Iniciar sesi�n

Select the product you need help with

Permisos delegados no est�n disponibles y la herencia est� deshabilitada autom�ticamente

Id. de art�culo: 817433 - Ver los productos a los que se aplica este art�culo

Descarga de revisi�n disponible

Advertencia: Art�culo de Traducci�n Autom�tica, vea la exenci�n de responsabilidad.

Haga clic aqu� para ver en paralelo el art�culo de traducci�n autom�tica y el art�culo original en ingl�s.

Expandir todo | Contraer todo

S�ntomas

Despu�s de actualizar a Microsoft Windows Server 2003, puede experimentar los s�ntomas siguientes:

Permisos delegados no est�n disponibles para todos los usuarios de una unidad organizativa.
Herencia autom�ticamente est� deshabilitada en algunas cuentas de usuario aproximadamente una vez una hora
Los usuarios que anteriormente ten�an delegar permisos, ya no disponen de ellos.

Este problema puede ocurrir tambi�n despu�s de aplicar la revisi�n descrita en el art�culo de Knowledge Base 327825 a Microsoft Windows 2000 Server o despu�s de instalar Windows 2000 Service Pack 4 en Microsoft Windows 2000 Server.Para obtener m�s informaci�n acerca de la revisi�n 327825 de Windows 2000, haga clic en el n�mero de art�culo siguiente para verlo en Microsoft Knowledge Base:

327825

(http://support.microsoft.com/kb/327825/ )

Nueva soluci�n de problemas con la autenticaci�n Kerberos cuando los usuarios pertenecen a muchos grupos

Volver al principio | Enviar comentarios

Causa

Al delegar permisos mediante el Asistente Delegation of Control, estos permisos se basan en el objeto de usuario hereda los permisos del contenedor primario. Miembros de grupos protegidos no heredan permisos del contenedor primario. Por lo tanto, si establece permisos mediante el Asistente Delegation of Control, estos permisos no se aplican a los miembros de grupos protegidos.

Nota La pertenencia a en un grupo protegido se define como asociaci�n directa o pertenencia transitiva mediante uno o m�s grupos de seguridad o distribuci�n. Grupos de distribuci�n se incluyen porque se pueden convertir a grupos de seguridad.

En Windows Server 2003 ha aumentado el n�mero de grupos que est�n protegidos a mejorar la seguridad en Active Directory (consulte la secci�n "M�s informaci�n"). Tambi�n aumenta el n�mero de grupos que est�n protegidos si aplica la revisi�n 327825 a Windows 2000.

Volver al principio | Enviar comentarios

Soluci�n

Para resolver este problema, puede instalar un hotfix. Debe instalar la revisi�n en el controlador de dominio que desempe�a la funci�n principal de dominio controlador (PDC) emulador operaciones principales en cada dominio. Adem�s, debe instalar la revisi�n en todos los controladores de dominio que puede utilizar para asumir esta funci�n si el titular de la funci�n maestro de operaciones de emulador PDC actual no est� disponible. Si no est� seguro del controlador de dominio que utilizar�a para asumir la funci�n, recomendamos que considere instalar el hotfix en todos los controladores de dominio. Si un controlador de dominio sin el hotfix supone que la funci�n de maestra de operaciones de emulador de PDC, permisos del usuario se restablecer� de nuevo.

Informaci�n sobre hotfix de Windows 2000

Hay una revisi�n compatible de Microsoft. Sin embargo, esta revisi�n se dise�� para corregir el problema descrito en este art�culo. Apl�quela s�lo a los sistemas que experimenten este problema espec�fico.

Si la revisi�n est� disponible para descarga, es hay una secci�n de "Descarga de revisi�n disponible" al principio de este art�culo. Si no aparece en esta secci�n, enviar una solicitud al servicio de cliente de Microsoft y soporte para obtener la revisi�n.

Nota Si se producen problemas adicionales o si cualquier soluci�n de problemas es necesario, quiz�s tenga que crear una solicitud de servicio independiente. Los costos habituales de soporte se aplicar�n a las preguntas de soporte t�cnico adicionales y problemas que no guarden relaci�n con esta revisi�n espec�fica. Para obtener una lista completa de n�meros de tel�fono de servicio de atenci�n al cliente y soporte t�cnico o para crear una solicitud de servicio independiente, visite el siguiente sitio Web:

http://support.microsoft.com/contactus/?ws=support

(http://support.microsoft.com/contactus/?ws=support)

Requisito de reinicio

Debe reiniciar el equipo despu�s de aplicar este hotfix.

Informaci�n acerca de la sustituci�n de la revisi�n

Este hotfix no sustituye a otros hotfix.

Informaci�n de archivo

La versi�n en ingl�s de este hotfix tiene los atributos de archivo (o atributos de �ltimo archivo) mostrados en la siguiente tabla. Las fechas y las horas de estos archivos se muestran en hora universal coordinada (UTC). La informaci�n de los archivos se convertir� a la hora local cuando la vea. Para averiguar la diferencia entre hora UTC y la hora local, utilice la ficha zona horaria el elemento fecha y hora en el panel de control.

   Date         Time   Version             Size  File name
   ----------------------------------------------------------
   24-Mar-2004  02:17  5.0.2195.6876    388,368  Advapi32.dll     
   24-Mar-2004  02:17  5.0.2195.6866     69,904  Browser.dll      
   24-Mar-2004  02:17  5.0.2195.6824    134,928  Dnsapi.dll       
   24-Mar-2004  02:17  5.0.2195.6876     92,432  Dnsrslvr.dll     
   24-Mar-2004  02:17  5.0.2195.6883     47,888  Eventlog.dll     
   24-Mar-2004  02:17  5.0.2195.6890    143,632  Kdcsvc.dll       
   11-Mar-2004  02:37  5.0.2195.6903    210,192  Kerberos.dll     
   21-Sep-2003  00:32  5.0.2195.6824     71,888  Ksecdd.sys
   11-Mar-2004  02:37  5.0.2195.6902    520,976  Lsasrv.dll       
   25-Feb-2004  23:59  5.0.2195.6902     33,552  Lsass.exe        
   19-Jun-2003  20:05  5.0.2195.6680    117,520  Msv1_0.dll       
   24-Mar-2004  02:17  5.0.2195.6897    312,592  Netapi32.dll     
   19-Jun-2003  20:05  5.0.2195.6695    371,984  Netlogon.dll     
   10-Aug-2004  00:17  5.0.2195.6966    933,648  Ntdsa.dll        
   24-Mar-2004  02:17  5.0.2195.6897    388,368  Samsrv.dll       
   24-Mar-2004  02:17  5.0.2195.6893    111,376  Scecli.dll       
   24-Mar-2004  02:17  5.0.2195.6903    253,200  Scesrv.dll       
   04-Jun-2004  23:13  5.0.2195.6935  5,887,488  Sp3res.dll       
   24-Mar-2004  02:17  5.0.2195.6824     50,960  W32time.dll      
   21-Sep-2003  00:32  5.0.2195.6824     57,104  W32tm.exe

Informaci�n de paquete de servicio de Windows Server 2003

Para resolver este problema, obtenga el service pack m�s reciente para Windows Server 2003. Para obtener m�s informaci�n, haga clic en el n�mero de art�culo siguiente para verlo en Microsoft Knowledge Base:

889100

(http://support.microsoft.com/kb/889100/ )

C�mo obtener la versi�n m�s reciente del Service Pack para Windows Server 2003

Informaci�n sobre hotfix de Windows Server 2003

Hay una revisi�n compatible de Microsoft. Sin embargo, esta revisi�n se dise�� para corregir el problema descrito en este art�culo. Apl�quela s�lo a los sistemas que experimenten este problema espec�fico. Esta revisi�n podr�a sometida a comprobaciones adicionales. Por lo tanto, si no se ve muy afectado por este problema, recomendamos que espere a la siguiente actualizaci�n de software que contenga este hotfix.

Si la revisi�n est� disponible para descarga, es hay una secci�n de "Descarga de revisi�n disponible" al principio de este art�culo. P�ngase en contacto si no aparece en esta secci�n, con los Microsoft cliente Servicios de y soporte t�cnico para obtener la revisi�n de.

Nota Si se producen problemas adicionales o si cualquier soluci�n de problemas es necesario, quiz�s tenga que crear una solicitud de servicio independiente. Los costos habituales de soporte se aplicar�n a las preguntas de soporte t�cnico adicionales y problemas que no guarden relaci�n con esta revisi�n espec�fica. Para obtener una lista completa de n�meros de tel�fono de servicio de atenci�n al cliente y soporte t�cnico o para crear una solicitud de servicio independiente, visite el siguiente sitio Web:

http://support.microsoft.com/contactus/?ws=support

(http://support.microsoft.com/contactus/?ws=support)

Nota El formulario "Descarga de revisi�n disponibles" muestra los idiomas para que la revisi�n est� disponible. Si no ve su idioma, es porque una revisi�n no est� disponible para ese idioma.La versi�n en ingl�s de este hotfix tiene los atributos de archivo (o atributos de �ltimo archivo) mostrados en la siguiente tabla. Las fechas y las horas de estos archivos se muestran en hora universal coordinada (UTC). La informaci�n de los archivos se convertir� a la hora local cuando la vea. Para averiguar la diferencia entre hora UTC y la hora local, utilice la ficha zona horaria el elemento fecha y hora en el panel de control.

Requisito de reinicio

Debe reiniciar el equipo despu�s de aplicar este hotfix.

Informaci�n acerca de la sustituci�n de la revisi�n

Este hotfix no sustituye a otros hotfix.

Informaci�n de archivo

Windows Server 2003, ediciones de 32 bits

   Date         Time   Version            Size  File name
   --------------------------------------------------------
   02-Nov-2004  01:26  5.2.3790.229  1,532,416  Ntdsa.dll
   02-Nov-2004  01:26  5.2.3790.212     32,768  Ntdsatq.dll
   19-Sep-2004  11:41  5.2.3790.212     59,392  Ws03res.dll

Windows Server 2003, ediciones de 64 bits

   Date         Time   Version            Size  File name     Platform
   -------------------------------------------------------------------
   02-Nov-2004  01:21  5.2.3790.229  4,057,088  Ntdsa.dll     IA-64
   02-Nov-2004  01:21  5.2.3790.212     82,432  Ntdsatq.dll   IA-64
   19-Sep-2004  09:43  5.2.3790.212     58,880  Ws03res.dll   IA-64
   19-Sep-2004  11:41  5.2.3790.212     59,392  Wws03res.dll    x86

Despu�s de instalar la revisi�n en Windows 2000 y en Windows Server 2003, puede establecer indicadores de todo el bosque dsHeuristic para controlar qu� grupos de operador est�n protegidos por adminSDHolder . Mediante esta opci�n nueva, puede establecer algunos o todos los inscrito cuatro grupos protegidos volver al comportamiento de Windows 2000 original. Posici�n de car�cter 16 se interpreta como un valor hexadecimal, donde el car�cter m�s a la izquierda es la posici�n 1. Por tanto, los �nicos valores v�lidos son "0" a "f". Cada grupo de operador tiene un bit espec�fico como sigue:

Bit 0: Operadores de cuentas
Bit 1: Operadores de servidores
Bit 2: Operadores de impresi�n
Bit 3: Operadores de copia

Por ejemplo, un valor de 0001 significa excluir operadores de cuentas. Un valor de 'c' podr�a excluir operadores de impresi�n (0100) y operadores de copia de seguridad (1000) porque la suma binaria 1100 refleja un valor hexadecimal de 0xC.

Para habilitar la nueva funcionalidad, debe modificar un objeto en el contenedor de configuraci�n. Esta configuraci�n es amplio del bosque. Para modificar el objeto, siga estos pasos:

Busque el objeto que desea modificar. Para obtener m�s informaci�n acerca de c�mo hacerlo, haga clic en el n�mero de art�culo siguiente para verlo en Microsoft Knowledge Base:
326690
(http://support.microsoft.com/kb/326690/ )
Las operaciones LDAP an�nimas en Active Directory est�n deshabilitadas en los controladores de dominio de Windows Server 2003
En un s�mbolo del sistema, escriba ldp.exe y presione ENTRAR para iniciar la utilidad LDP.
Haga clic en conexi�n , haga clic en Conectar y a continuaci�n, haga clic en Aceptar .
Haga clic en conexi�n , haga clic en enlazar , escriba el nombre de usuario y la contrase�a de un administrador de la ra�z de bosque y, a continuaci�n, haga clic en Aceptar .
Haga clic en Ver , haga clic en el �rbol y, a continuaci�n, haga clic en Aceptar .
Con View\Tree, abra la siguiente configuraci�n CN:
CN = Directory Service, CN = Windows NT, CN = Servicios, CN = Configuration, DC = Forest root domain
Busque el objeto servicio de directorio y a continuaci�n, haga doble clic en �l.
Compruebe el atributo de objeto listado en el lado derecho para determinar si ya est� establecido el atributo dsHeuristics . Si se establece, copie el valor existente en el Portapapeles.
Haga clic con el bot�n secundario en los objetos de Servicio de directorio en el lado izquierdo y, a continuaci�n, haga clic en Modificar .
Como el nombre de atributo, escriba dsHeuristics .
Como un valor, escriba 000000000100000f . Reemplazar los ceros en la primera parte del valor por lo que es posible que ya tenga en dsHeuristics. Aseg�rese de que tiene la correcta n�mero de d�gitos hasta la "f" o cualquier bits desea establecer.

Nota Para comprobar que se est�n modificando los caracteres correctos, cada d�cimo car�cter debe establecerse en el n�mero de caracteres hasta que punto dividido por diez. Por ejemplo, el d�cimo car�cter debe ser 1, el car�cter xx debe ser 2, el trig�simo car�cter debe ser 3, y as� sucesivamente.
Si el atributo ya exist�a, haga clic en Reemplazar en el cuadro operaci�n . En caso contrario, haga clic en Agregar .
Presione ENTRAR en la derecha al grupo de operaciones para agregar a la transacci�n de LDAP.
Haga clic en Ejecutar para aplicar el cambio al objeto. Despu�s de que este cambio es replicado en los emuladores PDC en el bosque, los que est�n ejecutando esta revisi�n no proteger� los usuarios que son miembros del grupo Operadores de que haya establecido los bits de.

Volver al principio | Enviar comentarios

Soluci�n

Para evitar este problema, utilice uno de los m�todos siguientes.

M�todo 1: Aseg�rese de que los miembros no son miembros de un grupo protegido

Si utiliza permisos que se delegue en el nivel de unidad organizativa, aseg�rese de que todos los usuarios que necesitan los permisos delegados no son miembros de uno de los grupos protegidos. Para usuarios que estaban previamente miembros de un grupo protegido, el indicador de herencia no se restablece autom�ticamente cuando el usuario se quita de un grupo protegido. Para ello, puede utilizar la siguiente secuencia de comandos.

Nota Esta secuencia de comandos comprueba el indicador de herencia para todos los usuarios cuyo AdminCount est� establecido en 1. Si est� deshabilitada la herencia (SE_DACL_PROTECTED est� establecida), la secuencia de comandos habilitar� la herencia. Si ya est� habilitada la herencia, herencia permanecer� habilitada. Adem�s, se restablecer�n AdminCount a 0. Cuando el subproceso adminSDHolder se ejecuta de nuevo, deshabilitar� la herencia y establezca AdminCount en 1 para todos los usuarios permanecen en grupos protegidos. Por lo tanto, AdminCount y herencia se establecen correctamente todos los usuarios que hay m�s miembros de grupos protegidos.

Utilice el siguiente comando para ejecutar la secuencia de comandos:

cscript /nologo resetaccountsadminsdholder.vbs

Microsoft proporciona ejemplos de programaci�n con fines ilustrativos �nicamente, sin ninguna garant�a tanto expresa como impl�cita. Esto incluye, entre otras, las garant�as impl�citas de comerciabilidad e idoneidad para un fin determinado. Este art�culo se supone que est� familiarizado con el lenguaje de programaci�n que se muestra y con las herramientas que se utilizan para crear y depurar procedimientos. Los ingenieros de soporte t�cnico de Microsoft pueden explicarle la funcionalidad de un determinado procedimiento, pero no modificar�n estos ejemplos para ofrecer mayor funcionalidad ni crear�n procedimientos que cumplan sus requisitos espec�ficos.

'********************************************************************
'*
'* File:           ResetAccountsadminSDHolder.vbs 
'* Created:        November 2003
'* Version:        1.0
'*
'*  Main Function:  Resets all accounts that have adminCount = 1 back
'*	to 0 and enables the inheritance flag
'*
'*  ResetAccountsadminSDHolder.vbs 
'*
'* Copyright (C) 2003 Microsoft Corporation
'*
'********************************************************************

Const SE_DACL_PROTECTED = 4096

On Error Resume Next

Dim sDomain
Dim sADsPath
Dim sPDC


Dim oCon 
Dim oCmd
Dim oRst
Set oRst = CreateObject("ADODB.Recordset")
Set oCmd = CreateObject("ADODB.Command")
Set oCon = CreateObject("ADODB.Connection")

Dim oRoot
Dim oDomain
Dim oADInfo
Dim oInfo
Set oADInfo = CreateObject("ADSystemInfo")
Set oInfo = CreateObject("WinNTSystemInfo")
sPDC = oInfo.PDC & "." & oADInfo.DomainDNSName

oCon.Provider = "ADSDSOObject"
oCon.Open "Active Directory Provider"

oCmd.ActiveConnection = oCon

Set oRoot = GetObject("LDAP://rootDSE")
sDomain = oRoot.Get("defaultNamingContext")
Set oDomain = GetObject("LDAP://" & sDomain)
sADsPath = "<" & oDomain.ADsPath & ">"

oCmd.CommandText = "SELECT ADsPath FROM 'LDAP://" & sPDC & "/" & sDomain & "' WHERE objectCategory='person' and objectClass = 'user' AND adminCount = 1"
Set oRst = oCmd.Execute

WScript.Echo "searching for objects with 'admin count = 1' in " & sDomain

If oRst.RecordCount = 0 Then
    WScript.Echo "no accounts found"
    WScript.Quit
End If

Do While Not oRst.EOF
    WScript.Echo  "found object " & oRst.Fields("ADsPath")
    If SetInheritanceFlag(oRst.Fields("ADsPath")) = 0 Then WScript.Echo "Inheritance flag set"
    If SetAdminCount(oRst.Fields("ADsPath"), 0) = 0 Then WScript.Echo "adminCount set to 0"
    WScript.Echo  "=========================================="
    oRst.MoveNext
Loop


Private Function SetInheritanceFlag(DSObjectPath)

    Dim oSD
    Dim oDACL
    Dim lFlag
    Dim oIADs

    Set oIADs = GetObject(DSObjectPath)

    Set oSD = oIADs.Get("nTSecurityDescriptor")

    If oSD.Control And SE_DACL_PROTECTED Then
        oSD.Control = oSD.Control - SE_DACL_PROTECTED
    End If

    oIADs.Put "nTSecurityDescriptor", oSD
    oIADs.SetInfo
    
    If Err.Number <> 0 Then
        SetInheritanceFlag = Err.Number
    Else
        SetInheritanceFlag = 0
    End If

End Function


Private Function SetAdminCount(DSObjectPath, AdminCount)

    Dim oIADs
    Dim iAdminCount

    Set oIADs = GetObject(DSObjectPath)

    iAdminCount = oIADs.Get("adminCount")

    If iAdminCount = 1 Then iAdminCount = 0

    oIADs.Put "adminCount", iAdminCount
    oIADs.SetInfo
    If Err.Number <> 0 Then
        SetAdminCount = Err.Number
    Else
        SetAdminCount = 0
    End If
    
End Function

Para asegurarse de que no afectan negativamente a los usuarios, le recomendamos que primero volcar los usuarios que tienen AdminCount establecer 1 utilizando Ldifde.exe. Para ello, escriba el siguiente comando en el s�mbolo de sistema y, a continuaci�n, presione ENTRAR:

ldifde -f Admincount 1.txt - d dc = your domain-r "(& (objectcategory=person)(objectclass=user)(admincount=1))"

Revisar el archivo de salida para confirmar que todos los usuarios que tendr�n la DACL protegido bits desactivada tendr� los permisos correctos con heredado s�lo controlada el acceso entradas (ACE). Este m�todo es el preferido y no debilitar la seguridad existente.

Volver al principio | Enviar comentarios

M�todo 2: Habilitar la herencia en el contenedor adminSDHolder

Si habilita la herencia en el contenedor adminSDHolder, todos los miembros de grupos protegidos han heredados permisos habilitados. En t�rminos de funcionalidad de seguridad, este m�todo vuelve el comportamiento del contenedor adminSDHolder volver a la funcionalidad de Pack 4 de anterior A.

Habilitar la herencia en el contenedor adminSDHolder

Si habilita la herencia en el contenedor adminSDHolder, uno de los dos mecanismos de lista (ACL) del control de protecci�n de acceso est� deshabilitada. Se aplican los permisos predeterminados. Sin embargo, todos los miembros de grupos protegidos heredan permisos de la unidad organizativa y las unidades organizativas primarias si herencia est� habilitada en el nivel de unidad organizativa.

Para proporcionar protecci�n de herencia para los usuarios administrativos, mueva todos los usuarios administrativos (y otros usuarios que requieren protecci�n de herencia) para su propia unidad organizativa. En el nivel de unidad organizativa, quitar herencia y establezca los permisos para que coincida con las ACL actuales en el contenedor adminSDHolder. Porque los permisos en el contenedor adminSDHolder pueden variar (por ejemplo, Microsoft Exchange Server agrega algunos permisos o los permisos pueden haberse modificados), revise un miembro de un grupo protegido para las actuales permisos en el contenedor adminSDHolder. Tenga en cuenta que la interfaz de usuario (IU) no muestra todos los permisos en el contenedor adminSDHolder. Utilizar DSacls para ver todos los permisos en el contenedor adminSDHolder.

Puede habilitar la herencia en el contenedor adminSDHolder mediante ADSI Edit o usuarios y equipos. La ruta del contenedor adminSDHolder es CN = adminSDHolder, CN = System, DC = <mydomain>, DC = <com>

Nota Si utiliza usuarios y equipos, aseg�rese de que est� seleccionado Caracter�sticas avanzadas en la vista de men�.

Para habilitar la herencia en el contenedor adminSDHolder:

Haga clic con el bot�n secundario en el contenedor y, a continuaci�n, haga clic en Propiedades .
Haga clic en la ficha seguridad .
Haga clic en Avanzadas .
Haga clic para seleccionar la casilla de verificaci�n permisos Allow Inheritable propaguen a este objeto y todos los objetos secundarios .
Haga clic en Aceptar y, a continuaci�n, haga clic en Cerrar .

La pr�xima vez que se ejecuta el subproceso SDProp, se establece el indicador de herencia en todos los miembros de grupos protegidos. Este procedimiento puede tardar hasta 60 minutos. Deje tiempo suficiente para que este cambio se replique desde el controlador de dominio principal (PDC).

M�todo 3: Evitar la herencia y s�lo cambiar las ACL

Si no desea que los usuarios miembros de grupos protegidos para heredar permisos del contenedor que los usuarios residen en y s�lo desea cambiar la seguridad de los objetos de usuario, puede modificar la seguridad en el directorio de contenedor adminSDHolder. En este escenario, no es necesario habilitar la herencia en el contenedor adminSDHolder. S�lo tiene que agregar ese grupo o modificar la seguridad de los grupos de seguridad que ya est�n definidos en el contenedor adminSDHolder. Despu�s de una hora, el subproceso SDProp aplicar� el cambio realizado en las ACL del contenedor adminSDHolder a todos los miembros de grupos protegidos. Los miembros no heredar� la seguridad del contenedor residen en.

Por ejemplo, el propio cuenta requiere el derecho Permitir leer todas las propiedades . Modificar la configuraci�n de seguridad contenedor adminSDHolder para permitir este derecho en el mismo cuenta. Despu�s de una hora, el mismo se permitir� este derecho de cuenta para todos los usuarios miembros de grupos protegidos. No se cambia el indicador de herencia.

En el ejemplo siguiente se muestra c�mo aplicar cambios en el objeto adminSDHolder s�lo. Este ejemplo otorga los permisos siguientes en el objeto adminSDHolder :

Contenido de lista
Leer todas las propiedades
Escribir todas las propiedades

Para conceder estos permisos en el objeto adminSDHolder , siga estos pasos:

En usuarios y equipos, haga clic en Caracter�sticas avanzadas en la vista de men�.
Busque el objeto adminSDHolder . El objeto est� en la siguiente ubicaci�n para cada dominio en Active Directory bosque: CN = adminSDHolder, CN = System, DC=domain,DC=com, DC = dominio, DC = com es el nombre completo del dominio.
Haga clic con el bot�n secundario del mouse en adminSDHolder y, a continuaci�n, haga clic en Propiedades .
En el cuadro de di�logo Propiedades , haga clic en la ficha seguridad y a continuaci�n, haga clic en Avanzadas .
En el cuadro de di�logo Configuraci�n de control de acceso para adminSDHolder , haga clic en Agregar en la ficha permisos .
En el Seleccionar usuario, equipo o grupo , haga clic en la cuenta a la que desea conceder permisos relacionados y, a continuaci�n, haga clic en Aceptar .
En la Entrada de permisos para adminSDHolder del cuadro de di�logo, haga clic en s�lo este objeto en el cuadro Aplicar en y a continuaci�n, haga clic en Mostrar el contenido , Leer todas las propiedades y escribir todas las propiedades derechos .
Haga clic en Aceptar para cerrar el cuadro de di�logo Entrada de permiso para adminSDHolder , el cuadro de di�logo Acceso de configuraci�n de control para adminSDHolder y el cuadro de di�logo Propiedades de adminSDHolder .

Dentro de una hora, se actualizar� la ACL en los objetos de usuario asociados con los grupos protegidos para reflejar los cambios.Para obtener m�s informaci�n, haga clic en los n�meros de art�culo siguientes para verlos en Microsoft Knowledge Base:

232199

(http://support.microsoft.com/kb/232199/ )

Descripci�n y actualizaci�n del objeto adminSDHolder de Active Directory

318180

(http://support.microsoft.com/kb/318180/ )

Subproceso AdminSDHolder afecta a los miembros transitivos de grupos de distribuci�n

Volver al principio | Enviar comentarios

Estado

Microsoft ha confirmado que se trata de un problema de los productos de Microsoft enumerados en la secci�n "La informaci�n de este art�culo se refiere a:". Este problema se corrigi� por primera vez en Windows Server 2003 Service Pack 1.

Volver al principio | Enviar comentarios

M�s informaci�n

Active Directory utiliza un mecanismo de protecci�n para asegurarse de que las ACL est�n configuradas correctamente para los miembros de grupos confidenciales. El mecanismo ejecuta una vez una hora en el maestro de operaciones de PDC. El maestro de operaciones compara la ACL en las cuentas de usuario que son miembros de grupos protegidos contra la ACL en el siguiente objeto:

CN = adminSDHolder, CN = System, DC = <MyDomain>,DC=<Com>

Nota "DC = <MyDomain>,DC=<Com> "representa el nombre completo (DN) de su dominio.

Si la lista de control de acceso es diferente, se sobrescribe la ACL en el objeto de usuario para reflejar la configuraci�n de seguridad del objeto adminSDHolder (y herencia de ACL est� deshabilitada). Este proceso protege estas cuentas de siendo modificado por los usuarios no autorizados si las cuentas se mueven a un contenedor o unidad organizativa donde un usuario malintencionado ha sido delegadas credenciales administrativas para modificar cuentas de usuario. Tenga en cuenta que, cuando un usuario se quita del grupo administrativo, el proceso no se invierte y debe cambiarse manualmente.

Nota Para controlar la frecuencia a la que el objeto adminSDHolder actualiza descriptores de seguridad, crear o modificar la AdminSDProtectFrequency entrada en la siguiente subclave del registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Cuando la entrada de registro AdminSDProtectFrequency no est� presente, el objeto adminSDHolder actualiza descriptores de seguridad cada 60 minutos (3.600 segundos). Puede utilizar esta entrada del registro para establecer esta frecuencia a cualquier velocidad entre 1 minuto (60 segundos) y 2 horas (7200 segundos) especificando el valor en segundos. Sin embargo, no se recomienda que modifique este valor excepto durante per�odos pruebas breves. Modificar este valor puede aumentar la sobrecarga de procesamiento de LSASS.

En la lista siguiente se describen los grupos protegidos en Windows 2000:

Administradores
Administradores de esquema
Administradores de dominio
Administradores

En la lista siguiente se describen los grupos protegidos en Windows Server 2003 y en Windows 2000 despu�s de aplicar la revisi�n 327825 o instalar Windows 2000 Service Pack 4:

Administradores
Operadores de cuentas
Operadores de servidores
Operadores de impresi�n
Operadores de copia de seguridad
Administradores de dominio
Administradores de esquema
Administradores
Publicadores de certificados

Adem�s los siguientes usuarios tambi�n se consideran protegidos:

Administrador
Krbtgt

Tenga en cuenta que pertenencia a grupos de distribuci�n no llena un token de usuario. Por lo tanto, no puede utilizar herramientas como "whoami" para determinar correctamente la pertenencia a grupos.

Para obtener m�s informaci�n acerca de la administraci�n delegada, descargar las notas del producto Best Practices for Delegating Active Directory Administration . Para hacerlo, visite el siguiente sitio Web de Microsoft:

http://www.microsoft.com/downloads/details.aspx?familyid=631747a3-79e1-48fa-9730-dae7c0a1d6d3&displaylang=en

(http://www.microsoft.com/downloads/details.aspx?familyid=631747a3-79e1-48fa-9730-dae7c0a1d6d3&displaylang=en)

Volver al principio | Enviar comentarios

Propiedades

Id. de art�culo: 817433 - �ltima revisi�n: lunes, 20 de abril de 2009 - Versi�n: 24.0

La informaci�n de este art�culo se refiere a:

Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Microsoft Windows Small Business Server 2003 Premium Edition
Microsoft Windows Small Business Server 2003 Standard Edition
Service Pack 3 de Microsoft Windows 2000
Microsoft Windows 2000 Server SP4

kbmt kbautohotfix kbwinserv2003sp1fix atdownload kbhotfixserver kbqfe KB817433 KbMtes

Traducci�n autom�tica

IMPORTANTE: Este art�culo ha sido traducido por un software de traducci�n autom�tica de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece art�culos traducidos por un traductor humano y art�culos traducidos autom�ticamente para que tenga acceso en su propio idioma a todos los art�culos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los art�culos traducidos autom�ticamente pueden contener errores en el vocabulario, la sintaxis o la gram�tica, como los que un extranjero podr�a cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisi�n, error o da�o ocasionado por una mala traducci�n del contenido o como consecuencia de su utilizaci�n por nuestros clientes. Microsoft suele actualizar el software de traducci�n frecuentemente.

Haga clic aqu� para ver el art�culo original (en ingl�s): 817433

(http://support.microsoft.com/kb/817433/en-us/ )

Volver al principio | Enviar comentarios