AdminSDHolder Thread wirkt sich auf transitive Mitgliedern der Verteilergruppen

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 318180 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Zusammenfassung

Ein Active Directory-Domänencontroller, der die primäre Domänen-Controller (PDC) Betriebsmasterfunktion (auch bekannt als die Rolle "flexible single master Operations oder FSMO-Rolle) innehat, führt einen Thread pro Stunde zum Überprüfen der (ACLs) auf die folgenden Gruppen und aller Objekte Mitglied dieser Gruppen Zugriffssteuerungslisten:
  • Organisations-Admins
  • Schema-Admins
  • Domänen-Admins
  • Administratoren
  • Domänencontroller
  • Zertifikatherausgeber
  • Sicherungs-Operatoren
  • Replikator Serveroperatoren
  • Konten-Operatoren
  • Druck-Operatoren
Wenn ein Benutzerkonto Mitglied einer dieser administrativen Gruppen wegen seiner Mitgliedschaft mit einer Verteilergruppe ist, ist das Benutzerkonto ACL überprüft, wenn der Thread ausgeführt wird und kann entsprechend die ACL des AdminSDHolder Thread zurückgesetzt werden. Wenn Sie den Befehl Repadmin /showmeta user distinguished name, verwenden um das Benutzerkonto anzuzeigen, sehen Sie, dass das Attribut NtSecurityDescriptor innerhalb einer Stunde nach der letzten Zeit festgelegt ist Sie der ZUGRIFFSSTEUERUNGSLISTE für das Benutzerkonto geändert. Das Benutzerkonto enthält auch das AdminCount -Attribut.

Dieser Artikel beschreibt, wie die AdminSDHolder Thread wirkt sich auf transitive Mitgliedern Verteilergruppe. Weitere Informationen zu AdminSDHolder Thread finden Sie die folgende KB-Artikelnummer:
232199Beschreibung und Aktualisieren von Active Directory AdminSDHolder object

Weitere Informationen

Mitgliedschaft eine Verteilergruppe verfügt normalerweise kein Sicherheit Bedeutung. Beispielsweise ist wenn BenutzerA Mitglied der Verteilungs-GroupA ist und GroupA für die Verteilung ein Mitglied der Gruppe Domänen-Admins ist, BenutzerA nicht Mitglied der Gruppe Domänen-Admins Wenn der Benutzer am Computer angemeldet ist. Die Verteilergruppe blockiert Sicherheitsgruppen-Mitgliedschaft. Allerdings der Enumeration-Algorithmus, der von AdminSDHolder Thread verwendet wird ist schnell und einfach und BenutzerA während der transitiven Iteration der Gruppe Domänen-Admins enthält.

Sie können Gruppen ändern, verhindert eine Verteilergruppe zu einer Sicherheitsgruppe; daher der Enumeration Algorithmus, der von AdminSDHolder Thread verwendet wird, wird sichergestellt, dass alle transitive Mitgliedern in beiden Fällen behandelt werden. Nehmen Sie keine Verteilung Gruppen Mitglieder von Sicherheitsgruppen, falls möglich. Unerwartetes Verhalten treten nicht auf, nach dem Ändern der Gruppe aus einer Verteilergruppe zu einer Sicherheitsgruppe Wenn Sie keine Verteilung Gruppen als Mitglieder von Sicherheitsgruppen vornehmen. Ein durch den Algorithmus Enumeration abgedeckt von AdminSDHolder Thread verwendet wird, der Benutzer hat ein AdminCount -Attribut mit den Wert, der größer oder gleich 1 ist.

Eigenschaften

Artikel-ID: 318180 - Geändert am: Montag, 30. Oktober 2006 - Version: 4.1
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Server SP1
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Server SP2
  • Microsoft Windows 2000 Advanced Server SP1
  • Microsoft Windows 2000 Advanced Server SP2
  • Microsoft Windows 2000 Advanced Server SP3
  • Microsoft Windows 2000 Datacenter Server SP2
  • Microsoft Windows 2000 Service Pack 3
Keywords: 
kbmt kbenv kbinfo KB318180 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 318180
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com