描述及 Active Directory AdminSDHolder 物件的更新

文章翻譯 文章翻譯
文章編號: 232199 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

結論

本文資訊僅適用於從 Windows 2000 RC2 (或較早的組建) 升級到 Windows 2000 的發行的版本。對已進行變更在 Windows 2000 RC3 AdminSDHolder Active Directory 物件的存取控制清單 (ACL)。這個物件用來控制成員的內建的系統管理員或網域系統管理員群組的使用者帳戶的權限。

每小時、 主要網域控制站 (PDC) 彈性單一主機操作 (FSMO) 角色會比較上所有安全性主體 (使用者、 群組和電腦帳戶) 其網域存在於 Active Directory,且該 ACL 會保留在 Windows 2000 網域控制站位於針對下列物件上 ACL 的系統管理群組:
CN = AdminSDHolder CN = 系統,DC = MyDomain,DC = Com

取代"DC = MyDomain,DC = Com 」 在這個路徑中使用您網域的辨別的名稱 (DN)。
如果 ACL 是不同,使用者物件上的 ACL 就會被覆寫以反映 AdminSDHolder 物件 (包括停用 ACL 繼承) 的安全性設定。這將保護這些系統管理帳戶不會受到修改未經授權的使用者如果帳戶被移到容器或組織單位使用者已被委派系統管理特殊權限的使用者帳戶所作的修改。請注意當使用者從系統管理群組中移除,處理程序不會反轉,且必須以手動方式變更。

注意: 使用下列程序不需要如果您正在升級 Microsoft Windows NT 4.0 發行版本的 Windows 2000。

其他相關資訊

若要更正這種情況下,請每個網域的一個網域控制站上使用此程序:
  1. 從 Windows 2000 專業版或 Server 光碟片安裝 Windows 2000 支援工具。這些工具包含名為 Dsacls.exe 可用來檢視、 修改,或在 Active Directory 中移除存取控制項目,在物件上的公用程式。
  2. 建立批次檔以下列文字取代"DC = MyDomain,DC = Com 「 辨別名稱 (DN),您的網域的):
    dsacls 「 cn = adminsdholder cn = 系統,dc = mydomain,dc = com"/ G \Everyone:CA;Change 密碼"
    dsacls 「 cn = adminsdholder cn = 系統,dc = mydomain,dc = com"/ G"\Pre-Windows 2000年相容的存取: RP ; 遠端存取資訊 」
    dsacls 「 cn = adminsdholder cn = 系統,dc = mydomain,dc = com"/ G"\Pre-Windows 2000年相容的存取: RP ; 一般資訊 」
    dsacls 「 cn = adminsdholder cn = 系統,dc = mydomain,dc = com"/ G"\Pre-Windows 2000年相容的存取: RP ; 群組成員資格 」
    dsacls 「 cn = adminsdholder cn = 系統,dc = mydomain,dc = com"/ G"\Pre-Windows 2000年相容的存取: RP ; 登入資訊"
    dsacls 「 cn = adminsdholder cn = 系統,dc = mydomain,dc = com"/ G"\Pre-Windows 2000年相容的存取: RP ; 帳戶限制"
  3. 執行網域控制站上的批次檔。它會加入指定的存取控制項目 (ACE) 的 「 每個人及 Pre-Windows 2000 相容的存取群組。
  4. 在命令提示字元下輸入 dsacls cn = adminsdholder cn = 系統,dc = mydomain,dc = com,用於取代"DC = MyDomain,DC = Com"您網域的可辨別的名稱 (DN))。比較下列輸出:
    Access list:
    {This object is protected from inheriting permissions from the parent}
    Effective Permissions on this object are:
    Allow NT AUTHORITY\Authenticated Users            SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      LIST CONTENTS
                                                      READ PROPERTY
                                                      LIST OBJECT
    Allow BUILTIN\Administrators                      SPECIAL ACCESS
                                                      DELETE
                                                      READ PERMISSONS
                                                      WRITE PERMISSIONS
                                                      CHANGE OWNERSHIP
                                                      CREATE CHILD
                                                      DELETE CHILD
                                                      LIST CONTENTS
                                                      WRITE SELF
                                                      WRITE PROPERTY
                                                      READ PROPERTY
                                                      LIST OBJECT
                                                      CONTROL ACCESS
    Allow IFRPILOT\Enterprise Admins                  SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      WRITE PERMISSIONS
                                                      CHANGE OWNERSHIP
                                                      CREATE CHILD
                                                      DELETE CHILD
                                                      LIST CONTENTS
                                                      WRITE SELF
                                                      WRITE PROPERTY
                                                      READ PROPERTY
                                                      LIST OBJECT
                                                      CONTROL ACCESS
    Allow FAA\Domain Admins                           SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      WRITE PERMISSIONS
                                                      CHANGE OWNERSHIP
                                                      CREATE CHILD
                                                      DELETE CHILD
                                                      LIST CONTENTS
                                                      WRITE SELF
                                                      WRITE PROPERTY
                                                      READ PROPERTY
                                                      LIST OBJECT
                                                      CONTROL ACCESS
    Allow NT AUTHORITY\SYSTEM                         FULL CONTROL
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      LIST CONTENTS
                                                      READ PROPERTY
                                                      LIST OBJECT
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Remote Access Information
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for General Information
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Group Membership
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Account Restrictions
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Logon Information
                                                      READ PROPERTY
    Allow Everyone                                    Change Password
    					

屬性

文章編號: 232199 - 上次校閱: 2007年2月23日 - 版次: 3.3
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
關鍵字:?
kbmt kbenv kbinfo KB232199 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:232199
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com