Windows 2000 帐户操作员可以管理自己的帐户

文章翻译 文章翻译
文章编号: 327709 - 查看本文应用于的产品
本文已归档。它按“原样”提供,并且不再更新。
展开全部 | 关闭全部

本文内容

症状

在 Windows 2000 帐户操作员可以管理自己的帐户或其他帐户运算符的帐户。在 Windows NT 4.0 中的帐户运算符不能这样做。

原因

Windows 2000 不会保护帐户操作员组的成员修改自己的帐户或其他帐户运算符的帐户。

解决方案

服务包信息

若要解决此问题,获得最新的 service pack,对于 Microsoft Windows 2000。有关更多的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
260910如何获取最新的 Windows 2000 服务软件包

修复程序信息

可以从 Microsoft 获得支持的修补程序。但是,此修补程序被用于解决本文所述的此问题。此修补程序仅应用于出现这一特定问题的系统。

是否可供下载此修补程序没有"提供修补程序下载"部分中,在这篇知识库文章的顶部。如果未出现本部分,将申请提交到 Microsoft 客户服务和支持以获取此修复程序。

注意如果出现其他问题,或者如果需要进行任何故障诊断,则您可能不得不创建单独的服务请求。将正常收取支持费用将应用于其他支持问题和不需要进行此特定的修补程序的问题。有关完整列表的 Microsoft 客户服务和支持的电话号码,或创建一个单独的服务请求,请访问下面的 Microsoft 网站:
http://support.microsoft.com/contactus/?ws=support
注意"提供修补程序下载"窗体所显示的此修复程序是可用的语言。如果您看不到您的语言,则是一个修复程序不能用于该语言。此修复程序的英文版具有文件属性 (或更高版本) 下表中列出。其格式为协调通用时间 (UTC) 列出日期和时间对这些文件。当您查看文件信息时,将转换为本地时间。 若要 UTC 与本地时间之间的时差使用控制面板中的日期和时间工具中的 时区 选项卡。
   Date         Time   Version        Size     File name
   --------------------------------------------------------
   05-Sep-2002  14:47  5.0.2195.5781  123,664  Adsldp.dll
   05-Sep-2002  14:47  5.0.2195.5781  131,344  Adsldpc.dll
   05-Sep-2002  14:47  5.0.2195.5781   62,736  Adsmsext.dll
   05-Sep-2002  14:47  5.0.2195.6033  358,160  Advapi32.dll
   05-Sep-2002  14:47  5.0.2195.5855   49,424  Browser.dll
   05-Sep-2002  14:47  5.0.2195.6012  135,952  Dnsapi.dll
   05-Sep-2002  14:47  5.0.2195.6012   96,016  Dnsrslvr.dll
   05-Sep-2002  14:47  5.0.2195.5722   45,328  Eventlog.dll
   05-Sep-2002  14:47  5.0.2195.6048  146,704  Kdcsvc.dll
   05-Sep-2002  14:18  5.0.2195.6048  200,976  Kerberos.dll
   21-Aug-2002  05:27  5.0.2195.6023   71,248  Ksecdd.sys
   22-Jul-2002  12:54  5.0.2195.5960  507,152  lsasrv.dll
   22-Jul-2002  12:54  5.0.2195.5960   33,552  lsass.exe
   27-Aug-2002  11:53  5.0.2195.6034  108,816  Msv1_0.dll
   05-Sep-2002  14:47  5.0.2195.5979  307,472  Netapi32.dll
   05-Sep-2002  14:47  5.0.2195.5966  360,720  Netlogon.dll
   05-Sep-2002  14:47  5.0.2195.6048  918,800  Ntdsa.dll
   05-Sep-2002  14:47  5.0.2195.6025  389,392  Samsrv.dll
   05-Sep-2002  14:47  5.0.2195.5951  129,296  Scecli.dll
   05-Sep-2002  14:47  5.0.2195.5951  302,864  Scesrv.dll
   05-Sep-2002  14:47  5.0.2195.5859   48,912  W32time.dll
   04-Jun-2002  10:32  5.0.2195.5859   57,104  W32tm.exe
   05-Sep-2002  14:47  5.0.2195.6043  125,712  Wldap32.dll
		

替代方法

要变通解决此问题,请按照下列步骤操作:
  1. 更改帐户操作员组,以防止帐户操作员修改组成员身份的访问控制列表 (ACL) 设置。若要这样做,请按照下列步骤操作:
    1. 在管理员组的成员身份登录。
    2. 开始在 Active Directory 用户和计算机管理单元 (dsa.msc) 中。
    3. 视图 菜单上单击 高级功能
    4. 在为域在 内置 容器下用鼠标右键单击该 帐户操作员 对象,然后单击 属性
    5. 单击 安全 选项卡,在 $ 帐户操作员属性 中的,选择 帐户操作员 组,然后单击 删除
  2. 帐户操作员防止修改的其他帐户运算符的属性。若要这样做,请按照下列步骤操作:
    1. 在 Active Directory 用户和计算机管理单元中,用鼠标右键单击域 (例如对于 ACME.COM) 的容器,指向 新建,然后单击 组织单位。命名新的组织单位 AcctOps
    2. 用鼠标右键单击 AcctOps 单位,然后单击 属性
    3. AcctOps 属性 中,单击 安全 选项卡中,选择 帐户操作员 组,然后单击以选中 完全控制 权限旁边的 拒绝 复选框。

      如果要将相同的限制应用于打印操作员组在 安全 选项卡上的成员选择 帐户操作员 组,然后单击以选中 完全控制 权限旁边的 拒绝 复选框。
    4. 移动到新的 AcctOps 组织单位组的成员帐户操作员的所有用户。若要将用户用鼠标右键单击单击 移动,然后选择 AcctOps 组织单位需要的用户对象。

状态

Microsoft 已经确认这是在本文开头列出的 Microsoft 产品中的问题。 在 Microsoft Windows 2000 Service Pack 4 中,第一次已得到纠正此问题。

更多信息

本文中介绍的修补程序进行以下更改:
  • 一次,每小时,Windows 2000 主域控制器 (PDC) 进行比较的用户帐户受保护组 (例如对于管理员或帐户操作员) 到 AdminSDHolder 对象的 ACL 中的 ACL。如果不匹配 acl,AdminSDHolder 对象的安全设置将覆盖 ACL,并关闭用户对象的 ACL 继承。这样可以防止未经授权的用户修改用户帐户,如果将帐户移动到容器或组织单位的未经授权的用户有权修改用户帐户。
  • 从受保护组中删除用户时的用户帐户保留其接收从 AdminSDHolder 对象的设置,您必须手动更改该用户的安全设置。
注意: 您应用此修复程序后,必须等待长的安全描述符,要更新的现有成员的帐户操作员组的一小时。

有关 Windows 2000 安全设置的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
217050在 Windows 2000 的默认安全设置的说明
有关帐户操作员访问权限的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
245174帐户操作员组的成员无法管理所有的用户帐户
有关如何获得 Windows 2000 数据中心服务器修补程序的其他信息请单击下面文章编号,以查看 Microsoft 知识库中相应的文章:
265173数据中心计划和 Windows 2000 数据中心服务器产品
有关如何在只重新启动一次的情况下安装多个修补程序的其他信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
296861使用 QChain.exe 仅一个重新启动安装多个修补程序

属性

文章编号: 327709 - 最后修改: 2014年2月24日 - 修订: 1.12
这篇文章中的信息适用于:
  • Microsoft Windows 2000 Professional SP1
  • Microsoft Windows 2000 Professional SP2
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Server SP1
  • Microsoft Windows 2000 Server SP2
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Advanced Server SP1
  • Microsoft Windows 2000 Advanced Server SP2
  • Microsoft Windows 2000 Advanced Server SP3
关键字:?
kbnosurvey kbarchive kbmt kbautohotfix kbhotfixserver kbqfe kbsecurity kbwin2ksp4fix kbbug kbfix kbwin2000presp3fix kbwin2000presp4fix kbwin2000sp3fix KB327709 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 327709
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com