Delegovaná oprávnění nejsou k dispozici a dědění je automaticky zakázána.

ID článku: 817433 - Produkty, které se vztahují k tomuto článku.
Strojově přeložený článekUPOZORNĚNÍ: TENTO ČLÁNEK BYL STROJOVĚ PŘELOŽEN
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Příznaky

Po upgradu na systém Windows Server 2003, může z následujících příznaků:
  • Delegovaná oprávnění nejsou k dispozici všem uživatelům v organizační jednotky.
  • Dědičnost je automaticky zakázáno na některé uživatelské účty přibližně jednou za hodinu
  • Uživatelé, kteří dříve byla přidělena oprávnění již nechat.
K tomuto problému může dojít také po použití opravy hotfix popsané článek znalostní báze Microsoft Knowledge Base 327825 Microsoft Windows 2000 Server nebo Po instalaci systému Windows 2000 Service Pack 4 pro systém Microsoft Windows 2000 Server. Další informace o opravě hotfix systému Windows 2000 327825, Klepnutím na následující číslo článku Microsoft Znalostní báze Knowledge Base:
327825
(http://support.microsoft.com/kb/327825/ )
Nový řešení potíží s ověřováním pomocí protokolu Kerberos, když uživatelé náleží do více skupin
Zpět nahoru | Dejte nám zpětnou vazbu

Příčina

Při delegování oprávnění pomocí delegace Průvodce řízení těchto oprávnění spoléhají objektu uživatele, který dědí oprávnění z nadřazeného kontejneru. Členy skupin chráněné nejsou dědit oprávnění z nadřazeného kontejneru. Proto pokud nastavíte oprávnění pomocí Průvodce delegováním řízení, tato oprávnění nejsou u členů skupin chráněné.

Poznámka: Členství ve skupině chráněné je definována jako buď přímo členství nebo přenosných členství pomocí jednoho nebo více zabezpečení nebo distribuční skupiny. Distribuční skupiny jsou zahrnuty, protože mohou být převedeny na skupiny zabezpečení.

V systému Windows Server 2003, počet skupin, které jsou chráněných zvýšila zabezpečení ve službě Active Directory (naleznete Oddíl "Další informace"). Počet skupin které jsou chráněny také zvýší, jestliže u 327825 opravy hotfix systému Windows 2000.
Zpět nahoru | Dejte nám zpětnou vazbu

Řešení

Chcete-li tento problém vyřešit, můžete nainstalovat opravu hotfix. Je nutné Nainstalujte opravu hotfix řadič domény, který má primární domény Řadič emulátor roli v každé doméně. Navíc je nutné nainstalovat opravu hotfix na všech řadičích domény, které můžete použít k Tato role převzít, pokud je aktuální operace emulátoru primárního řadiče domény držitelem role hlavního k dispozici. Pokud si nejste jisti řadiče domény použijete Chcete-li převzít roli, doporučujeme zvážit instalaci opravy hotfix na všechny řadiče domény. Pokud řadič domény bez opravy hotfix se předpokládá, Operace roli hlavního emulátoru PDC, bude nastavena oprávnění uživatele znovu.

Informace o opravě hotfix pro systém Windows 2000

Podporovaná oprava hotfix je k dispozici od společnosti Microsoft. Tato oprava hotfix je však určena pouze problém popsaný v tomto článku. Použití této opravy hotfix pouze u systémů, ve kterých dochází k tomuto konkrétnímu problému.

Pokud je oprava hotfix je k dispozici ke stažení, je sekce "Hotfix stažení k dispozici" v horní části tohoto článku. Pokud tento oddíl není uveden, odešlete žádost o podporu a služby zákazníkům společnosti, jak získat opravu hotfix.

Poznámka: Pokud nastanou další problémy nebo řešení potíží je vyžadován, pravděpodobně vytvořit samostatnou žádost. Výdaje na technickou podporu se bude u dalších otázek a problémů, které nelze vyřešit určitou konkrétní opravy hotfix. Úplný seznam telefonních čísel služeb zákazníkům společnosti Microsoft a podpoře nebo vytvořit zvláštní požadavek na službu navštivte následující Web společnosti Microsoft:
http://support.microsoft.com/contactus/?ws=support
(http://support.microsoft.com/contactus/?ws=support)
Poznámka: "Hotfix stažení k dispozici" formulář zobrazí jazyky, pro které je oprava hotfix je k dispozici. Pokud váš jazyk není uveden, je to, protože oprava hotfix není k dispozici pro daný jazyk.

Požadavek na restartování

Po instalaci této opravy hotfix, je nutné restartovat počítač.

Informace o nahrazení opravy hotfix

Tato oprava hotfix nenahrazuje žádné další opravy hotfix.

Informace o souboru

Anglická verze této opravy hotfix má atributy souborů (nebo novější), jsou uvedeny v následující tabulce. Data a časy jednotlivých souborů jsou uvedeny v koordinovaný světový čas (UTC). Při zobrazení informací o souboru, je převeden na místní čas. Pomocí vyhledat rozdíl mezi místním časem a časem UTC naleznete Časové pásmo karty v Datum a čas Chcete-li zobrazit položky v Ovládacích panelech.

Informace o aktualizaci service pack pro systém Windows Server 2003

Tento problém vyřešíte pomocí nejnovější aktualizace service pack pro systém Windows Server 2003. Další informace získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
889100
(http://support.microsoft.com/kb/889100/ )
Jak získat nejnovější aktualizaci service pack pro systém Windows Server 2003

Informace o opravě hotfix pro systém Windows Server 2003

Podporovaná oprava hotfix je k dispozici od společnosti Microsoft. Tato oprava hotfix je však určena pouze problém popsaný v tomto článku. Použití této opravy hotfix pouze u systémů, ve kterých dochází k tomuto konkrétnímu problému. Tato oprava hotfix může být dále testována. Proto pokud není přísně tento problém, doporučujeme počkat na další aktualizaci softwaru, která bude tuto opravu hotfix obsahovat.

Pokud je oprava hotfix je k dispozici ke stažení, je sekce "Hotfix stažení k dispozici" v horní části tohoto článku. Pokud tento oddíl není uveden, obraťte se na podporu a služby zákazníkům společnosti, jak získat opravu hotfix.

Poznámka: Pokud nastanou další problémy nebo řešení potíží je vyžadován, pravděpodobně vytvořit samostatnou žádost. Výdaje na technickou podporu se bude u dalších otázek a problémů, které nelze vyřešit určitou konkrétní opravy hotfix. Úplný seznam telefonních čísel služeb zákazníkům společnosti Microsoft a podpoře nebo vytvořit zvláštní požadavek na službu navštivte následující Web společnosti Microsoft:
http://support.microsoft.com/contactus/?ws=support
(http://support.microsoft.com/contactus/?ws=support)
Poznámka: "Hotfix stažení k dispozici" formulář zobrazí jazyky, pro které je oprava hotfix je k dispozici. Pokud váš jazyk není uveden, je to, protože oprava hotfix není k dispozici pro daný jazyk.Anglická verze této opravy hotfix má atributy souborů (nebo novější), jsou uvedeny v následující tabulce. Data a časy jednotlivých souborů jsou uvedeny v koordinovaný světový čas (UTC). Při zobrazení informací o souboru, je převeden na místní čas. Pomocí vyhledat rozdíl mezi místním časem a časem UTC naleznete Časové pásmo Karta v položce Datum a čas v okně Ovládací panely.

Požadavek na restartování

Po instalaci této opravy hotfix, je nutné restartovat počítač.

Informace o nahrazení opravy hotfix

Tato oprava hotfix nenahrazuje žádné další opravy hotfix.

Informace o souboru

Windows Server 2003 32-bit Edition
Windows Server 2003 64-bit Edition
Po instalaci opravy hotfix v systému Windows 2000 a v systému Windows Server 2003, můžete nastavit pro celou doménovou strukturu dsHeuristic příznaky řídící skupiny operátora, které jsou chráněno objektem adminSDHolder. Pomocí této nové možnosti lze nastavit některé nebo všechny zapsaným čtyři chráněné skupiny zpět k původnímu chování systému Windows 2000. Je pozice znaku 16 interpretovány jako hexadecimální hodnotu, kde je na pozici nejvíce vlevo znak 1. Jediné platné hodnoty jsou proto "0" až "f". Každá skupina operátor konkrétní bit má takto:
  • Bit 0: Account Operators
  • Bit 1: Server Operators
  • Bit 2: Print Operators
  • Bit 3: Backup Operators
Například hodnota 0001 prostředky vyloučit Account Operators. A Hodnota 'c' by vyloučit, Print Operators (0100) a zálohování Operátory (1000), protože binární součet 1100 odráží šestnáctkovou hodnotu 0xC.

Chcete-li povolit nové funkce, musíte Upravte objekt kontejneru konfigurace. Toto nastavení je celé doménové struktury. Chcete-li objekt upravit, postupujte takto:
  1. Vyhledejte objekt, který chcete změnit.Další informace o tom, jak to provést klepněte na následující číslo článku databáze Microsoft Knowledge Base:
    326690
    (http://support.microsoft.com/kb/326690/ )
    Anonymní operací LDAP V doméně systému Windows Server 2003 jsou zakázány služby Active Directory řadiče
  2. Na příkazovém řádku zadejte následující příkaz: Nástroj Ldp.exea potom stiskněte klávesu ENTER, spusťte nástroj LDP.
  3. Klepněte na tlačítko Připojení, klepněte na tlačítkopřipojit a potom klepněte na tlačítko OK.
  4. Klepněte na tlačítko Připojení, klepněte na tlačítkoBIND, zadejte uživatelské jméno a heslo kořenová doména doménové struktury správce a pak klepněte na tlačítko OK.
  5. Klepněte na tlačítko Zobrazení, klepněte na tlačítko Strom, a potom klepněte na tlačítko OK.
  6. Pomocí cestu View\Tree, otevřete následující konfiguraci KN:
    CN = Directory Service, CN = Windows NT, CN = Services, CN = Configuration, DC =Kořenové domény doménové struktury
  7. Vyhledání objektu adresářové služby a pak Poklepejte na něj.
  8. Zkontrolujte atribut objektu zobrazení na pravé straně určit, zda dsHeuristics atribut je již nastaven. Pokud je nastaven, zkopírujte do schránky existující hodnotu.
  9. Klepněte pravým tlačítkem myši Adresářové služby objekty na levé straně a potom klepněte na tlačítko Upravit.
  10. Zadejte jako název atributudsHeuristics.
  11. Jako hodnotu zadejte následující příkaz: 000000000100000f. Co je pravděpodobně již nahradit nuly v první části hodnoty v dsHeuristics. Ujistěte se, zda máte správný počet číslic až "f" nebo jakékoli bity, které chcete nastavit.

    Poznámka: Ověřte, že je upravována správné znaky, každý desátý znak musí být nastaven na počet znaků až do okamžiku dělená deset. Desátý znak musí být například 1, dvacáté znak musí být 2, třicátým znak musí být 3, atd.
  12. Pokud atribut již existuje, klepněte na tlačítkoNahradit v Operace pole. V opačném případě Klepněte na tlačítko Přidat.
  13. Stiskněte klávesu ENTER na pravé straně operace skupině přidat k transakci LDAP.
  14. Klepněte na tlačítko Spustit použít změny objekt. Po této změně je replikována do emulátory primárního řadiče domény v doménové struktuře, které běží tato oprava hotfix nebude chránit uživatele, kteří jsou členy nastavených bitů pro skupiny hospodářských subjektů.
Zpět nahoru | Dejte nám zpětnou vazbu

Jak potíže obejít

Chcete-li tento problém vyřešit, použijte jednu z následujících metody.

Metoda 1: Přesvědčte se, zda členové nejsou členy skupiny chráněné

Používáte-li oprávnění, které jsou delegovány na organizační jednotka úroveň, ujistěte se, že jsou všichni uživatelé, kteří vyžadují delegovaná oprávnění nejsou členy jedné z chráněných skupin. Pro uživatele, kteří byli dříve Členové skupiny chráněné, příznak dědičnosti není automaticky vynulován. Když uživatel odebrán ze chráněné skupiny. Chcete-li to provést, můžete Následující skript.

Poznámka: Tento skript kontroluje dědičnost příznak pro všechny uživatele, jejichž AdminCount nastaven na hodnotu 1. Pokud je zakázáno dědičnost (SE_DACL_PROTECTED je nastaveno), skript umožní dědičnosti. Pokud je již povoleno dědičnosti, dědičnost, zůstane aktivován. AdminCount navíc bude nastavena na hodnotu 0. Při opětovném spuštění podprocesu adminSDHolder zakázat dědičnost a nastavte AdminCount 1 pro všechny uživatele, kteří zůstávají v chráněných skupin. Proto AdminCount a dědičnosti jsou správně nastaveny pro všechny uživatele, kteří již Členové skupiny chráněné.

Důležité: Pokud je tento skript spuštěn z počítače se systémem Systém Windows Vista a vyšší, prosím do příkazového řádku spustit s oprávněními pro správu a spusťte tento skript.

Pomocí následujícího příkazu spusťte skript:
cscript/nologo resetaccountsadminsdholder.vbs

Microsoft buď poskytuje ukázky programování pouze pro ilustraci bez žádné záruky ani předpokládané. To zahrnuje, ale není omezen pouze na, mlčky záruk obchodovatelnosti nebo vhodnosti pro určitý účel. V tomto článku předpokládá se, že jste obeznámeni s programovacím jazykem, který je prokázané a s nástroji, které slouží k vytvoření a ladění postupy. Pracovníci podpory společnosti Microsoft mohou vysvětlit funkce konkrétní postup, ale budou tyto příklady upravovat poskytování přidané funkce nebo konstrukce postupy podle svých specifických požadavků. 
'********************************************************************
'*
'* File:           ResetAccountsadminSDHolder.vbs 
'* Created:        November 2003
'* Version:        1.0
'*
'*  Main Function:  Resets all accounts that have adminCount = 1 back
'*	to 0 and enables the inheritance flag
'*
'*  ResetAccountsadminSDHolder.vbs 
'*
'* Copyright (C) 2003 Microsoft Corporation
'*
'********************************************************************

Const SE_DACL_PROTECTED = 4096

On Error Resume Next

Dim sDomain
Dim sADsPath
Dim sPDC


Dim oCon 
Dim oCmd
Dim oRst
Set oRst = CreateObject("ADODB.Recordset")
Set oCmd = CreateObject("ADODB.Command")
Set oCon = CreateObject("ADODB.Connection")

Dim oRoot
Dim oDomain
Dim oADInfo
Dim oInfo
Set oADInfo = CreateObject("ADSystemInfo")
Set oInfo = CreateObject("WinNTSystemInfo")
sPDC = oInfo.PDC & "." & oADInfo.DomainDNSName

oCon.Provider = "ADSDSOObject"
oCon.Open "Active Directory Provider"

oCmd.ActiveConnection = oCon

Set oRoot = GetObject("LDAP://rootDSE")
sDomain = oRoot.Get("defaultNamingContext")
Set oDomain = GetObject("LDAP://" & sDomain)
sADsPath = "<" & oDomain.ADsPath & ">"

oCmd.CommandText = "SELECT ADsPath FROM 'LDAP://" & sPDC & "/" & sDomain & "' WHERE objectCategory='person' and objectClass = 'user' AND adminCount = 1"
Set oRst = oCmd.Execute

WScript.Echo "searching for objects with 'admin count = 1' in " & sDomain

If oRst.RecordCount = 0 Then
    WScript.Echo "no accounts found"
    WScript.Quit
End If

Do While Not oRst.EOF
    WScript.Echo  "found object " & oRst.Fields("ADsPath")
    If SetInheritanceFlag(oRst.Fields("ADsPath")) = 0 Then WScript.Echo "Inheritance flag set"
    If SetAdminCount(oRst.Fields("ADsPath"), 0) = 0 Then WScript.Echo "adminCount set to 0"
    WScript.Echo  "=========================================="
    oRst.MoveNext
Loop


Private Function SetInheritanceFlag(DSObjectPath)

    Dim oSD
    Dim oDACL
    Dim lFlag
    Dim oIADs

    Set oIADs = GetObject(DSObjectPath)

    Set oSD = oIADs.Get("nTSecurityDescriptor")

    If oSD.Control And SE_DACL_PROTECTED Then
        oSD.Control = oSD.Control - SE_DACL_PROTECTED
    End If

    oIADs.Put "nTSecurityDescriptor", oSD
    oIADs.SetInfo
    
    If Err.Number <> 0 Then
        SetInheritanceFlag = Err.Number
    Else
        SetInheritanceFlag = 0
    End If

End Function


Private Function SetAdminCount(DSObjectPath, AdminCount)

    Dim oIADs
    Dim iAdminCount

    Set oIADs = GetObject(DSObjectPath)

    iAdminCount = oIADs.Get("adminCount")

    If iAdminCount = 1 Then iAdminCount = 0

    oIADs.Put "adminCount", iAdminCount
    oIADs.SetInfo
    If Err.Number <> 0 Then
        SetAdminCount = Err.Number
    Else
        SetAdminCount = 0
    End If
    
End Function
Ujistěte se, že jste nepříznivě neovlivní uživatelé, doporučujeme, abyste že nejprve výpisu uživatelů, kteří AdminCount na hodnotu 1 pomocí programu Ldifde.exe. Chcete-li to provést, zadejte na příkazovém řádku následující příkaz a stiskněte klávesu ZADEJTE:
ldifde -f Admincount-1.txt - d dc =vaše domény -r "(& (objectcategory=person)(objectclass=user)(admincount=1))"
Zkontrolujte výstupní soubor potvrdit, že všichni uživatelé kdo bude mít budou chráněny DACL bitem, správný oprávnění zděděná přístup řízena pouze položky (ACE). Tato metoda upřednostňována a není k oslabení zabezpečení existující.
Zpět nahoru | Dejte nám zpětnou vazbu

Metoda 2: Povolení dědičnosti v kontejneru objektem adminSDHolder

Pokud povolíte dědičnosti na nádobě adminSDHolder všechny Členové skupin chráněné mají zděděná oprávnění, které jsou povoleny. Z hlediska funkce zabezpečení, tato metoda vrátí chování objektem adminSDHolder kontejner zpět k funkci používají aktualizací Service Pack 4.

Povolení dědičnosti v kontejneru objektem adminSDHolder

Pokud povolíte dědičnosti na nádobě adminSDHolder jeden z Tyto dva mechanismy řízení seznam (ACL) ochranné přístup zakázán. Na výchozí oprávnění platí. Je však chránit všechny členy skupiny dědit oprávnění z organizační jednotky a všechny nadřazené organizační jednotky, pokud je dědičnost povolena na úrovni organizační jednotky.

K poskytují ochranu dědičnost pro správu uživatelů, přesuňte všechny pro správu uživatelů (a ostatní uživatelé, kteří vyžadují ochranu dědičnosti) na vlastní organizační jednotky. Na úrovni organizační jednotky odebrání dědičnost a potom nastavit oprávnění tak, aby odpovídala aktuální seznamy ACL na kontejner adminSDHolder. Protože oprávnění na kontejner objektem adminSDHolder může se lišit (například Microsoft Exchange Server přidá některá oprávnění nebo oprávnění může byly upraveny), zkontrolujte členem chráněné skupinu pro aktuální oprávnění na kontejner adminSDHolder. Uvědomte si, že uživatel rozhraní (UI) nezobrazuje všechna oprávnění na kontejner adminSDHolder. DSacls slouží k zobrazení všech oprávnění na kontejner adminSDHolder.

Dědičnost adminSDHolder kontejneru můžete povolit pomocí nástroje ADSI Edit nebo Active Directory Users and Computers. Cesta ke kontejneru objektem adminSDHolder je CN = adminSDHolder, CN = System, DC =<mydomain>, DC =<com><b00></b00></com></mydomain>

Poznámka: Používáte-li Active Directory Users and Computers, ujistěte se, že Rozšířené funkce je vybrán v Zobrazenínabídka.

Povolení dědičnosti v kontejneru adminSDHolder:
  1. Klepněte pravým tlačítkem myši na kontejner a potom klepněte na tlačítkoVlastnosti.
  2. Klepněte Zabezpečení na kartě.
  3. Klepněte na tlačítko Upřesnit.
  4. Klepnutím vyberte Povolit přenesení dědičných oprávnění na tento objekt a všechny podřízené objekty Zaškrtávací políčko .
  5. Klepněte na tlačítko OKa klepněte na tlačítkoZavřít.
Je příznak dědičnosti při příštím spuštění podprocesu SDProp nastavit všechny členy skupin chráněné. Tento proces může trvat až 60 minut. Ponechte dostatečný čas pro tuto změnu k replikaci z primárního řadič domény (PDC).

Metoda 3: Zabránit dědičnosti a pouze změnit seznamy řízení přístupu

Pokud nechcete, aby uživatelé, kteří jsou členy skupiny chráněné na dědit oprávnění, uživatelé jsou umístěny v kontejneru a pouze Chcete změnit zabezpečení objektů uživatele, můžete upravit zabezpečení na kontejner adresáře adminSDHolder. V tomto případě není nutné Povolte dědičnosti v kontejneru adminSDHolder. Budete muset přidat skupiny nebo upravit zabezpečení skupin zabezpečení, které jsou již definovány na kontejner adminSDHolder. Za hodinu, SDProp vlákno použije změny seznamů ACL kontejneru adminSDHolder všem členům chráněné skupiny. Členové nezdědí zabezpečení kontejneru byly umístěny.

Například vlastní účet vyžaduje Umožňuje číst všechny vlastnosti doprava. Upravit nastavení zabezpečení adminSDHolder kontejneru na Povolit toto právo vlastní účet. Toto právo bude po jednu hodinu, povoleno vlastní účet pro všechny uživatele, kteří jsou členy skupiny chráněné. Příznak dědičnosti se nezmění.

Následující příklad ukazuje, jak použít změny na objektem adminSDHolder pouze objekt. Tento příklad povolí následující oprávnění na objektem adminSDHolder objekt:
  • Vypisovat obsah
  • Číst všechny vlastnosti
  • Zapisovat všechny vlastnosti
Udělit oprávnění na objektem adminSDHolder objekt, postupujte takto:
  1. Počítače a uživatelé služby Active Directory klepněte na tlačítkoRozšířené funkce v Zobrazenínabídka.
  2. Vyhledejte objektem adminSDHolder objekt. Na objekt je v následujícím umístění pro každou doménu služby Active Directory doménové struktury:CN = adminSDHolder, CN = System,DC = doména, DC = com ZdeDC = doména, DC = com rozlišující název doména.
  3. Klepněte pravým tlačítkem myši objektem adminSDHoldera klepněte na tlačítkoVlastnosti.
  4. V Vlastnosti Dialogové okno, klepněteZabezpečení kartu a poté klepněte na Upřesnit.
  5. V Řízení přístupu objektem adminSDHolder Dialogové okno, klepněte na tlačítko Přidat vOprávnění na kartě.
  6. V Vyberte uživatele, počítače nebo skupinydialogovém okně klepněte na účet, ke kterému chcete udělit oprávnění související, a potom klepněte na tlačítko OK.
  7. V Položka oprávnění pro objektem adminSDHolderDialogové okno, klepněte na tlačítko Pouze tento objekt v Použít do pole a pak klepněte na tlačítko Vypisovat obsah, Pro čtení Všechny vlastnosti, a Zapisovat všechny vlastnosti práv.
  8. Klepněte na tlačítko OK Zavřete Oprávnění Položka pro objektem adminSDHolder dialogovém Řízení přístupu Nastavení objektem adminSDHolder Dialogové okno a objektem adminSDHolder Vlastnosti Dialogové okno.
Do jedné hodiny bude aktualizován seznam řízení přístupu u objektů uživatele. přidružené chráněných skupin tak, aby odrážely změny.Další informace získáte klepnutím na tlačítko naleznete v následujících článcích znalostní báze společnosti Microsoft:
232199
(http://support.microsoft.com/kb/232199/ )
Popis a aktualizace adminSDHolder objektu služby Active Directory
318180
(http://support.microsoft.com/kb/318180/ )
Objekt adminSDHolder ovlivňuje tranzitivní členy distribučních skupin
Zpět nahoru | Dejte nám zpětnou vazbu

Prohlášení

Společnost Microsoft potvrzuje, že se jedná o problém v produktech této společnosti, které jsou uvedeny v části "Platí pro". Tento problém byl poprvé opraven v aktualizaci Windows Server 2003 Service Pack 1.
Zpět nahoru | Dejte nám zpětnou vazbu

Další informace

Služba Active Directory používá ochranný mechanismus, zda že ACL jsou správně nastaveny pro členy citlivých skupin. Spouští mechanismus jednou za hodinu na hlavním operačním serveru primárního řadiče domény. Porovná hlavní operace chráněné ACL na uživatelské účty, které jsou členy skupiny proti ACL pro následující objekt:
CN = adminSDHolder, CN = System, DC =<mydomain></mydomain>DC =<com></com>

Poznámka:"DC =<mydomain></mydomain>DC =<com></com>" představuje rozlišující název (DN) v doméně.

Pokud je seznam ACL různé, je přepsán ACL v objektu uživatele tak, aby odrážely zabezpečení Objekt adminSDHolder nastavení (a dědičnost ACL je zakázán). To proces chrání tyto účty z právě upravuje neoprávněným uživatelům, pokud účty jsou přesunuty do kontejneru nebo organizační jednotku, kde zlými úmysly Uživatel byl delegovaných pověření pro správu uživatelských účtů změnit. Uvědomte si, že po odebrání uživatele ze skupiny pro správu procesu je není stornována a musí být ručně změněn.

Poznámka: Řízení frekvence Objekt adminSDHolder aktualizace zabezpečení popisovače, vytvořte nebo změňte AdminSDProtectFrequency položka v následujícím podklíči registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Pokud položka registru AdminSDProtectFrequency není přítomen, Objekt adminSDHolder aktualizace popisovače zabezpečení každých 60 minut (3 600 sekundy). Tato položka registru lze nastavit libovolné sazbě tato frekvence mezi 1 minuta (60 sekund) a zadáním hodnoty 2 hodiny (7200 sekund) v sekundách. Však nedoporučujeme upravovat tuto hodnotu s výjimkou Stručný zkušební období. Změna hodnoty můžete zvýšit LSASS zpracování Režijní náklady.

Následující seznam popisuje chráněné skupiny v systému Windows 2000:
  • Enterprise Admins.
  • Schema Admins
  • Domain Admins
  • Správci

Následující seznam popisuje chráněných skupin v Windows Server 2003 a Windows 2000, po které opravy 327825 hotfix nebo nainstalujete aktualizaci Windows 2000 Service Pack 4:
  • Správci
  • Account Operators
  • Server Operators
  • Print Operators
  • Operátoři zálohování
  • Domain Admins
  • Schema Admins
  • Enterprise Admins.
  • Cert Publishers
Dále následující uživatelé jsou rovněž považovány za chráněné:
  • Správce
  • KRBTGT
Uvědomte si, nenaplňuje členství v distribučních skupin token uživatele. Proto nelze použít nástroje, například "whoami" na úspěšně Určete členství ve skupině.

Další informace o přidělena Správa, stahování Doporučené postupy pro delegování správy služby Active Directory dokument White paper. Chcete-li to provést, navštivte následující Web společnosti Microsoft:
http://www.microsoft.com/downloads/details.aspx?FamilyId=631747a3-79e1-48fa-9730-dae7c0a1d6d3&displaylang=en
(http://www.microsoft.com/downloads/details.aspx?familyid=631747a3-79e1-48fa-9730-dae7c0a1d6d3&displaylang=en)
Zpět nahoru | Dejte nám zpětnou vazbu

Vlastnosti

ID článku: 817433 - Poslední aktualizace: 20. května 2011 - Revize: 26.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Klíčová slova: 
kbautohotfix kbwinserv2003sp1fix atdownload kbhotfixserver kbqfe kbmt KB817433 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:817433
(http://support.microsoft.com/kb/817433/en-us/ )
Zpět nahoru | Dejte nám zpětnou vazbu

Dejte nám zpětnou vazbu

 
Zpět nahoruZpět nahoru