windows 2000年相容的存取: RP ; 群組成員資格 」
dsacls 「 cn = adminsdholder cn = 系統,dc = mydomain,dc = com"/ G"\Pre-Windows 2000年相容的存取: RP ; 登入資訊"
dsacls 「 cn = adminsdholder cn = 系統,dc = mydomain,dc = com"/ G"\Pre-Windows 2000年相容的存取: RP ; 帳戶限制"
- 執行網域控制站上的批次檔。它會加入指定的存取控制項目 (ACE) 的 「 每個人及 Pre-Windows 2000 相容的存取群組。
- 在命令提示字元下輸入 dsacls cn = adminsdholder cn = 系統,dc = mydomain,dc = com,用於取代"DC = MyDomain,DC = Com"您網域的可辨別的名稱 (DN))。比較下列輸出:
Access list:
{This object is protected from inheriting permissions from the parent}
Effective Permissions on this object are:
Allow NT AUTHORITY\Authenticated Users SPECIAL ACCESS
READ PERMISSONS
LIST CONTENTS
READ PROPERTY
LIST OBJECT
Allow BUILTIN\Administrators SPECIAL ACCESS
DELETE
READ PERMISSONS
WRITE PERMISSIONS
CHANGE OWNERSHIP
CREATE CHILD
DELETE CHILD
LIST CONTENTS
WRITE SELF
WRITE PROPERTY
READ PROPERTY
LIST OBJECT
CONTROL ACCESS
Allow IFRPILOT\Enterprise Admins SPECIAL ACCESS
READ PERMISSONS
WRITE PERMISSIONS
CHANGE OWNERSHIP
CREATE CHILD
DELETE CHILD
LIST CONTENTS
WRITE SELF
WRITE PROPERTY
READ PROPERTY
LIST OBJECT
CONTROL ACCESS
Allow FAA\Domain Admins SPECIAL ACCESS
READ PERMISSONS
WRITE PERMISSIONS
CHANGE OWNERSHIP
CREATE CHILD
DELETE CHILD
LIST CONTENTS
WRITE SELF
WRITE PROPERTY
READ PROPERTY
LIST OBJECT
CONTROL ACCESS
Allow NT AUTHORITY\SYSTEM FULL CONTROL
Allow BUILTIN\Pre-Windows 2000 Compatible Access SPECIAL ACCESS
READ PERMISSONS
LIST CONTENTS
READ PROPERTY
LIST OBJECT
Allow BUILTIN\Pre-Windows 2000 Compatible Access SPECIAL ACCESS for Remote Access Information
READ PROPERTY
Allow BUILTIN\Pre-Windows 2000 Compatible Access SPECIAL ACCESS for General Information
READ PROPERTY
Allow BUILTIN\Pre-Windows 2000 Compatible Access SPECIAL ACCESS for Group Membership
READ PROPERTY
Allow BUILTIN\Pre-Windows 2000 Compatible Access SPECIAL ACCESS for Account Restrictions
READ PROPERTY
Allow BUILTIN\Pre-Windows 2000 Compatible Access SPECIAL ACCESS for Logon Information
READ PROPERTY
Allow Everyone Change Password
Windows Live
Facebook
Twitter
Linkedin
Digg it
Yahoo
Delicious
StumbleUpon
Yammer
Reddit
Technorati
FriendFeed
Email
機器翻譯
回此頁最上方
