Τα δικαιώματα αντιπροσώπευσης δεν είναι διαθέσιμα και η μεταβίβαση απενεργοποιείται αυτόματα

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 817433 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Ανάπτυξη όλων | Σύμπτυξη όλων

Σε αυτήν τη σελίδα

Συμπτώματα

Μετά την αναβάθμιση σε Microsoft Windows Server 2003, ενδέχεται να αντιμετωπίσετε τα ακόλουθα συμπτώματα:
  • Τα δικαιώματα αντιπροσώπευσης δεν είναι διαθέσιμα σε όλους τους χρήστες σε μια οργανωτική μονάδα.
  • Η μεταβίβαση απενεργοποιείται αυτόματα σε ορισμένους λογαριασμούς χρηστών περίπου μία φορά μια ώρα
  • Οι χρήστες που προηγουμένως είχε ανατεθεί πλέον δικαιώματα έχουν τους.
Αυτό το ζήτημα ενδέχεται επίσης να παρουσιαστεί μετά την εφαρμογή της επείγουσας επιδιόρθωσης που περιγράφεται στο άρθρο της Γνωσιακής Βάσης της Microsoft 327825 για Microsoft Windows 2000 Server ή μετά την εγκατάσταση του Windows 2000 Service Pack 4 σε Microsoft Windows 2000 Server.Για περισσότερες πληροφορίες σχετικά με την επείγουσα επιδιόρθωση των Windows 2000 327825, κάντε κλικ στον αριθμό του άρθρου παρακάτω για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
327825Νέα ανάλυση για προβλήματα με τον έλεγχο ταυτότητητας Kerberos όταν οι χρήστες ανήκουν σε πολλές ομάδες

Αιτία

Όταν αναθέσετε δικαιώματα χρησιμοποιώντας τον Οδηγό μεταβίβασης ελέγχου, τα δικαιώματα αυτά εξαρτώνται από το αντικείμενο χρήστη που μεταβιβάζονται τα δικαιώματα από το γονικό κοντέινερ. Μέλη προστατευμένων ομάδων δεν κληρονομούν δικαιώματα από το γονικό κοντέινερ. Επομένως, εάν ορίσετε δικαιώματα χρησιμοποιώντας τον Οδηγό μεταβίβασης ελέγχου, αυτά τα δικαιώματα δεν εφαρμόζονται στα μέλη προστατευμένων ομάδων.

ΣΗΜΕΙΩΣΗΣυμμετοχή σε μια προστατευμένη ομάδα ορίζεται ως άμεση συμμετοχή ή μεταβατικά μέλη χρησιμοποιώντας μία ή περισσότερες ομάδες ασφαλείας ή διανομής. Οι ομάδες διανομής περιλαμβάνονται επειδή μπορούν να μετατραπούν σε ομάδες ασφαλείας.

Στον Windows Server 2003, έχει αυξηθεί ο αριθμός των ομάδων που προστατεύονται για τη βελτίωση της ασφάλειας στην υπηρεσία καταλόγου Active Directory (ανατρέξτε στην ενότητα "Περισσότερες πληροφορίες"). Τον αριθμό των ομάδων που προστατεύονται αυξάνει επίσης αν εφαρμόσετε την επείγουσα επιδιόρθωση 327825 στα Windows 2000.

Προτεινόμενη αντιμετώπιση

Για να επιλύσετε αυτό το ζήτημα, μπορείτε να εγκαταστήσετε μια επείγουσα επιδιόρθωση. Πρέπει να εγκαταστήσετε την επείγουσα επιδιόρθωση στον ελεγκτή τομέα που κατέχει τον πρωτεύοντα τομέα (PDC) του ελεγκτή εξομοιωτή πρωτεύοντα ρόλο λειτουργιών σε κάθε τομέα. Επιπλέον, πρέπει να εγκαταστήσετε την επείγουσα επιδιόρθωση σε όλους τους ελεγκτές τομέα που χρησιμοποιείτε μπορεί να αναλάβει το ρόλο εάν ο τρέχων κάτοχος ρόλου κύριων λειτουργιών εξομοιωτή PDC δεν είναι διαθέσιμος. Εάν δεν είστε βέβαιοι για τον ελεγκτή τομέα, θα μπορούσατε να χρησιμοποιήσετε για να αναλάβει το ρόλο, σας συνιστούμε να εξετάσετε εγκατάσταση της επείγουσας επιδιόρθωσης σε όλους τους ελεγκτές τομέα. Εάν ένας ελεγκτής τομέα χωρίς την επείγουσα επιδιόρθωση θεωρείται το ρόλο κύριων λειτουργιών εξομοιωτή PDC, τα δικαιώματα του χρήστη θα επαναφέρεται ξανά.

Πληροφορίες επείγουσας επιδιόρθωσης για τα Windows 2000

Μια άμεση επιδιόρθωση που υποστηρίζεται είναι τώρα διαθέσιμη από τη Microsoft. Ωστόσο, αυτή η άμεση επιδιόρθωση προορίζεται για τη διόρθωση μόνο του ζητήματος που περιγράφεται σε αυτό το άρθρο. Εφαρμόστε αυτήν την άμεση επιδιόρθωση μόνο σε συστήματα που αντιμετωπίζουν αυτό το συγκεκριμένο πρόβλημα.

Εάν η άμεση επιδιόρθωση είναι διαθέσιμη για λήψη, θα υπάρχει μια ενότητα με τίτλο "Διαθέσιμη λήψη άμεσης επιδιόρθωσης" στην αρχή του άρθρου της Γνωσιακής βάσης (Knowledge Base). Εάν δεν εμφανίζεται αυτή η ενότητα, υποβάλλετε μια αίτηση στην Εξυπηρέτηση και Υποστήριξη Πελατών της Microsoft (Microsoft Customer Service and Support) για λάβετε την άμεση επιδιόρθωση.

ΣΗΜΕΙΩΣΗΕάν προκύψουν πρόσθετα ζητήματα ή εάν είναι απαραίτητη η αντιμετώπιση τυχόν προβλημάτων, ίσως χρειαστεί να δημιουργήσετε μια ξεχωριστή αίτηση υπηρεσίας. Για πρόσθετες ερωτήσεις υποστήριξης και για θέματα που δεν αφορούν τη συγκεκριμένη άμεση επιδιόρθωση, θα ισχύσουν οι συνηθισμένες χρεώσεις υποστήριξης. Για μια ολοκληρωμένη λίστα με τους αριθμούς τηλεφώνων της Εξυπηρέτησης και Υποστήριξης Πελατών της Microsoft (Microsoft Customer Service and Support) ή για να δημιουργήσετε μια ξεχωριστή αίτηση εξυπηρέτησης, επισκεφθείτε την παρακάτω τοποθεσία της Microsoft στο Web:
http://support.microsoft.com/contactus/?ws=support
ΣΗΜΕΙΩΣΗΗ φόρμα "Λήψης επείγουσας επιδιόρθωσης είναι διαθέσιμες" εμφανίζει τις γλώσσες για τις οποίες η επείγουσα επιδιόρθωση είναι διαθέσιμη. Εάν δεν βλέπετε τη γλώσσα σας, τότε η άμεση επιδιόρθωση δεν είναι διαθέσιμη σε αυτήν τη γλώσσα.

Απαιτήσεις επανεκκίνησης

Πρέπει να ξεκινήσετε πάλι τον υπολογιστή, αφού εφαρμόσετε αυτήν την επείγουσα επιδιόρθωση.

Πληροφορίες αντικατάστασης άμεσης επιδιόρθωσης

Αυτή η επείγουσα επιδιόρθωση δεν αντικαθιστά άλλες επείγουσες επιδιορθώσεις.

ΠΛΗΡΟΦΟΡΙΕΣ ΑΡΧΕΙΟΥ

Η αγγλική έκδοση αυτής της άμεσης επιδιόρθωσης έχει τα χαρακτηριστικά αρχείου (ή νεότερα χαρακτηριστικά αρχείου) που παρατίθενται στον παρακάτω πίνακα. Οι ημερομηνίες και οι ώρες για τα αρχεία αυτά αναφέρονται σε συντονισμένη παγκόσμια ώρα (UTC). Όταν προβάλλετε τις πληροφορίες του αρχείου, αυτές μετατρέπονται στην τοπική ώρα. Για να βρείτε τη διαφορά μεταξύ της ώρας UTC και της τοπικής ώρας, χρησιμοποιήστε τηνΖώνη ώραςκαρτέλα με τοΗμερομηνία και ώρατο στοιχείο του πίνακα ελέγχου.

Τα Windows Server 2003 service pack πληροφορίες

Για να επιλύσετε αυτό το ζήτημα, αποκτήστε το πιο πρόσφατο service pack για Windows Server 2003. Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
889100Με τον τρόπο απόκτησης του τελευταίου service pack για Windows Server 2003

Windows Server 2003 Πληροφορίες για την επείγουσα επιδιόρθωση

Μια άμεση επιδιόρθωση που υποστηρίζεται είναι τώρα διαθέσιμη από τη Microsoft. Ωστόσο, αυτή η άμεση επιδιόρθωση προορίζεται για τη διόρθωση μόνο του ζητήματος που περιγράφεται σε αυτό το άρθρο. Εφαρμόστε αυτήν την άμεση επιδιόρθωση μόνο σε συστήματα που αντιμετωπίζουν αυτό το συγκεκριμένο πρόβλημα. Αυτή η άμεση επιδιόρθωση ενδέχεται να υποβληθεί σε πρόσθετο έλεγχο. Επομένως, εάν αυτό το πρόβλημα δεν σας επηρεάζει ιδιαίτερα, συνιστούμε να περιμένετε την επόμενη ενημέρωση λογισμικού που περιέχει αυτήν την άμεση επιδιόρθωση.

Εάν η άμεση επιδιόρθωση είναι διαθέσιμη για λήψη, θα υπάρχει μια ενότητα με τίτλο "Διαθέσιμη λήψη άμεσης επιδιόρθωσης" στην αρχή του άρθρου της Γνωσιακής βάσης (Knowledge Base). Εάν δεν εμφανίζεται αυτή η ενότητα, επικοινωνήστε με την Εξυπηρέτηση και Υποστήριξη Πελατών της Microsoft (Microsoft Customer Service and Support) για λάβετε την άμεση επιδιόρθωση.

ΣΗΜΕΙΩΣΗΕάν προκύψουν πρόσθετα ζητήματα ή εάν είναι απαραίτητη η αντιμετώπιση τυχόν προβλημάτων, ίσως χρειαστεί να δημιουργήσετε μια ξεχωριστή αίτηση υπηρεσίας. Για πρόσθετες ερωτήσεις υποστήριξης και για θέματα που δεν αφορούν τη συγκεκριμένη άμεση επιδιόρθωση, θα ισχύσουν οι συνηθισμένες χρεώσεις υποστήριξης. Για μια ολοκληρωμένη λίστα με τους αριθμούς τηλεφώνων της Εξυπηρέτησης και Υποστήριξης Πελατών της Microsoft (Microsoft Customer Service and Support) ή για να δημιουργήσετε μια ξεχωριστή αίτηση εξυπηρέτησης, επισκεφθείτε την παρακάτω τοποθεσία της Microsoft στο Web:
http://support.microsoft.com/contactus/?ws=support
ΣΗΜΕΙΩΣΗΗ φόρμα "Λήψης επείγουσας επιδιόρθωσης είναι διαθέσιμες" εμφανίζει τις γλώσσες για τις οποίες η επείγουσα επιδιόρθωση είναι διαθέσιμη. Εάν δεν βλέπετε τη γλώσσα σας, τότε η άμεση επιδιόρθωση δεν είναι διαθέσιμη σε αυτήν τη γλώσσα.Η αγγλική έκδοση αυτής της άμεσης επιδιόρθωσης έχει τα χαρακτηριστικά αρχείου (ή νεότερα χαρακτηριστικά αρχείου) που παρατίθενται στον παρακάτω πίνακα. Οι ημερομηνίες και οι ώρες για τα αρχεία αυτά αναφέρονται σε συντονισμένη παγκόσμια ώρα (UTC). Όταν προβάλλετε τις πληροφορίες του αρχείου, αυτές μετατρέπονται στην τοπική ώρα. Για να βρείτε τη διαφορά μεταξύ της ώρας UTC και της τοπικής ώρας, χρησιμοποιήστε τηνΖώνη ώραςστην καρτέλα με το στοιχείο "ημερομηνία και ώρα" στον πίνακα ελέγχου.

Απαιτήσεις επανεκκίνησης

Πρέπει να ξεκινήσετε πάλι τον υπολογιστή, αφού εφαρμόσετε αυτήν την επείγουσα επιδιόρθωση.

Πληροφορίες αντικατάστασης άμεσης επιδιόρθωσης

Αυτή η επείγουσα επιδιόρθωση δεν αντικαθιστά άλλες επείγουσες επιδιορθώσεις.

ΠΛΗΡΟΦΟΡΙΕΣ ΑΡΧΕΙΟΥ

Windows Server 2003, εκδόσεις 32 bit
Windows Server 2003, εκδόσεις 64 bit
Μετά την εγκατάσταση της επείγουσας επιδιόρθωσης των Windows 2000 και στον Windows Server 2003, μπορείτε να ορίσετε όλο το σύμπλεγμα δομώνdsHeuristicΟι σημαίες για να ελέγξετε ποιες ομάδες τελεστή προστατεύονται απόαπό το αντικείμενο adminSDHolder. Με τη χρήση αυτής της νέας επιλογής, μπορείτε να ορίσετε ορισμένες ή όλες τις καταχωρημένες τέσσερις προστατευμένων ομάδων πίσω στην αρχική συμπεριφορά των Windows 2000. Θέση χαρακτήρα 16 ερμηνεύεται ως μια δεκαεξαδική τιμή, όπου ο χαρακτήρας αριστερά είναι θέση 1. Συνεπώς, οι μόνες έγκυρες τιμές είναι "0" έως "f". Κάθε ομάδα τελεστή έχει ένα συγκεκριμένο bit ως εξής:
  • Bit 0: Χειριστές λογαριασμών
  • Bit 1: Χειριστές διακομιστή
  • Bit 2: Χειριστές εκτυπώσεων
  • Bit 3: Χειριστών αντιγράφων ασφαλείας
Για παράδειγμα, μια τιμή 0001 σημαίνει εξαίρεση χειριστών λογαριασμών. Η τιμή "c" θα εξαιρέσετε χειριστές εκτυπώσεων (0100) και χειριστές αντιγράφων ασφαλείας (1000) επειδή το δυαδικό άθροισμα 1100 απεικονίζει μια δεκαεξαδική τιμή 0xC.

Για να ενεργοποιήσετε τη νέα λειτουργικότητα, πρέπει να τροποποιήσετε ένα αντικείμενο στο κοντέινερ ρύθμισης παραμέτρων. Αυτή η ρύθμιση είναι μεγάλο σύμπλεγμα δομών. Για να τροποποιήσετε το αντικείμενο, ακολουθήστε τα εξής βήματα:
  1. Ο εντοπισμός του αντικειμένου που θέλετε να τροποποιήσετε.Για περισσότερες πληροφορίες σχετικά με αυτήν τη διαδικασία, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
    326690Απενεργοποιούνται ανώνυμη λειτουργίες LDAP για την υπηρεσία καταλόγου Active Directory σε ελεγκτές τομέα με Windows Server 2003
  2. Σε μια γραμμή εντολών, πληκτρολογήστεLdp.exeκαι, στη συνέχεια, πιέστε το πλήκτρο ENTER για να ξεκινήσετε το βοηθητικό πρόγραμμα LDP.
  3. Κάντε κλικΣύνδεσηΚάντε κλικσύνδεσηκαι, στη συνέχεια, κάντε κλικ στο κουμπίOk.
  4. Κάντε κλικΣύνδεσηΚάντε κλικΗ σύνδεση, πληκτρολογήστε το όνομα χρήστη και τον κωδικό πρόσβασης ενός διαχειριστή ρίζας συμπλέγματος δομών και, στη συνέχεια, κάντε κλικ στο κουμπίOk.
  5. Κάντε κλικViewΚάντε κλικΔέντρο, και στη συνέχεια κάντε κλικ στο κουμπίOk.
  6. Χρήση View\Tree, ανοίξτε την ακόλουθη ρύθμιση παραμέτρων CN:
    CN = υπηρεσίας καταλόγου, CN = των Windows NT, CN = Services, CN = Configuration, DC =Τομέα ρίζας συμπλέγματος δομών
  7. Ο εντοπισμός του αντικειμένου της υπηρεσίας καταλόγου, και στη συνέχεια κάντε διπλό κλικ.
  8. Ελέγξτε το χαρακτηριστικό αντικείμενο λίστας στη δεξιά πλευρά για να προσδιορίσετε αν τοdsHeuristicsτο χαρακτηριστικό έχει οριστεί ήδη. Εάν έχει οριστεί, αντιγράψτε την υπάρχουσα τιμή στο Πρόχειρο.
  9. Κάντε δεξιό κλικ στοΗ υπηρεσία καταλόγουαντικείμενα στην αριστερή πλευρά και στη συνέχεια κάντε κλικΤροποποίηση (Modify).
  10. Πληκτρολογήστε το όνομα του χαρακτηριστικούdsHeuristics.
  11. Ως τιμή, πληκτρολογήστε:000000000100000f. Αντικαταστήστε τις μηδενικές τιμές στο πρώτο τμήμα της τιμής με τι μπορεί να έχετε ήδη στο dsHeuristics. Βεβαιωθείτε ότι έχετε το σωστό πλήθος ψηφίων "f" ή ό, τι bits που θέλετε να ορίσετε.

    ΣΗΜΕΙΩΣΗΓια να επαληθεύσετε ότι οι τροποποίησή τους σωστούς χαρακτήρες, κάθε δέκατη χαρακτήρων πρέπει να ρυθμιστεί στον αριθμό των χαρακτήρων έως ότι σημείο δια δέκα. Για παράδειγμα, το δέκατο χαρακτήρας πρέπει να είναι 1, του εικοστού χαρακτήρας πρέπει να είναι 2, ο thirtieth χαρακτήρας πρέπει να είναι 3, και ούτω καθεξής.
  12. Εάν υπήρχε ήδη το χαρακτηριστικό, κάντε κλικ στο κουμπίΑντικαταστήστε το τμήμαΣτο"sys c:""Τύπος" (Type). Διαφορετικά, κάντε κλικ στο κουμπίADD.
  13. Πιέστε το πλήκτρο ENTER στη δεξιά πλευρά στην ομάδα εργασίας για να το προσθέσετε στη συναλλαγή LDAP.
  14. Κάντε κλικΕκτέλεσηΓια να εφαρμόσετε την αλλαγή στο αντικείμενο. Αφού αυτή η αλλαγή γίνεται αναπαραγωγή για τον PDC εξομοιωτές στο σύμπλεγμα δομών, εκείνοι που λειτουργούν με αυτήν την επείγουσα επιδιόρθωση δεν θα προστατέψει τους χρήστες που είναι μέλη της ομάδας τους τελεστές που έχει οριστεί το bit για.

Εναλλακτικός τρόπος αντιμετώπισης

Για την αντιμετώπιση αυτού του ζητήματος, χρησιμοποιήστε μία από τις ακόλουθες μεθόδους.

Μέθοδος 1: Βεβαιωθείτε ότι τα μέλη δεν είναι μέλη μιας προστατευμένης ομάδας

Εάν χρησιμοποιείτε δικαιώματα που έχουν εκχωρηθεί σε επίπεδο οργανικής μονάδας, βεβαιωθείτε ότι όλοι οι χρήστες που ζητούν τα δικαιώματα αντιπροσώπευσης δεν είναι μέλη ενός προστατευμένων ομάδων. Για τους χρήστες που προηγουμένως ήταν μέλη μιας προστατευμένης ομάδας, τη σημαία μεταβίβασης είναι δεν επαναφέρεται αυτόματα όταν ο χρήστης καταργείται από μια προστατευμένη ομάδα. Για να το κάνετε αυτό, μπορείτε να χρησιμοποιήσετε την ακόλουθη δέσμη ενεργειών.

ΣΗΜΕΙΩΣΗΑυτή η δέσμη ενεργειών ελέγχει τη σημαία μεταβίβασης για όλους τους χρήστες των οποίων AdminCount έχει οριστεί σε 1. Εάν είναι απενεργοποιημένη η μεταβίβαση (SE_DACL_PROTECTED έχει οριστεί), η δέσμη ενεργειών θα επιτρέψει τη μεταβίβαση. Εάν έχει ήδη ενεργοποιηθεί για τη μεταβίβαση, τη μεταβίβαση θα παραμείνει ενεργοποιημένο. Επιπλέον, θα γίνει επαναφορά AdminCount σε 0. Όταν το νήμα adminSDHolder εκτελεί ξανά, θα απενεργοποιήσει τη μεταβίβαση και ορισμός AdminCount 1 για όλους τους χρήστες που παραμένουν στο προστατευμένων ομάδων. Therefore, AdminCount and inheritance are set correctly for all users who are no longer members of protected groups.

Σημαντικό:If you're running this script from a system runningWindows Vista and above, pleaseopen a cmd prompt with administrative priviledgesand then run this script.

Use the following command to run the script:
cscript /nologo resetaccountsadminsdholder.vbs

Η Microsoft παρέχει παραδείγματα προγραμματισμού μόνο για λόγους επεξήγησης, χωρίς να παρέχει καμία εγγύηση, σιωπηρή ή ρητή. Σε αυτά περιλαμβάνονται, ενδεικτικά, οι σιωπηρές εγγυήσεις εμπορευσιμότητας ή/και καταλληλότητας για συγκεκριμένο σκοπό. Αυτό το άρθρο προϋποθέτει ότι είστε εξοικειωμένοι με τη γλώσσα προγραμματισμού που παρουσιάζεται, καθώς και με τα εργαλεία που χρησιμοποιούνται για τη δημιουργία και τον εντοπισμό σφαλμάτων κώδικα διαδικασιών. Οι μηχανικοί υποστήριξης της Microsoft μπορούν να σας εξηγήσουν τη λειτουργικότητα μιας συγκεκριμένης διαδικασίας, αλλά δεν θα τροποποιήσουν αυτά τα παραδείγματα, για να παράσχουν πρόσθετες λειτουργίες, ούτε θα δημιουργήσουν διαδικασίες, για να καλύψουν τις συγκεκριμένες απαιτήσεις σας.
'********************************************************************
'*
'* File:           ResetAccountsadminSDHolder.vbs 
'* Created:        November 2003
'* Version:        1.0
'*
'*  Main Function:  Resets all accounts that have adminCount = 1 back
'*	to 0 and enables the inheritance flag
'*
'*  ResetAccountsadminSDHolder.vbs 
'*
'* Copyright (C) 2003 Microsoft Corporation
'*
'********************************************************************

Const SE_DACL_PROTECTED = 4096

On Error Resume Next

Dim sDomain
Dim sADsPath
Dim sPDC


Dim oCon 
Dim oCmd
Dim oRst
Set oRst = CreateObject("ADODB.Recordset")
Set oCmd = CreateObject("ADODB.Command")
Set oCon = CreateObject("ADODB.Connection")

Dim oRoot
Dim oDomain
Dim oADInfo
Dim oInfo
Set oADInfo = CreateObject("ADSystemInfo")
Set oInfo = CreateObject("WinNTSystemInfo")
sPDC = oInfo.PDC & "." & oADInfo.DomainDNSName

oCon.Provider = "ADSDSOObject"
oCon.Open "Active Directory Provider"

oCmd.ActiveConnection = oCon

Set oRoot = GetObject("LDAP://rootDSE")
sDomain = oRoot.Get("defaultNamingContext")
Set oDomain = GetObject("LDAP://" & sDomain)
sADsPath = "<" & oDomain.ADsPath & ">"

oCmd.CommandText = "SELECT ADsPath FROM 'LDAP://" & sPDC & "/" & sDomain & "' WHERE objectCategory='person' and objectClass = 'user' AND adminCount = 1"
Set oRst = oCmd.Execute

WScript.Echo "searching for objects with 'admin count = 1' in " & sDomain

If oRst.RecordCount = 0 Then
    WScript.Echo "no accounts found"
    WScript.Quit
End If

Do While Not oRst.EOF
    WScript.Echo  "found object " & oRst.Fields("ADsPath")
    If SetInheritanceFlag(oRst.Fields("ADsPath")) = 0 Then WScript.Echo "Inheritance flag set"
    If SetAdminCount(oRst.Fields("ADsPath"), 0) = 0 Then WScript.Echo "adminCount set to 0"
    WScript.Echo  "=========================================="
    oRst.MoveNext
Loop


Private Function SetInheritanceFlag(DSObjectPath)

    Dim oSD
    Dim oDACL
    Dim lFlag
    Dim oIADs

    Set oIADs = GetObject(DSObjectPath)

    Set oSD = oIADs.Get("nTSecurityDescriptor")

    If oSD.Control And SE_DACL_PROTECTED Then
        oSD.Control = oSD.Control - SE_DACL_PROTECTED
    End If

    oIADs.Put "nTSecurityDescriptor", oSD
    oIADs.SetInfo
    
    If Err.Number <> 0 Then
        SetInheritanceFlag = Err.Number
    Else
        SetInheritanceFlag = 0
    End If

End Function


Private Function SetAdminCount(DSObjectPath, AdminCount)

    Dim oIADs
    Dim iAdminCount

    Set oIADs = GetObject(DSObjectPath)

    iAdminCount = oIADs.Get("adminCount")

    If iAdminCount = 1 Then iAdminCount = 0

    oIADs.Put "adminCount", iAdminCount
    oIADs.SetInfo
    If Err.Number <> 0 Then
        SetAdminCount = Err.Number
    Else
        SetAdminCount = 0
    End If
    
End Function
To make sure that you do not adversely affect users, we recommend that you first dump the users who have AdminCount set to 1 by using Ldifde.exe. To do this, type the following command at a command prompt, and then press ENTER:
ldifde -f Admincount-1.txt -d dc=your domain-r "(&(objectcategory=person)(objectclass=user)(admincount=1))"
Review the output file to confirm that all users who will have the DACL protected bit cleared will have the correct permissions with inherited access controlled entries (ACEs) only. This method is preferred and does not weaken existing security.

Method 2: Enable inheritance on the adminSDHolder container

If you enable inheritance on the adminSDHolder container, all members of the protected groups have inherited permissions enabled. In terms of security functionality, this method reverts the behavior of the adminSDHolder container back to the pre-Service Pack 4 functionality.

Enabling inheritance on the adminSDHolder container

If you enable inheritance on the adminSDHolder container, one of the two protective access control list (ACL) mechanisms is disabled. The default permissions are applied. However, all members of protected groups inherit permissions from the organizational unit and any parent organizational units if inheritance is enabled at the organizational unit level.

To provide inheritance protection for administrative users, move all administrative users (and other users who require inheritance protection) to their own organizational unit. At the organizational unit level, remove inheritance and then set the permissions to match the current ACLs on the adminSDHolder container. Because the permissions on the adminSDHolder container may vary (for example, Microsoft Exchange Server adds some permissions or the permissions may have been modified), review a member of a protected group for the current permissions on the adminSDHolder container. Be aware that the user interface (UI) does not display all permissions on the adminSDHolder container. Use DSacls to view all permissions on the adminSDHolder container.

You can enable inheritance on the adminSDHolder container by using ADSI Edit or Active Directory Users and Computers. The path of the adminSDHolder container is CN=adminSDHolder,CN=System,DC=<mydomain>,DC=<com> </com></mydomain>

ΣΗΜΕΙΩΣΗIf you use Active Directory Users and Computers, make sure thatΠρόσθετες δυνατότητεςis selected on theViewΜενού (Menu).

To enable inheritance on the adminSDHolder container:
  1. Right-click the container, and then clickΙδιότητες (Properties).
  2. Κάντε κλικ στην καρτέλαSecurityTAB.
  3. Κάντε κλικΓια προχωρημένους (Advanced).
  4. Κάντε κλικ για να επιλέξετε τοΝα επιτρέπεται μεταβιβαζόμενες δικαιώματα σε αυτό το αντικείμενο και όλα τα εξαρτώμενα αντικείμεναΠλαίσιο ελέγχου.
  5. Κάντε κλικOk, και στη συνέχεια κάντε κλικ στο κουμπίClose (Κλείσιμο).
Την επόμενη φορά που εκτελείται το νήμα SDProp, ορίστε τη σημαία μεταβίβασης σε όλα τα μέλη προστατευμένων ομάδων. Αυτή η διαδικασία μπορεί να διαρκέσει έως και 60 λεπτά. Επιτρέπουν επαρκή χρόνο για αυτήν την αλλαγή για αναπαραγωγή από τον πρωτεύοντα ελεγκτή τομέα (PDC).

Μέθοδος 3: Αποφεύγετε τη μεταβίβαση και να αλλάξετε μόνο ACL

Εάν δεν θέλετε οι χρήστες που είναι μέλη του προστατευμένου ομάδες να κληρονομούν δικαιώματα από το κοντέινερ που οι χρήστες που βρίσκονται σε και θέλετε να αλλάξετε την ασφάλεια των αντικειμένων χρήστη, μπορείτε να επεξεργαστείτε την ασφάλεια στον κατάλογο από το αντικείμενο adminSDHolder κοντέινερ. Σε αυτό το σενάριο, δεν χρειάζεται να ενεργοποιήσετε την μεταβίβαση στο κοντέινερ από το αντικείμενο adminSDHolder. Χρειάζεται μόνο να προσθέσετε αυτήν την ομάδα ή να επεξεργαστείτε την ασφάλεια των ομάδων ασφαλείας που έχουν ήδη οριστεί στο κοντέινερ από το αντικείμενο adminSDHolder. Έπειτα από μία ώρα, το νήμα SDProp θα εφαρμοστεί η αλλαγή που κάνατε την ACL του κοντέινερ από το αντικείμενο adminSDHolder σε όλα τα μέλη προστατευμένων ομάδων. Τα μέλη δεν θα κληρονομήσει την ασφάλεια του βρίσκονται στο κοντέινερ.

Για παράδειγμα, το Self απαιτεί λογαριασμό τουΣας επιτρέπουν να διαβάσετε όλες τις ιδιότητεςRIGHT. Επεξεργαστείτε τις ρυθμίσεις ασφαλείας του κοντέινερ από το αντικείμενο adminSDHolder ώστε να επιτρέπεται αυτό το δικαίωμα σε Self το λογαριασμό. Αυτό το δικαίωμα μετά από μία ώρα, θα επιτρέπεται η εαυτός του λογαριασμού για όλους τους χρήστες που είναι μέλη προστατευμένων ομάδων. Δεν αλλάζει τη σημαία μεταβίβασης.

Το παρακάτω παράδειγμα δείχνει πώς μπορείτε να εφαρμόσετε αλλαγές σε τοαπό το αντικείμενο adminSDHolderμόνο αντικείμενο. Αυτό το παράδειγμα παραχωρεί τα ακόλουθα δικαιώματα από τοαπό το αντικείμενο adminSDHolderObject:
  • List Contents
  • Ανάγνωση όλων των ιδιοτήτων (Read All Properties)
  • Εγγραφή όλων των ιδιοτήτων (Write All Properties)
Για να παραχωρήσετε τα δικαιώματα αυτά σε τοαπό το αντικείμενο adminSDHolderαντικείμενο, ακολουθήστε τα εξής βήματα:
  1. Στους χρήστες του Active Directory και υπολογιστές, κάντε κλικ στο κουμπίΠρόσθετες δυνατότητεςΣτο διακομιστήViewΜενού (Menu).
  2. Εντοπίστε το φάκελοαπό το αντικείμενο adminSDHolderObject. Το αντικείμενο βρίσκεται στην ακόλουθη θέση για κάθε τομέα της υπηρεσίας καταλόγου Active Directory σύμπλεγμα δομών:CN = adminSDHolder, CN = System,DC = domain, DC = comhereDC = domain, DC = comείναι το αποκλειστικό όνομα του τομέα.
  3. Κάντε δεξιό κλικ στο στοιχείοαπό το αντικείμενο adminSDHolder, και στη συνέχεια κάντε κλικ στο κουμπίΙδιότητες (Properties).
  4. ΣτοΙδιότητες (Properties)παράθυρο διαλόγου, κάντε κλικ στοSecurityκαρτέλα και στη συνέχεια κάντε κλικΓια προχωρημένους (Advanced).
  5. ΣτοΡυθμίσεις ελέγχου πρόσβασης από το αντικείμενο adminSDHolderπαράθυρο διαλόγου, κάντε κλικ στο κουμπίADDΣτο διακομιστήΔικαιώματαTAB.
  6. ΣτοΕπιλογή χρήστη, υπολογιστή ή ομάδαςπαράθυρο διαλόγου, κάντε κλικ στο λογαριασμό στον οποίο θέλετε να εκχωρήσετε δικαιώματα που σχετίζονται με δικαιώματα και, στη συνέχεια, κάντε κλικ στο κουμπίOk.
  7. ΣτοΔικαιώματα εγγραφής για από το αντικείμενο adminSDHolderπαράθυρο διαλόγου, κάντε κλικ στο κουμπίΜόνο αυτό το αντικείμενοΣτοΕφαρμογή σεπλαίσιο και στη συνέχεια κάντε κλικList Contents,Ανάγνωση όλων των ιδιοτήτων (Read All Properties)ANDΗ εγγραφή όλων των ιδιοτήτων δικαιωμάτων.
  8. Κάντε κλικOkΓια να κλείσετε τοΔικαιώματα Εγγραφής για από το αντικείμενο adminSDHolderπαράθυρο διαλόγου, τοΕλέγχου πρόσβασης ρυθμίσεις από το αντικείμενο adminSDHolderπαράθυρο διαλόγου, και τοαπό το αντικείμενο adminSDHolder ιδιότητεςπαράθυρο διαλόγου.
Μέσα σε μία ώρα, θα ενημερωθεί το ACL στα αντικείμενα χρήστη που σχετίζεται με το προστατευμένων ομάδων για να απεικονίσει τις αλλαγές.Για περισσότερες πληροφορίες, κάντε κλικ στους αριθμούς των άρθρων παρακάτω για να προβάλετε τα άρθρα της Γνωσιακής Βάσης (Knowledge Base) της Microsoft:
232199Περιγραφή και ενημέρωση του αντικειμένου Active Directory AdminSDHolder
318180Το νήμα AdminSDHolder επηρεάζει τα μεταβατικά μέλη των ομάδων διανομής

Κατάσταση

Η Microsoft έχει επιβεβαιώσει ότι πρόκειται για ένα θέμα το οποίο παρουσιάζεται στα προϊόντα της που αναφέρονται στην ενότητα "Ισχύει για". Το ζήτημα αυτό διορθώθηκε αρχικά στο Service Pack 1 του Windows Server 2003.

Περισσότερες πληροφορίες

Η υπηρεσία Active Directory χρησιμοποιεί ένα μηχανισμό προστασίας για να βεβαιωθείτε ότι οι ACL έχουν οριστεί σωστά για τα μέλη των ομάδων πεζών-κεφαλαίων. Ο μηχανισμός εκτελείται μία φορά μια ώρα στο διευθυντή λειτουργιών PDC. Το διευθυντή λειτουργιών συγκρίνει την ACL με τους λογαριασμούς χρηστών που είναι μέλη προστατευμένων ομάδων εναντίον της ACL στο ακόλουθο αντικείμενο:
CN = adminSDHolder, CN = System, DC =<mydomain></mydomain>,DC=<com></com>

ΣΗΜΕΙΩΣΗ"DC =<mydomain></mydomain>,DC=<com></com>"αντιπροσωπεύει το αποκλειστικό όνομα (DN) του τομέα σας.

Αν διαφέρει το ACL, γίνεται αντικατάσταση της ACL στο αντικείμενο χρήστη, ανάλογα με τις ρυθμίσεις ασφαλείας του αντικειμένου adminSDHolder (και τη μεταβίβαση της ACL είναι απενεργοποιημένη). Η διαδικασία αυτή προστατεύει αυτούς τους λογαριασμούς από την τροποποίηση από μη εξουσιοδοτημένους χρήστες, εάν οι λογαριασμοί μετακινούνται σε ένα κοντέινερ ή την οργανική μονάδα όπου κάποιος κακόβουλος χρήστης έχει αντιπροσώπευσης πιστοποιήσεις διαχειριστή για να τροποποιήσετε λογαριασμούς χρήστη. Έχετε υπόψη σας ότι όταν ένας χρήστης καταργείται από τη διαχειριστική ομάδα, η διαδικασία δεν είναι αναστρέψιμη και πρέπει να αλλάξει με μη αυτόματο τρόπο.

ΣΗΜΕΙΩΣΗΓια να ρυθμίσετε τη συχνότητα με την οποία το αντικείμενο adminSDHolder ενημερώνει τις περιγραφές ασφαλείας, πρέπει να δημιουργήσετε ή να τροποποιήσετε το AdminSDProtectFrequency καταχώρηση στο ακόλουθο δευτερεύον κλειδί μητρώου:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
When the AdminSDProtectFrequency registry entry is not present, the adminSDHolder object updates security descriptors every 60 minutes (3600 seconds). You can use this registry entry to set this frequency to any rate between 1 minute (60 seconds) and 2 hours (7200 seconds) by entering the value in seconds. However, we do not recommend that you modify this value except for brief testing periods. Modifying this value can increase LSASS processing overhead.

The following list describes the protected groups in Windows 2000:
  • Enterprise Admins
  • Schema Admins
  • Domain Admins
  • Administrators

The following list describes the protected groups in Windows Server 2003 and in Windows 2000 after you apply the 327825 hotfix or you install Windows 2000 Service Pack 4:
  • Administrators
  • Account Operators
  • Server Operators
  • Print Operators
  • Backup operators
  • Domain Admins
  • Schema Admins
  • Enterprise Admins
  • Cert Publishers
Additionally the following users are also considered protected:
  • Administrator
  • Krbtgt
Be aware that membership in distribution groups does not populate a user token. Therefore, you cannot use tools such as "whoami" to successfully determine group membership.

For more information about delegated administration, download theBest Practices for Delegating Active Directory Administrationwhite paper. Για να το κάνετε αυτό, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
http://www.microsoft.com/downloads/details.aspx?familyid=631747a3-79e1-48fa-9730-dae7c0a1d6d3&displaylang=en

Ιδιότητες

Αναγν. άρθρου: 817433 - Τελευταία αναθεώρηση: Τετάρτη, 22 Δεκεμβρίου 2010 - Αναθεώρηση: 2.0
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Λέξεις-κλειδιά: 
kbautohotfix kbwinserv2003sp1fix atdownload kbhotfixserver kbqfe kbmt KB817433 KbMtel
Μηχανικά μεταφρασμένο
ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.
Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη:817433

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com