Como conceder a permissão "Replicar as alterações do" para a conta do serviço ADMA dos serviços de metadirectórios da Microsoft

Quando detectar objectos no Active Directory utilizando o agente de Active Directory gestão (ADMA), a conta especificada para ligar ao Active Directory tem ou ter permissões administrativas de domínio, pertencem ao grupo de administradores de domínio ou estar explicitamente concedida permissão de replicar as alterações para todos os domínios da floresta que aceda a este agente de gestão. Este artigo descreve como a explicitamente uma concessão de um conta de utilizador as permissões de replicar as alterações de um domínio.

Nota No Windows Server 2003, o nome desta permissão alterado para "Directory Replicate alterações."

A permissão de replicar as alterações de directório, conhecida como a permissão ' replicar alterações no Windows Server 2003, é uma entrada de controlo de acesso (ACE) em cada contexto de atribuição de nomes de domínio. Pode atribuir esta permissão utilizando o editor da ACL ou a ferramenta Adsiedit de suporte no Windows 2000.

Definir permissões utilizando o editor da ACL

1. Abra o snap-in computadores e utilizadores do Active Directory
2. No menu Ver , clique em Funcionalidades avançadas .
3. Clique no objecto de domínio, tal como "empresa.com", com o botão direito do rato e clique em Propriedades .
4. No separador segurança , se a conta de utilizador pretendido não estiver listada, clique em Adicionar ; se a conta de utilizador pretendida estiver listada, avance para o passo 7.
5. Na caixa de diálogo Seleccionar utilizadores, computadores ou grupos , seleccione a conta de utilizador pretendida e, em seguida, clique em Adicionar .
6. Clique em OK para regressar à caixa de diálogo Propriedades .
7. Clique na conta de utilizador pretendido.
8. Clique para seleccionar a caixa de verificação Replicar alterações da partir da lista.
9. Clique em Aplicar e, em seguida, clique em OK .
10. Feche o snap-in.

Definir permissões utilizando a ferramenta Adsiedit

aviso Utilização incorrecta do Adsiedit pode causar problemas graves que poderão forçar a reinstalação do sistema operativo. Microsoft não é possível garante que os problemas resultantes da utilização incorrecta da ferramenta Adsiedit possam ser resolvidos. As suas próprias risco da utilização Adsiedit.

1. Instale as ferramentas suporte do Windows 2000 se que tem não tiver sido instalados. Para obter mais informações sobre como instalar as ferramentas de suporte do Windows 2000, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
   301423  (http://support.microsoft.com/kb/301423/ ) Como instalar as ferramentas de suporte do Windows 2000 num computador baseado no Windows 2000 Server
2. Execute Adsiedit.msc como administrador do domínio. Expanda o nó de contexto de atribuição de nomes de domínio (Domain NC). Este nó contém um objecto que começa por "DC =" e reflecte o nome de domínio correcto. Clique com o botão direito do rato este objecto e, em seguida, clique em Propriedades .
3. Clique no separador segurança .
4. Se a conta de utilizador pretendido não estiver listada, clique em Adicionar , caso contrário, avance para o passo 8.
5. Na caixa de diálogo Seleccionar utilizadores, computadores ou grupos , seleccione a conta de utilizador pretendida e, em seguida, clique em Adicionar .
6. Clique em OK para regressar à caixa de diálogo Propriedades .
7. Clique em Aplicar e, em seguida, clique em OK .
8. Seleccione a conta de utilizador pretendido
9. Clique para seleccionar a caixa de verificação Replicar alterações do .
10. Clique em Aplicar e, em seguida, clique em OK .
11. Feche o snap-in.

Nota Utilizar qualquer um dos métodos, definir a permissão ' replicar alterações do ' para cada domínio na floresta permite que a identificação de objectos no domínio da floresta do Active Directory. No entanto, activar a identificação do directório ligado não implica que podem ser efectuadas outras operações.

Para criar, modificar e eliminar objectos no Active Directory utilizando uma conta sem direitos administrativos, poderá ter de adicionar permissões adicionais conforme apropriado. Por exemplo, para Microsoft metadirectórios da serviços (MMS) para criar novos objectos de utilizador numa unidade organizacional (ou, Organizational Unit) ou o contentor, a conta que está a ser utilizada deve ser explicitamente concedida a permissão de criar todos os objectos subordinados, como a permissão ' replicar alterações do não é suficiente para permitir a criação de objectos.

De forma semelhante, a eliminação de objectos requer a permissão de eliminar todos os objectos subordinados.

É possível que existem limitações de outras operações, tais como o fluxo de atributo, consoante as definições específicas de segurança atribuídas ao objecto em questão, e se herança é um factor.