Como conceder a permissão "Duplicar alterações de diretório" para a conta do serviço Microsoft Metadirectory Services ADMA

Quando descobrir objetos no Active Directory usando o agente do gerenciamento do Active Directory (ADMA), a conta que é especificado para conectar-se ao Active Directory deve ou ter permissões administrativas de domínio, pertencer ao grupo Administradores de domínio ou ser explicitamente recebe permissões de replicar alterações de diretório para cada domínio da floresta que acessa este agente de gerenciamento. Este artigo descreve como a explicitamente uma concessão de um conta de usuário as permissões de replicar alterações de diretório em um domínio.

Observação No Windows Server 2003, o nome dessa permissão alterado para "Alterações no diretório Replicate".

A permissão replicar alterações de diretório, conhecida como a permissão replicar alterações de diretório no Windows Server 2003, é uma ACE (Access Control Entry) em cada contexto de nomeação de domínio. Você pode atribuir essa permissão usando o editor da ACL ou a ferramenta de suporte ADSIEdit no Windows 2000.

Definir permissões usando o editor de ACL

1. Abra o snap-in Active Directory Users and Computers
2. No menu Exibir , clique em Recursos avançados .
3. Clique com o botão direito do mouse o objeto de domínio, como "company.com" e clique em Propriedades .
4. Na guia segurança , se a conta de usuário desejado não estiver listada, clique em Adicionar ; se a conta de usuário desejado estiver listada, vá para a etapa 7.
5. Na caixa de diálogo Selecionar usuários, computadores ou grupos , selecione a conta de usuário desejada e, em seguida, clique em Adicionar .
6. Clique em OK para retornar à caixa de diálogo Propriedades .
7. Clique na conta usuário desejado.
8. Clique para selecionar a caixa de seleção Replicar alterações de diretório da lista.
9. Clique em Aplicar e, em seguida, clique em OK .
10. Feche o snap-in.

Definir permissões usando ADSIEdit

Aviso Usar ADSIEdit incorretamente pode causar problemas sérios que talvez exijam a reinstalação do sistema operacional. A Microsoft não garante que problemas resultantes do uso incorreto do Adsiedit possam ser resolvidos. Use ADSIEdit por seu próprio risco.

1. Instale as ferramentas de suporte do Windows 2000 se elas não tem já foi instaladas. Para obter mais informações sobre como instalar as ferramentas de suporte do Windows 2000, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
   301423  (http://support.microsoft.com/kb/301423/ ) Como instalar as ferramentas de suporte do Windows 2000 em um computador baseado no Windows 2000 Server
2. Execute Adsiedit.msc como administrador do domínio. Expanda o nó de contexto de nomeação de domínio (NC de domínio). Este nó contém um objeto que começa com "DC =" e reflete o nome de domínio correto. Clique com o botão direito do mouse este objeto e, em seguida, clique em Propriedades .
3. Clique na guia segurança .
4. Se a conta de usuário desejado não estiver listada, clique em Adicionar , caso contrário, vá para a etapa 8.
5. Na caixa de diálogo Selecionar usuários, computadores ou grupos , selecione a conta de usuário desejada e, em seguida, clique em Adicionar .
6. Clique em OK para retornar à caixa de diálogo Propriedades .
7. Clique em Aplicar e, em seguida, clique em OK .
8. Selecione a conta de usuário desejado
9. Clique para selecionar a caixa de seleção Replicar alterações de diretório .
10. Clique em Aplicar e, em seguida, clique em OK .
11. Feche o snap-in.

Observação Usar o método, definindo a permissão replicar alterações de diretório para cada domínio dentro da floresta permite que a descoberta de objetos no domínio da floresta do Active Directory. No entanto, Ativar descoberta de diretório conectado não implica que outras operações podem ser executadas.

Para criar, modificar e excluir objetos no Active Directory usando uma conta não administrativa, você talvez precise adicionar permissões adicionais conforme apropriado. Por exemplo, para Microsoft Metadirectory Services (MMS) para criar novos objetos de usuário em uma unidade organizacional (OU) ou recipiente, a conta que está sendo usada deve ser concedida explicitamente a permissão de criar todos os objetos filho, como a permissão replicar alterações de diretório não é suficiente para permitir a criação de objetos.

De maneira semelhante, a exclusão de objetos requer a permissão Excluir todos os objetos filho.

É possível que há limitações em outras operações, como o fluxo de atributo, dependendo das configurações específicas de segurança atribuídas ao objeto em questão, e se ou não a herança é um fator.