Thread AdminSDHolder affecte transitives membres de groupes de distribution

Traductions disponibles Traductions disponibles
Numéro d'article: 318180 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Résumé

Un contrôleur de domaine Active Directory qui détient le principal rôle contrôleur de domaine (PDC) opérations maître (également appelé le rôle d'opérations à maître unique flottant ou le rôle FSMO) exécute un thread de toutes les heures pour vérifier des que listes de contrôle d'accès (ACL) sur les groupes suivants et tous les objets membres de ces groupes :
  • Administrateurs d'entreprise
  • Administrateurs de schéma
  • Admins du domaine
  • Les administrateurs
  • Les contrôleurs de domaine
  • Éditeurs de certificats
  • Les opérateurs de sauvegarde
  • Opérateurs de serveur duplicateur
  • Opérateurs de compte
  • Imprimer des opérateurs
Si un compte d'utilisateur est un membre d'un de ces groupes d'administration en raison de son appartenance à un groupe de distribution, ACL le compte d'utilisateur est vérifiée lors de la thread et peut être réinitialisée pour correspondre l'ACL du thread AdminSDHolder. Si vous utilisez la commande repadmin /showmeta user distinguished name pour afficher le compte d'utilisateur, vous voyez que l'attribut ntSecurityDescriptor est défini dans une heure après la dernière fois que vous avez modifié l'ACL sur le compte d'utilisateur. Le compte d'utilisateur contient également l'attribut AdminCount .

Cet article explique comment le AdminSDHolder thread affecte les membres transitifs des groupes de distribution. Pour plus d'informations sur le thread AdminSDHolder, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
232199 Description et mise à jour de l'objet Active Directory AdminSDHolder

Plus d'informations

Appartenance de groupe de distribution n'a pas normalement tout signification de sécurité. Par exemple, si UserA est un membre de distribution GroupA et GroupA distribution est un membre du groupe Admins du domaine, UserA n'est pas un membre du groupe Administrateurs de domaine si l'utilisateur est connecté à l'ordinateur. Le groupe de distribution bloque l'adhésion au groupe de sécurité. Toutefois, l'algorithme d'énumération qui est utilisé par le thread AdminSDHolder est rapide et simple et il inclut UserA pendant le l'itération transitive du groupe Administrateurs de domaine.

Vous pouvez modifier les groupes d'être un groupe de distribution à un groupe de sécurité ; par conséquent, l'algorithme d'énumération qui est utilisé par le thread AdminSDHolder garantit que tous les membres transitifs sont traités dans les deux cas. N'effectuez pas distribution membres de groupes des groupes de sécurité, si possible. Vous ne rencontrez pas un comportement inattendu après avoir modifié le groupe d'un groupe de distribution à un groupe de sécurité si vous n'effectuez distribution groupes membres des groupes de sécurité. Un utilisateur qui est couvert par l'algorithme d'énumération qui est utilisé par le thread AdminSDHolder possède un attribut AdminCount ayant une valeur est supérieure ou égale à 1 .

Propriétés

Numéro d'article: 318180 - Dernière mise à jour: lundi 30 octobre 2006 - Version: 4.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Server SP1
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Server SP2
  • Microsoft Windows 2000 Advanced Server SP1
  • Microsoft Windows 2000 Advanced Server SP2
  • Microsoft Windows 2000 Advanced Server SP3
  • Microsoft Windows 2000 Datacenter Server SP2
  • Microsoft Windows 2000 Service Pack 3
Mots-clés : 
kbmt kbenv kbinfo KB318180 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 318180
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com