Delegierte Berechtigungen sind nicht verfügbar und Vererbung wird automatisch deaktiviert.

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 817433 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Problembeschreibung

Nach dem upgrade auf Microsoft Windows Server 2003 können Sie die folgenden Symptome auftreten:
  • Delegierte Berechtigungen sind nicht verfügbar für alle Benutzer in einer Organisationseinheit.
  • Vererbung wird automatisch für einige Benutzerkonten ungefähr einmal eine Stunde deaktiviert
  • Benutzer, die zuvor Berechtigungen, mehr delegiert wurde, haben Sie.
Dieses Problem kann auch auftreten, nachdem Sie den im Microsoft Knowledge Base 327825 auf Microsoft Windows 2000 Server beschriebenen Hotfix anwenden, oder nach dem Installieren von Windows 2000 Service Pack 4 für Microsoft Windows 2000 Server.Weitere Informationen zum Hotfix 327825 von Windows 2000 finden Sie im folgenden Artikel der Microsoft Knowledge Base:
327825Neue Lösung für Probleme mit Kerberos-Authentifizierung Wenn Benutzer mehreren Gruppen angehören

Ursache

Beim Delegieren von Berechtigungen mit dem Assistenten Delegation of Control abhängig diese Berechtigungen das Benutzerobjekt, das die Berechtigungen des übergeordneten Containers erbt. Mitglieder geschützter Gruppen erben vom übergeordneten Container nicht Berechtigungen. Wenn Sie mit dem Assistenten Delegation of Control Berechtigungen festlegen, werden diese Berechtigungen daher nicht an Mitglieder geschützter Gruppen angewendet.

Hinweis: Mitgliedschaft in einer geschützten Gruppe ist als direkte Mitgliedschaft oder transitive Mitgliedschaft mit Hilfe einer oder mehreren Sicherheits- oder Verteilergruppe Gruppen definiert. Verteilergruppen sind enthalten, da Sie zu Sicherheitsgruppen konvertiert werden können.

In Windows Server 2003 wurde die Anzahl der Gruppen, die geschützt sind, zur Erhöhung der Sicherheit in Active Directory erhöht (siehe Abschnitt "Weitere Informationen"). Die Anzahl der Gruppen, die geschützt sind, nimmt auch wenn Sie den Hotfix 327825 auf Windows 2000 anwenden.

Lösung

Um dieses Problem zu beheben, können Sie einen Hotfix installieren. Sie müssen den Hotfix auf dem Domänencontroller installieren, die der primäre Domänen-Controller (PDC) Emulator Operationen master in jeder Domäne fungiert. Darüber hinaus müssen Sie den Hotfix auf allen Domänencontrollern installieren, die Sie möglicherweise diese Rolle übernehmen, wenn der aktuelle PDC-Emulator Halter der Betriebsmasterfunktion nicht verfügbar ist verwenden. Wenn Sie nicht sicher, dass der Domänencontroller sind, die Sie verwenden würden, um die Rolle übernehmen, empfiehlt Microsoft, Sie bedenken, den Hotfix auf allen Domänencontrollern installieren. Wenn die PDC-Emulator-Betriebsmasterfunktion ein Domänencontroller ohne den Hotfix wird davon ausgegangen, werden Berechtigungen des Benutzers wieder zurückgesetzt werden.

Windows 2000 Hotfix-Informationen

Es ist ein unterstützter Hotfix von Microsoft erhältlich. Der Hotfix ist jedoch nur die Behebung des Problems die in diesem Artikel beschriebene vorgesehen. Installieren Sie diesen Hotfix nur auf Systemen, bei die dieses spezielle Problem auftritt.

Wenn der Hotfix zum Download verfügbar ist, ist ein Abschnitt "Hotfix Download available (Hotfixdownload verfügbar" am oberen Rand dieser Knowledge Base-Artikel. Wenn in diesem Abschnitt nicht angezeigt wird, senden Sie eine Anfrage an technischen Kundendienst und Support, um den Hotfix zu erhalten.

Hinweis: Wenn weitere Probleme auftreten oder wenn eine Problembehandlung erforderlich ist, müssen Sie möglicherweise eine separate Serviceanfrage erstellen. Die normalen Supportkosten gelten die für zusätzliche Supportfragen und Probleme, die für diesen speziellen Hotfix nicht qualifizieren. Eine vollständige Liste der technischen Kundendienst und Support-Telefonnummern oder eine separate Serviceanfrage erstellen die folgende Microsoft-Website:
http://support.microsoft.com/contactus/?ws=support
Hinweis: Das Formular "Hotfix Download available (Hotfixdownload verfügbar" zeigt die Sprachen für die der Hotfix verfügbar ist. Wenn Ihre Sprache nicht angezeigt wird, ist es, da ein Hotfix nicht für diese Sprache zur Verfügung steht.

Neustartanforderung

Sie müssen den Computer neu starten, nachdem Sie diesen Hotfix installiert haben.

Ersetzte Hotfixes

Dieser Hotfix ersetzt keine anderen Hotfixes.

Dateiinformationen

Die englische Version dieses Hotfixes weist die Dateiattribute (oder höher Dateiattribute), die in der folgenden Tabelle aufgelistet werden. Die Datums- und Uhrzeitangaben für diese Dateien sind in Coordinated Universal Time (UTC) angegeben. Wenn Sie sich die Dateiinformationen ansehen, werden diese Angaben in die lokale Zeit konvertiert. Verwenden Sie die Registerkarte Zeitzone im Element Datum und Uhrzeit in der Systemsteuerung, um die Differenz zwischen UTC und der Ortszeit zu ermitteln.
   Date         Time   Version             Size  File name
   ----------------------------------------------------------
   24-Mar-2004  02:17  5.0.2195.6876    388,368  Advapi32.dll     
   24-Mar-2004  02:17  5.0.2195.6866     69,904  Browser.dll      
   24-Mar-2004  02:17  5.0.2195.6824    134,928  Dnsapi.dll       
   24-Mar-2004  02:17  5.0.2195.6876     92,432  Dnsrslvr.dll     
   24-Mar-2004  02:17  5.0.2195.6883     47,888  Eventlog.dll     
   24-Mar-2004  02:17  5.0.2195.6890    143,632  Kdcsvc.dll       
   11-Mar-2004  02:37  5.0.2195.6903    210,192  Kerberos.dll     
   21-Sep-2003  00:32  5.0.2195.6824     71,888  Ksecdd.sys
   11-Mar-2004  02:37  5.0.2195.6902    520,976  Lsasrv.dll       
   25-Feb-2004  23:59  5.0.2195.6902     33,552  Lsass.exe        
   19-Jun-2003  20:05  5.0.2195.6680    117,520  Msv1_0.dll       
   24-Mar-2004  02:17  5.0.2195.6897    312,592  Netapi32.dll     
   19-Jun-2003  20:05  5.0.2195.6695    371,984  Netlogon.dll     
   10-Aug-2004  00:17  5.0.2195.6966    933,648  Ntdsa.dll        
   24-Mar-2004  02:17  5.0.2195.6897    388,368  Samsrv.dll       
   24-Mar-2004  02:17  5.0.2195.6893    111,376  Scecli.dll       
   24-Mar-2004  02:17  5.0.2195.6903    253,200  Scesrv.dll       
   04-Jun-2004  23:13  5.0.2195.6935  5,887,488  Sp3res.dll       
   24-Mar-2004  02:17  5.0.2195.6824     50,960  W32time.dll      
   21-Sep-2003  00:32  5.0.2195.6824     57,104  W32tm.exe

Windows Server 2003 Service Pack-Informationen

Installieren Sie das neueste Servicepack für Windows Server 2003, um dieses Problem zu beheben. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
889100So erhalten Sie das neueste Servicepack für Windows Server 2003

Windows Server 2003 Hotfix-Informationen

Es ist ein unterstützter Hotfix von Microsoft erhältlich. Der Hotfix ist jedoch nur die Behebung des Problems die in diesem Artikel beschriebene vorgesehen. Installieren Sie diesen Hotfix nur auf Systemen, bei die dieses spezielle Problem auftritt. Dieser Hotfix kann einem späteren Zeitpunkt zusätzliche Tests unterzogen. Wenn durch dieses Problem nicht schwerwiegend beeinträchtigt ist, empfiehlt Microsoft daher, auf die nächste Softwareupdate zu warten, das diesen Hotfix enthält.

Wenn der Hotfix zum Download verfügbar ist, ist ein Abschnitt "Hotfix Download available (Hotfixdownload verfügbar" am oberen Rand dieser Knowledge Base-Artikel. Wenn in diesem Abschnitt nicht angezeigt wird, wenden Sie sich an technischen Kundendienst und Support, um den Hotfix zu erhalten.

Hinweis: Wenn weitere Probleme auftreten oder wenn eine Problembehandlung erforderlich ist, müssen Sie möglicherweise eine separate Serviceanfrage erstellen. Die normalen Supportkosten gelten die für zusätzliche Supportfragen und Probleme, die für diesen speziellen Hotfix nicht qualifizieren. Eine vollständige Liste der technischen Kundendienst und Support-Telefonnummern oder eine separate Serviceanfrage erstellen die folgende Microsoft-Website:
http://support.microsoft.com/contactus/?ws=support
Hinweis: Das Formular "Hotfix Download available (Hotfixdownload verfügbar" zeigt die Sprachen für die der Hotfix verfügbar ist. Wenn Ihre Sprache nicht angezeigt wird, ist es, da ein Hotfix nicht für diese Sprache zur Verfügung steht.Die englische Version dieses Hotfixes weist die Dateiattribute (oder höher Dateiattribute), die in der folgenden Tabelle aufgelistet werden. Die Datums- und Uhrzeitangaben für diese Dateien sind in Coordinated Universal Time (UTC) angegeben. Wenn Sie sich die Dateiinformationen ansehen, werden diese Angaben in die lokale Zeit konvertiert. Verwenden Sie die Registerkarte Zeitzone im Element Datum und Uhrzeit in der Systemsteuerung, um die Differenz zwischen UTC und der Ortszeit zu ermitteln.

Neustartanforderung

Sie müssen den Computer neu starten, nachdem Sie diesen Hotfix installiert haben.

Ersetzte Hotfixes

Dieser Hotfix ersetzt keine anderen Hotfixes.

Dateiinformationen

Windows Server 2003, 32-Bit-Editionen
   Date         Time   Version            Size  File name
   --------------------------------------------------------
   02-Nov-2004  01:26  5.2.3790.229  1,532,416  Ntdsa.dll
   02-Nov-2004  01:26  5.2.3790.212     32,768  Ntdsatq.dll
   19-Sep-2004  11:41  5.2.3790.212     59,392  Ws03res.dll
Windows Server 2003, 64-Bit-Editionen
   Date         Time   Version            Size  File name     Platform
   -------------------------------------------------------------------
   02-Nov-2004  01:21  5.2.3790.229  4,057,088  Ntdsa.dll     IA-64
   02-Nov-2004  01:21  5.2.3790.212     82,432  Ntdsatq.dll   IA-64
   19-Sep-2004  09:43  5.2.3790.212     58,880  Ws03res.dll   IA-64
   19-Sep-2004  11:41  5.2.3790.212     59,392  Wws03res.dll    x86
Nachdem Sie den Hotfix in Windows 2000 und Windows Server 2003 installiert haben, können Sie festlegen gesamtstrukturweite DsHeuristic Flags zum Steuern, welche Gruppen Operator durch AdminSDHolder geschützt sind. Mithilfe dieser neuen Option können Sie einige oder alle eingetragenen vier geschützten Gruppen wieder das ursprüngliche Windows 2000-Verhalten. Zeichenposition 16 wird interpretiert als hexadezimalen Wert, wobei das am weitesten links befindlichen Zeichen Position ist 1. Daher sind die einzigen gültigen Werte "0" bis "f". Jeder Operator-Gruppe hat eine bestimmte Bit wie folgt:
  • Bit 0: Konten-Operatoren
  • Bit 1: Server-Operatoren
  • Bit 2: Druckoperatoren
  • Bit 3: Sicherungs-Operatoren
Z. B. ein Wert von 0001 bedeutet Kontenoperatoren ausschließen. Ein Wert von 'c' würde Druckoperatoren (0100) und Sicherungsoperatoren (1000) ausschließen, da die binäre Summe 1100 einen Hexadezimalwert von 0xC widerspiegelt.

Um die neue Funktionalität zu aktivieren, müssen Sie ein Objekt im Konfigurationscontainer ändern. Diese Einstellung ist Gesamtstruktur breit. Gehen Sie folgendermaßen vor um das Objekt zu ändern:
  1. Suchen Sie das Objekt, das Sie ändern möchten. Weitere Informationen dazu finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    326690Anonyme LDAP-Operationen in Active Directory sind auf Windows Server 2003-Domänencontrollern deaktiviert.
  2. Geben Sie an einer Eingabeaufforderung ldp.exe , und drücken Sie dann die EINGABETASTE, um das LDP-Dienstprogramm starten.
  3. Klicken Sie auf Verbindung auf eine Verbindung herstellen , und klicken Sie dann auf OK .
  4. Klicken Sie auf Verbindung , klicken Sie auf binden , geben Sie den Benutzernamen und das Kennwort eines Administrators Gesamtstruktur Stamm und klicken Sie dann auf OK .
  5. Klicken Sie auf Ansicht , klicken Sie auf Struktur und klicken Sie dann auf OK .
  6. Öffnen Sie die folgende Konfiguration CN mit View\Tree:
    CN = Verzeichnisdienst, CN = Windows NT, CN = Services, CN = Configuration, DC = Forest root domain
  7. Suchen Sie das Active Directory-Objekt, und doppelklicken Sie dann darauf.
  8. Überprüfen Sie das Objektattribut Auflisten von auf der rechten Seite um zu bestimmen, ob das DsHeuristics -Attribut bereits festgelegt ist. Wenn Sie festgelegt ist, kopieren Sie den vorhandenen Wert in die Zwischenablage.
  9. Klicken Sie mit der rechten Maustaste auf den Verzeichnisdienst- Objekte auf der linken Seite, und klicken Sie dann auf Ändern .
  10. Geben Sie als Attributname- DsHeuristics .
  11. Geben Sie als Wert 000000000100000f ein. Ersetzen Sie die Nullen im ersten Teil des Werts mit bereits in DsHeuristics kann. Sicherstellen, dass Sie die richtige Anzahl von Ziffern von "f" oder was Sie bits festlegen möchten.

    Hinweis: Um zu überprüfen, dass die richtigen Zeichen geändert werden, muss jeder zehnten Zeichen auf die Anzahl der Zeichen bis zu festgelegt werden, dass Punkt durch 10 dividiert. Beispielsweise das zehnte Zeichen muss 1 sein, das 20. Zeichen muss 2 sein, das 30. Zeichen muss 3 sein und so weiter.
  12. Wenn das Attribut bereits vorhanden ist, klicken Sie auf im Feld Vorgang Ersetzen . Andernfalls klicken Sie auf Hinzufügen .
  13. Drücken SIE auf rechts zur Gruppe Vorgang, um es auf die LDAP-Transaktion hinzuzufügen.
  14. Klicken Sie auf Ausführen , um die Änderung des Objekts zu übernehmen. Nachdem diese Änderung auf dem PDC-Emulatoren in der Gesamtstruktur repliziert wird, werden diejenigen, die diesen Hotfix ausgeführt werden nicht die Benutzer schützen, die Mitglieder der Gruppe der Operatoren sind, denen Sie die Bits für festgelegt haben.

Abhilfe

Verwenden Sie um dieses Problem zu umgehen, eine der folgenden Methoden.

Methode 1: Sicherstellen Sie, Mitglieder nicht Mitglied einer geschützten Gruppe sind

Wenn Sie Berechtigungen, die Ebene der Organisationseinheit delegiert wurden verwenden, stellen Sie sicher, dass alle delegierten Berechtigungen benötigen Benutzer nicht Mitglied einer geschützten Gruppen sind. Für Benutzer zuvor wurden Mitglieder einer geschützten Gruppe das Vererbungsflag wird nicht automatisch zurückgesetzt, wenn der Benutzer aus einer geschützten Gruppe entfernt wird. Zu diesem Zweck können Sie das folgende Skript verwenden.

Hinweis: Dieses Skript überprüft das Vererbungsflag für alle Benutzer, deren AdminCount auf 1 festgelegt ist. Wenn die Vererbung deaktiviert ist (SE_DACL_PROTECTED festgelegt), das Skript wird die Vererbung aktiviert. Wenn Vererbung bereits aktiviert ist, bleibt Vererbung aktiviert. Darüber hinaus werden AdminCount auf 0 zurückgesetzt. Wenn der AdminSDHolder Thread erneut ausgeführt wird, wird, Deaktivieren der Vererbung und legen die AdminCount 1 für alle Benutzer, die im geschützten Gruppen verbleiben. Daher sind AdminCount und Vererbung korrekt für alle Benutzer festgelegt, die keine länger Mitglieder geschützter Gruppen sind.

Verwenden Sie den folgenden Befehl zum Ausführen des Skripts:
Cscript/nologo resetaccountsadminsdholder.vbs
Microsoft bietet Programmierbeispiele für Abbildung nur ohne Gewährleistung oder konkludent. Dies umfasst, ist jedoch nicht beschränkt auf konkludenten Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck. Dieser Artikel setzt voraus, dass Sie mit der Programmiersprache, die Programmierungsbeispiele ist und mit den Tools, die zum Erstellen und Debuggen von Prozeduren verwendet werden vertraut sind. Microsoft Support-Technikern helfen Erläuterung die Funktionalität einer bestimmten Prozedur, Sie werden ändert jedoch nicht diese Beispiele bieten Funktionen hinzugefügt oder Verfahren, um Ihren Anforderungen entsprechend zu erstellen.
'********************************************************************
'*
'* File:           ResetAccountsadminSDHolder.vbs 
'* Created:        November 2003
'* Version:        1.0
'*
'*  Main Function:  Resets all accounts that have adminCount = 1 back
'*	to 0 and enables the inheritance flag
'*
'*  ResetAccountsadminSDHolder.vbs 
'*
'* Copyright (C) 2003 Microsoft Corporation
'*
'********************************************************************

Const SE_DACL_PROTECTED = 4096

On Error Resume Next

Dim sDomain
Dim sADsPath
Dim sPDC


Dim oCon 
Dim oCmd
Dim oRst
Set oRst = CreateObject("ADODB.Recordset")
Set oCmd = CreateObject("ADODB.Command")
Set oCon = CreateObject("ADODB.Connection")

Dim oRoot
Dim oDomain
Dim oADInfo
Dim oInfo
Set oADInfo = CreateObject("ADSystemInfo")
Set oInfo = CreateObject("WinNTSystemInfo")
sPDC = oInfo.PDC & "." & oADInfo.DomainDNSName

oCon.Provider = "ADSDSOObject"
oCon.Open "Active Directory Provider"

oCmd.ActiveConnection = oCon

Set oRoot = GetObject("LDAP://rootDSE")
sDomain = oRoot.Get("defaultNamingContext")
Set oDomain = GetObject("LDAP://" & sDomain)
sADsPath = "<" & oDomain.ADsPath & ">"

oCmd.CommandText = "SELECT ADsPath FROM 'LDAP://" & sPDC & "/" & sDomain & "' WHERE objectCategory='person' and objectClass = 'user' AND adminCount = 1"
Set oRst = oCmd.Execute

WScript.Echo "searching for objects with 'admin count = 1' in " & sDomain

If oRst.RecordCount = 0 Then
    WScript.Echo "no accounts found"
    WScript.Quit
End If

Do While Not oRst.EOF
    WScript.Echo  "found object " & oRst.Fields("ADsPath")
    If SetInheritanceFlag(oRst.Fields("ADsPath")) = 0 Then WScript.Echo "Inheritance flag set"
    If SetAdminCount(oRst.Fields("ADsPath"), 0) = 0 Then WScript.Echo "adminCount set to 0"
    WScript.Echo  "=========================================="
    oRst.MoveNext
Loop


Private Function SetInheritanceFlag(DSObjectPath)

    Dim oSD
    Dim oDACL
    Dim lFlag
    Dim oIADs

    Set oIADs = GetObject(DSObjectPath)

    Set oSD = oIADs.Get("nTSecurityDescriptor")

    If oSD.Control And SE_DACL_PROTECTED Then
        oSD.Control = oSD.Control - SE_DACL_PROTECTED
    End If

    oIADs.Put "nTSecurityDescriptor", oSD
    oIADs.SetInfo
    
    If Err.Number <> 0 Then
        SetInheritanceFlag = Err.Number
    Else
        SetInheritanceFlag = 0
    End If

End Function


Private Function SetAdminCount(DSObjectPath, AdminCount)

    Dim oIADs
    Dim iAdminCount

    Set oIADs = GetObject(DSObjectPath)

    iAdminCount = oIADs.Get("adminCount")

    If iAdminCount = 1 Then iAdminCount = 0

    oIADs.Put "adminCount", iAdminCount
    oIADs.SetInfo
    If Err.Number <> 0 Then
        SetAdminCount = Err.Number
    Else
        SetAdminCount = 0
    End If
    
End Function
Um sicherzustellen, dass Sie nicht negativ auf Benutzer betroffen empfehlen wir, dass zuerst die Benutzer, die AdminCount, die sichern mithilfe von "Ldifde.exe" auf 1 festgelegt haben. Geben Sie hierzu an einer Eingabeaufforderung den folgenden Befehl ein und drücken Sie anschließend die [Eingabetaste]:
Ldifde -f Admincount 1.txt - d dc = your domain-R "(& objectcategory=person)(objectclass=user)(admincount=1))"
Überprüfen die Ausgabedatei um sicherzustellen, dass alle Benutzer mit die DACL Bit deaktiviert geschützt hat die richtigen Berechtigungen mit geerbt Zugriff gesteuert ACEs (Zugriffssteuerungseintrag) nur. Diese Methode wird empfohlen und ist nicht vorhandene Sicherheit herabsetzen.

Methode 2: Aktivieren der Vererbung auf AdminSDHolder-container

Wenn Sie die Vererbung für AdminSDHolder-Container aktivieren, haben alle Mitglieder geschützten Gruppen Berechtigungen aktiviert geerbt. Hinsichtlich der Sicherheitsfunktionen wechselt diese Methode das Verhalten von den AdminSDHolder-Container wieder auf die vor Service Pack 4-Funktionalität.

Aktivieren der Vererbung auf AdminSDHolder-container

Wenn Sie die Vererbung für AdminSDHolder-Container aktivieren, ist einer der zwei Schutzmaßnahmen Zugriff Steuerelement ACL-Mechanismen deaktiviert. Standard-Berechtigungen werden angewendet. Hingegen erben alle Mitglieder geschützter Gruppen Berechtigungen aus der Organisationseinheit und alle übergeordneten Organisationseinheiten, wenn Vererbung Ebene der Organisationseinheit aktiviert ist.

Um Vererbung Schutz für administrative Benutzer bieten, alle administrativen Benutzer (und andere Benutzer Vererbung geschützt werden müssen) in Ihrer eigenen Organisationseinheit zu verschieben. Ebene der Organisationseinheit entfernen Sie Vererbung und legen Sie die Berechtigungen entsprechend die aktuellen ACLs auf dem AdminSDHolder-Container. Da die Berechtigungen für den AdminSDHolder-Container variieren können (beispielsweise Microsoft Exchange Server fügt einige Berechtigungen oder die Berechtigungen geändert worden sein können), ein Mitglied einer geschützten Gruppe für den aktuellen Berechtigungen im AdminSDHolder-Container überprüfen. Werden Sie beachten Sie, dass die Benutzeroberfläche (UI) nicht alle Berechtigungen für den AdminSDHolder-Container angezeigt. Verwenden Sie DSacls, um alle Berechtigungen für den AdminSDHolder-Container anzuzeigen.

Sie können die Vererbung für AdminSDHolder-Container aktivieren, mithilfe von ADSIEdit oder Active Directory-Benutzer und-Computer. Der Pfad des AdminSDHolder-Container ist CN = AdminSDHolder, CN = System, DC = <mydomain>, DC = <com>

Hinweis: Wenn Sie Active Directory-Benutzer und-Computer verwenden, stellen Sie sicher, dass die Ansicht Erweiterte Funktionen aktiviert ist im Menü.

So aktivieren Sie die Vererbung für den AdminSDHolder-container
  1. Klicken Sie mit der rechten Maustaste auf den Container, und klicken Sie dann auf Eigenschaften .
  2. Klicken Sie auf die Registerkarte Sicherheit .
  3. Klicken Sie auf Erweitert .
  4. Klicken Sie auf das Kontrollkästchen Allow Inheritable Berechtigungen dieses Objekt und alle untergeordneten Objekte verbreiten .
  5. Klicken Sie auf OK , und klicken Sie dann auf Schließen .
Beim nächsten der SDProp-Thread ausgeführt wird, wird das Vererbungsflag auf alle Mitglieder geschützter Gruppen festgelegt. Dieses Verfahren kann bis zu 60 Minuten dauern. Warten Sie diese Änderung auf dem primären Domänencontroller (PDC) repliziert.

Methode 3: Verhindern der Vererbung nur ACLs und zu ändern

Wenn Sie möchten nicht Benutzer, die Mitglieder geschützter Gruppen, um Berechtigungen aus dem Container erben, die in die Benutzer befinden und Sie nur die Sicherheit für die Benutzerobjekte ändern möchten, können Sie die Sicherheit auf dem AdminSDHolder-Container-Verzeichnis bearbeiten. In diesem Szenario müssen Sie nicht der Vererbung für AdminSDHolder-Container aktivieren. Sie müssen nur die Gruppe hinzufügen oder Bearbeiten der Sicherheit von Sicherheitsgruppen, die bereits auf dem AdminSDHolder-Container definiert sind. Nach einer Stunde wird der SDProp-Thread die Änderung den Zugriffssteuerungslisten von den AdminSDHolder-Container an alle Mitglieder geschützter Gruppen angewendet. Die Member erben nicht die Sicherheit des Containers, denen Sie sich im befinden.

Z. B. die selbst-Konto erfordert das Recht an alle Eigenschaften lesen . Bearbeiten die AdminSDHolder-Container-Sicherheitseinstellungen dieses Recht auf den selbst darf Konto. Nach einer Stunde dieses Recht sind zulässig, die selbst Konto für alle Benutzer, die Mitglieder geschützter Gruppen sind. Vererbung-Flag wird nicht geändert.

Das folgende Beispiel veranschaulicht die Änderungen auf das AdminSDHolder -Objekt nur. Dieses Beispiel erteilt die folgenden Berechtigungen in dem AdminSDHolder -Objekt:
  • Inhalt auflisten
  • Alle Eigenschaften lesen
  • Alle Eigenschaften schreiben
Gehen Sie folgendermaßen vor um diese Berechtigungen in dem AdminSDHolder -Objekt zu gewähren:
  1. Klicken Sie in Active Directory-Benutzer und-Computer auf Erweiterte Funktionen für die Ansicht im Menü.
  2. Suchen Sie das AdminSDHolder -Objekt. Das Objekt befindet sich im folgenden Verzeichnis für jede Domäne in Active Directory Gesamtstruktur: CN = AdminSDHolder, CN = System, DC=domain,DC=com Here, DC = Domain, DC = com ist der DN der Domäne.
  3. Klicken Sie mit der rechten Maustaste auf AdminSDHolder , und klicken Sie dann auf Eigenschaften .
  4. Klicken Sie im Dialogfeld Eigenschaften auf die Registerkarte Sicherheit , und klicken Sie dann auf Erweitert .
  5. Klicken Sie im Dialogfeld Zugriffseinstellungen für AdminSDHolder auf der Registerkarte Berechtigungen auf Hinzufügen .
  6. In der Benutzer, Computer oder Gruppen im Dialogfeld klicken Sie auf das Konto, dem Sie verwandte Berechtigungen erteilen möchten, und klicken Sie dann auf OK .
  7. In den Berechtigungseintrag für AdminSDHolder im Dialogfeld klicken Sie auf nur dieses Objekt im Feld Übernehmen und dann auf Inhalt auflisten Alle Eigenschaften lesen und Berechtigungen alle Eigenschaften schreiben .
  8. Klicken Sie auf OK , um das Dialogfeld Berechtigungseintrag für AdminSDHolder , im Dialogfeld Access der Einstellungen für AdminSDHolder und das Dialogfeld Eigenschaften von AdminSDHolder zu schließen.
Innerhalb einer Stunde wird die ZUGRIFFSSTEUERUNGSLISTE auf die geschützten Gruppen mit die Änderungen zugeordneten Benutzerobjekte aktualisiert werden.Weitere Informationen finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
232199Beschreibung und Aktualisieren von Active Directory AdminSDHolder-Objekts
318180AdminSDHolder Thread wirkt sich auf transitive Mitgliedern Verteilergruppe

Status

Microsoft hat bestätigt, dass dies ein Problem in Microsoft-Produkten handelt, die im Abschnitt "Gilt für" aufgeführt sind. Dieses Problem wurde erstmals in Windows Server 2003 Service Pack 1.

Weitere Informationen

Active Directory verwendet einen Schutzmechanismus, damit, dass die ACLs für Mitglieder vertraulicher Gruppen ordnungsgemäß festgelegt sind. Der Mechanismus wird einmal eine Stunde ausgeführt, auf dem PDC-Betriebsmaster. Der Betriebsmaster vergleicht die ACL für die Benutzerkonten, die Mitglieder geschützter Gruppen mit der ZUGRIFFSSTEUERUNGSLISTE für das folgende Objekt sind:
CN = AdminSDHolder, CN = System, DC = <MyDomain>,DC=<Com>

Hinweis: "DC = <MyDomain>,DC=<Com> "steht für den definierten Namen (DN) Ihrer Domäne.

Wenn die ACL unterscheidet, die ACL für Objekt für den Benutzer wird entsprechend die Sicherheitseinstellungen das AdminSDHolder-Objekt überschrieben (und ACL-Vererbung deaktiviert ist). Dieser Prozess verhindert, dass diese Konten bearbeitet durch nicht autorisierte Benutzer, wenn die Konten zu einem Container oder die Organisationseinheit verschoben werden, in denen ein böswilliger Benutzer delegierten administrative Anmeldeinformationen zum Ändern von Benutzerkonten wurde. Bedenken Sie, wenn ein Benutzer aus der administrativen Gruppe entfernt wird, der Prozess nicht rückgängig gemacht und manuell geändert werden muss.

Hinweis: Um die Häufigkeit steuern, an dem das AdminSDHolder-Objekt Sicherheitsbeschreibungen aktualisiert, erstellen oder Ändern der AdminSDProtectFrequency Eintrag in den folgenden Registrierungsunterschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Wenn der AdminSDProtectFrequency-Registrierungseintrag nicht vorhanden ist, aktualisiert das AdminSDHolder-Objekt Sicherheitsbeschreibungen alle 60 Minuten (3600 Sekunden). Dieser Registrierungseintrag können Sie diese Frequenz auf alle Rate zwischen 1 Minute (60 Sekunden) und 2 Stunden (7200 Sekunden) festlegen, indem Sie den Wert in Sekunden eingeben. Jedoch empfohlen nicht, dass Sie diesen Wert außer für kurze Zeiträume Tests ändern. Ändern diesen Wert kann LSASS Verarbeitungsaufwand erhöhen.

Die folgende Liste beschreibt die geschützten Gruppen in Windows 2000:
  • Organisations-Admins
  • Schema-Admins
  • Domänen-Admins
  • Administratoren

Die folgende Liste beschreibt die geschützten Gruppen in Windows Server 2003 und Windows 2000, nachdem Sie den Hotfix 327825 installieren, oder Sie Windows 2000 Service Pack 4 installieren:
  • Administratoren
  • Konten-Operatoren
  • Serveroperatoren
  • Druck-Operatoren
  • Sicherungs-Operatoren
  • Domänen-Admins
  • Schema-Admins
  • Organisations-Admins
  • Zertifikatherausgeber
Darüber hinaus die folgenden Benutzer ebenfalls berücksichtigt sind geschützt:
  • Administrator
  • KRBTGT
Beachten Sie die Mitgliedschaft in Verteilergruppen ist ein Benutzertoken nicht auffüllen. Tools wie z. B. "Whoami" können Sie daher um Gruppenmitgliedschaft zu ermitteln.

Weitere Informationen zum Delegieren der Verwaltung im Whitepaper Best Practices for Delegating Active Directory Administration . Besuchen Sie hierzu die folgende Website von Microsoft:
http://www.microsoft.com/downloads/details.aspx?familyid=631747a3-79e1-48fa-9730-dae7c0a1d6d3&displaylang=en

Eigenschaften

Artikel-ID: 817433 - Geändert am: Montag, 20. April 2009 - Version: 24.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Server SP4
Keywords: 
kbmt kbautohotfix kbwinserv2003sp1fix atdownload kbhotfixserver kbqfe KB817433 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 817433
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com