Segmento AdminSDHolder afeta membros transitiva de grupos de distribuição

Um controlador de domínio do Active Directory que contém a domínio primário PDC (controlador) função de mestre de operações (também conhecido como a função de flexible single master operations ou a função de FSMO) executa um thread de cada hora para verificar a que listas de controle de acesso (ACLs) nos seguintes grupos e todos os objetos membro desses grupos:

• Administração de empresa
• Administradores de esquema
• Administradores de domínio
• Administradores
• Controladores de domínio
• Editores de certificados
• Operadores de backup
• Servidores Duplicador
• Operadores de conta
• Operadores de impressão

Se uma conta de usuário for membro de um desses grupos administrativos devido a sua associação com um grupo de distribuição, ACL da conta do usuário é verificado quando o thread é executado e pode ser redefinido para coincidir com a ACL do segmento AdminSDHolder. Se você usar o comando repadmin /showmeta user distinguished name para exibir a conta de usuário, você verá que o atributo ntSecurityDescriptora é definido dentro de uma hora após a última hora em que você alterou a ACL na conta de usuário. A conta de usuário também contém o atributo AdminCount .

Este artigo descreve como o AdminSDHolder thread afeta membros transitivos de grupos de distribuição. Para obter informações adicionais sobre o segmento AdminSDHolder, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:

Membros de um grupo de distribuição normalmente não tem qualquer importância da segurança. Por exemplo, se UserA for um membro da distribuição GroupA e distribuição GroupA é membro do grupo Admins. do domínio, UserA não é um membro do grupo Admins. do domínio se o usuário estiver conectado ao computador. O grupo de distribuição bloqueia participação no grupo de segurança. No entanto, o algoritmo de enumeração que é usado pelo segmento AdminSDHolder é rápida e simples e inclui UserA durante a iteração transitiva do grupo Admins. do domínio.

Você pode alterar grupos contra um grupo de distribuição a um grupo de segurança; portanto, o algoritmo de enumeração que é usado pelo segmento AdminSDHolder garante que todos os membros transitivos são abordados em ambos os casos. Não faça distribuição membros de grupos de grupos de segurança, se possível. Você não tenham um comportamento inesperado após alterar o grupo de um grupo de distribuição a um grupo de segurança se você não fizer distribuição membros de grupos de grupos de segurança. Um usuário que é coberto pelo algoritmo de enumeração é usado pelo thread AdminSDHolder tem um atributo AdminCount que possui um valor que é maior que ou igual a 1 .