Permisos delegados no están disponibles y la herencia está deshabilitada automáticamente

Seleccione idioma Seleccione idioma
Id. de artículo: 817433 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Síntomas

Después de actualizar a Microsoft Windows Server 2003, puede experimentar los síntomas siguientes:
  • Permisos delegados no están disponibles para todos los usuarios de una unidad organizativa.
  • Herencia automáticamente está deshabilitada en algunas cuentas de usuario aproximadamente una vez una hora
  • Los usuarios que anteriormente tenían delegar permisos, ya no disponen de ellos.
Este problema puede ocurrir también después de aplicar la revisión descrita en el artículo de Knowledge Base 327825 a Microsoft Windows 2000 Server o después de instalar Windows 2000 Service Pack 4 en Microsoft Windows 2000 Server.Para obtener más información acerca de la revisión 327825 de Windows 2000, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
327825Nueva solución de problemas con la autenticación Kerberos cuando los usuarios pertenecen a muchos grupos

Causa

Al delegar permisos mediante el Asistente Delegation of Control, estos permisos se basan en el objeto de usuario hereda los permisos del contenedor primario. Miembros de grupos protegidos no heredan permisos del contenedor primario. Por lo tanto, si establece permisos mediante el Asistente Delegation of Control, estos permisos no se aplican a los miembros de grupos protegidos.

Nota La pertenencia a en un grupo protegido se define como asociación directa o pertenencia transitiva mediante uno o más grupos de seguridad o distribución. Grupos de distribución se incluyen porque se pueden convertir a grupos de seguridad.

En Windows Server 2003 ha aumentado el número de grupos que están protegidos a mejorar la seguridad en Active Directory (consulte la sección "Más información"). También aumenta el número de grupos que están protegidos si aplica la revisión 327825 a Windows 2000.

Solución

Para resolver este problema, puede instalar un hotfix. Debe instalar la revisión en el controlador de dominio que desempeña la función principal de dominio controlador (PDC) emulador operaciones principales en cada dominio. Además, debe instalar la revisión en todos los controladores de dominio que puede utilizar para asumir esta función si el titular de la función maestro de operaciones de emulador PDC actual no está disponible. Si no está seguro del controlador de dominio que utilizaría para asumir la función, recomendamos que considere instalar el hotfix en todos los controladores de dominio. Si un controlador de dominio sin el hotfix supone que la función de maestra de operaciones de emulador de PDC, permisos del usuario se restablecerá de nuevo.

Información sobre hotfix de Windows 2000

Hay una revisión compatible de Microsoft. Sin embargo, esta revisión se diseñó para corregir el problema descrito en este artículo. Aplíquela sólo a los sistemas que experimenten este problema específico.

Si la revisión está disponible para descarga, es hay una sección de "Descarga de revisión disponible" al principio de este artículo. Si no aparece en esta sección, enviar una solicitud al servicio de cliente de Microsoft y soporte para obtener la revisión.

Nota Si se producen problemas adicionales o si cualquier solución de problemas es necesario, quizás tenga que crear una solicitud de servicio independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no guarden relación con esta revisión específica. Para obtener una lista completa de números de teléfono de servicio de atención al cliente y soporte técnico o para crear una solicitud de servicio independiente, visite el siguiente sitio Web:
http://support.microsoft.com/contactus/?ws=support
Nota El formulario "Descarga de revisión disponibles" muestra los idiomas para que la revisión está disponible. Si no ve su idioma, es porque una revisión no está disponible para ese idioma.

Requisito de reinicio

Debe reiniciar el equipo después de aplicar este hotfix.

Información acerca de la sustitución de la revisión

Este hotfix no sustituye a otros hotfix.

Información de archivo

La versión en inglés de este hotfix tiene los atributos de archivo (o atributos de último archivo) mostrados en la siguiente tabla. Las fechas y las horas de estos archivos se muestran en hora universal coordinada (UTC). La información de los archivos se convertirá a la hora local cuando la vea. Para averiguar la diferencia entre hora UTC y la hora local, utilice la ficha zona horaria el elemento fecha y hora en el panel de control.
   Date         Time   Version             Size  File name
   ----------------------------------------------------------
   24-Mar-2004  02:17  5.0.2195.6876    388,368  Advapi32.dll     
   24-Mar-2004  02:17  5.0.2195.6866     69,904  Browser.dll      
   24-Mar-2004  02:17  5.0.2195.6824    134,928  Dnsapi.dll       
   24-Mar-2004  02:17  5.0.2195.6876     92,432  Dnsrslvr.dll     
   24-Mar-2004  02:17  5.0.2195.6883     47,888  Eventlog.dll     
   24-Mar-2004  02:17  5.0.2195.6890    143,632  Kdcsvc.dll       
   11-Mar-2004  02:37  5.0.2195.6903    210,192  Kerberos.dll     
   21-Sep-2003  00:32  5.0.2195.6824     71,888  Ksecdd.sys
   11-Mar-2004  02:37  5.0.2195.6902    520,976  Lsasrv.dll       
   25-Feb-2004  23:59  5.0.2195.6902     33,552  Lsass.exe        
   19-Jun-2003  20:05  5.0.2195.6680    117,520  Msv1_0.dll       
   24-Mar-2004  02:17  5.0.2195.6897    312,592  Netapi32.dll     
   19-Jun-2003  20:05  5.0.2195.6695    371,984  Netlogon.dll     
   10-Aug-2004  00:17  5.0.2195.6966    933,648  Ntdsa.dll        
   24-Mar-2004  02:17  5.0.2195.6897    388,368  Samsrv.dll       
   24-Mar-2004  02:17  5.0.2195.6893    111,376  Scecli.dll       
   24-Mar-2004  02:17  5.0.2195.6903    253,200  Scesrv.dll       
   04-Jun-2004  23:13  5.0.2195.6935  5,887,488  Sp3res.dll       
   24-Mar-2004  02:17  5.0.2195.6824     50,960  W32time.dll      
   21-Sep-2003  00:32  5.0.2195.6824     57,104  W32tm.exe

Información de paquete de servicio de Windows Server 2003

Para resolver este problema, obtenga el service pack más reciente para Windows Server 2003. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
889100Cómo obtener la versión más reciente del Service Pack para Windows Server 2003

Información sobre hotfix de Windows Server 2003

Hay una revisión compatible de Microsoft. Sin embargo, esta revisión se diseñó para corregir el problema descrito en este artículo. Aplíquela sólo a los sistemas que experimenten este problema específico. Esta revisión podría sometida a comprobaciones adicionales. Por lo tanto, si no se ve muy afectado por este problema, recomendamos que espere a la siguiente actualización de software que contenga este hotfix.

Si la revisión está disponible para descarga, es hay una sección de "Descarga de revisión disponible" al principio de este artículo. Póngase en contacto si no aparece en esta sección, con los Microsoft cliente Servicios de y soporte técnico para obtener la revisión de.

Nota Si se producen problemas adicionales o si cualquier solución de problemas es necesario, quizás tenga que crear una solicitud de servicio independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no guarden relación con esta revisión específica. Para obtener una lista completa de números de teléfono de servicio de atención al cliente y soporte técnico o para crear una solicitud de servicio independiente, visite el siguiente sitio Web:
http://support.microsoft.com/contactus/?ws=support
Nota El formulario "Descarga de revisión disponibles" muestra los idiomas para que la revisión está disponible. Si no ve su idioma, es porque una revisión no está disponible para ese idioma.La versión en inglés de este hotfix tiene los atributos de archivo (o atributos de último archivo) mostrados en la siguiente tabla. Las fechas y las horas de estos archivos se muestran en hora universal coordinada (UTC). La información de los archivos se convertirá a la hora local cuando la vea. Para averiguar la diferencia entre hora UTC y la hora local, utilice la ficha zona horaria el elemento fecha y hora en el panel de control.

Requisito de reinicio

Debe reiniciar el equipo después de aplicar este hotfix.

Información acerca de la sustitución de la revisión

Este hotfix no sustituye a otros hotfix.

Información de archivo

Windows Server 2003, ediciones de 32 bits
   Date         Time   Version            Size  File name
   --------------------------------------------------------
   02-Nov-2004  01:26  5.2.3790.229  1,532,416  Ntdsa.dll
   02-Nov-2004  01:26  5.2.3790.212     32,768  Ntdsatq.dll
   19-Sep-2004  11:41  5.2.3790.212     59,392  Ws03res.dll
Windows Server 2003, ediciones de 64 bits
   Date         Time   Version            Size  File name     Platform
   -------------------------------------------------------------------
   02-Nov-2004  01:21  5.2.3790.229  4,057,088  Ntdsa.dll     IA-64
   02-Nov-2004  01:21  5.2.3790.212     82,432  Ntdsatq.dll   IA-64
   19-Sep-2004  09:43  5.2.3790.212     58,880  Ws03res.dll   IA-64
   19-Sep-2004  11:41  5.2.3790.212     59,392  Wws03res.dll    x86
Después de instalar la revisión en Windows 2000 y en Windows Server 2003, puede establecer indicadores de todo el bosque dsHeuristic para controlar qué grupos de operador están protegidos por adminSDHolder . Mediante esta opción nueva, puede establecer algunos o todos los inscrito cuatro grupos protegidos volver al comportamiento de Windows 2000 original. Posición de carácter 16 se interpreta como un valor hexadecimal, donde el carácter más a la izquierda es la posición 1. Por tanto, los únicos valores válidos son "0" a "f". Cada grupo de operador tiene un bit específico como sigue:
  • Bit 0: Operadores de cuentas
  • Bit 1: Operadores de servidores
  • Bit 2: Operadores de impresión
  • Bit 3: Operadores de copia
Por ejemplo, un valor de 0001 significa excluir operadores de cuentas. Un valor de 'c' podría excluir operadores de impresión (0100) y operadores de copia de seguridad (1000) porque la suma binaria 1100 refleja un valor hexadecimal de 0xC.

Para habilitar la nueva funcionalidad, debe modificar un objeto en el contenedor de configuración. Esta configuración es amplio del bosque. Para modificar el objeto, siga estos pasos:
  1. Busque el objeto que desea modificar. Para obtener más información acerca de cómo hacerlo, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    326690Las operaciones LDAP anónimas en Active Directory están deshabilitadas en los controladores de dominio de Windows Server 2003
  2. En un símbolo del sistema, escriba ldp.exe y presione ENTRAR para iniciar la utilidad LDP.
  3. Haga clic en conexión , haga clic en Conectar y a continuación, haga clic en Aceptar .
  4. Haga clic en conexión , haga clic en enlazar , escriba el nombre de usuario y la contraseña de un administrador de la raíz de bosque y, a continuación, haga clic en Aceptar .
  5. Haga clic en Ver , haga clic en el árbol y, a continuación, haga clic en Aceptar .
  6. Con View\Tree, abra la siguiente configuración CN:
    CN = Directory Service, CN = Windows NT, CN = Servicios, CN = Configuration, DC = Forest root domain
  7. Busque el objeto servicio de directorio y a continuación, haga doble clic en él.
  8. Compruebe el atributo de objeto listado en el lado derecho para determinar si ya está establecido el atributo dsHeuristics . Si se establece, copie el valor existente en el Portapapeles.
  9. Haga clic con el botón secundario en los objetos de Servicio de directorio en el lado izquierdo y, a continuación, haga clic en Modificar .
  10. Como el nombre de atributo, escriba dsHeuristics .
  11. Como un valor, escriba 000000000100000f . Reemplazar los ceros en la primera parte del valor por lo que es posible que ya tenga en dsHeuristics. Asegúrese de que tiene la correcta número de dígitos hasta la "f" o cualquier bits desea establecer.

    Nota Para comprobar que se están modificando los caracteres correctos, cada décimo carácter debe establecerse en el número de caracteres hasta que punto dividido por diez. Por ejemplo, el décimo carácter debe ser 1, el carácter xx debe ser 2, el trigésimo carácter debe ser 3, y así sucesivamente.
  12. Si el atributo ya existía, haga clic en Reemplazar en el cuadro operación . En caso contrario, haga clic en Agregar .
  13. Presione ENTRAR en la derecha al grupo de operaciones para agregar a la transacción de LDAP.
  14. Haga clic en Ejecutar para aplicar el cambio al objeto. Después de que este cambio es replicado en los emuladores PDC en el bosque, los que están ejecutando esta revisión no protegerá los usuarios que son miembros del grupo Operadores de que haya establecido los bits de.

Solución

Para evitar este problema, utilice uno de los métodos siguientes.

Método 1: Asegúrese de que los miembros no son miembros de un grupo protegido

Si utiliza permisos que se delegue en el nivel de unidad organizativa, asegúrese de que todos los usuarios que necesitan los permisos delegados no son miembros de uno de los grupos protegidos. Para usuarios que estaban previamente miembros de un grupo protegido, el indicador de herencia no se restablece automáticamente cuando el usuario se quita de un grupo protegido. Para ello, puede utilizar la siguiente secuencia de comandos.

Nota Esta secuencia de comandos comprueba el indicador de herencia para todos los usuarios cuyo AdminCount está establecido en 1. Si está deshabilitada la herencia (SE_DACL_PROTECTED está establecida), la secuencia de comandos habilitará la herencia. Si ya está habilitada la herencia, herencia permanecerá habilitada. Además, se restablecerán AdminCount a 0. Cuando el subproceso adminSDHolder se ejecuta de nuevo, deshabilitará la herencia y establezca AdminCount en 1 para todos los usuarios permanecen en grupos protegidos. Por lo tanto, AdminCount y herencia se establecen correctamente todos los usuarios que hay más miembros de grupos protegidos.

Utilice el siguiente comando para ejecutar la secuencia de comandos:
cscript /nologo resetaccountsadminsdholder.vbs
Microsoft proporciona ejemplos de programación con fines ilustrativos únicamente, sin ninguna garantía tanto expresa como implícita. Esto incluye, entre otras, las garantías implícitas de comerciabilidad e idoneidad para un fin determinado. Este artículo se supone que está familiarizado con el lenguaje de programación que se muestra y con las herramientas que se utilizan para crear y depurar procedimientos. Los ingenieros de soporte técnico de Microsoft pueden explicarle la funcionalidad de un determinado procedimiento, pero no modificarán estos ejemplos para ofrecer mayor funcionalidad ni crearán procedimientos que cumplan sus requisitos específicos.
'********************************************************************
'*
'* File:           ResetAccountsadminSDHolder.vbs 
'* Created:        November 2003
'* Version:        1.0
'*
'*  Main Function:  Resets all accounts that have adminCount = 1 back
'*	to 0 and enables the inheritance flag
'*
'*  ResetAccountsadminSDHolder.vbs 
'*
'* Copyright (C) 2003 Microsoft Corporation
'*
'********************************************************************

Const SE_DACL_PROTECTED = 4096

On Error Resume Next

Dim sDomain
Dim sADsPath
Dim sPDC


Dim oCon 
Dim oCmd
Dim oRst
Set oRst = CreateObject("ADODB.Recordset")
Set oCmd = CreateObject("ADODB.Command")
Set oCon = CreateObject("ADODB.Connection")

Dim oRoot
Dim oDomain
Dim oADInfo
Dim oInfo
Set oADInfo = CreateObject("ADSystemInfo")
Set oInfo = CreateObject("WinNTSystemInfo")
sPDC = oInfo.PDC & "." & oADInfo.DomainDNSName

oCon.Provider = "ADSDSOObject"
oCon.Open "Active Directory Provider"

oCmd.ActiveConnection = oCon

Set oRoot = GetObject("LDAP://rootDSE")
sDomain = oRoot.Get("defaultNamingContext")
Set oDomain = GetObject("LDAP://" & sDomain)
sADsPath = "<" & oDomain.ADsPath & ">"

oCmd.CommandText = "SELECT ADsPath FROM 'LDAP://" & sPDC & "/" & sDomain & "' WHERE objectCategory='person' and objectClass = 'user' AND adminCount = 1"
Set oRst = oCmd.Execute

WScript.Echo "searching for objects with 'admin count = 1' in " & sDomain

If oRst.RecordCount = 0 Then
    WScript.Echo "no accounts found"
    WScript.Quit
End If

Do While Not oRst.EOF
    WScript.Echo  "found object " & oRst.Fields("ADsPath")
    If SetInheritanceFlag(oRst.Fields("ADsPath")) = 0 Then WScript.Echo "Inheritance flag set"
    If SetAdminCount(oRst.Fields("ADsPath"), 0) = 0 Then WScript.Echo "adminCount set to 0"
    WScript.Echo  "=========================================="
    oRst.MoveNext
Loop


Private Function SetInheritanceFlag(DSObjectPath)

    Dim oSD
    Dim oDACL
    Dim lFlag
    Dim oIADs

    Set oIADs = GetObject(DSObjectPath)

    Set oSD = oIADs.Get("nTSecurityDescriptor")

    If oSD.Control And SE_DACL_PROTECTED Then
        oSD.Control = oSD.Control - SE_DACL_PROTECTED
    End If

    oIADs.Put "nTSecurityDescriptor", oSD
    oIADs.SetInfo
    
    If Err.Number <> 0 Then
        SetInheritanceFlag = Err.Number
    Else
        SetInheritanceFlag = 0
    End If

End Function


Private Function SetAdminCount(DSObjectPath, AdminCount)

    Dim oIADs
    Dim iAdminCount

    Set oIADs = GetObject(DSObjectPath)

    iAdminCount = oIADs.Get("adminCount")

    If iAdminCount = 1 Then iAdminCount = 0

    oIADs.Put "adminCount", iAdminCount
    oIADs.SetInfo
    If Err.Number <> 0 Then
        SetAdminCount = Err.Number
    Else
        SetAdminCount = 0
    End If
    
End Function
Para asegurarse de que no afectan negativamente a los usuarios, le recomendamos que primero volcar los usuarios que tienen AdminCount establecer 1 utilizando Ldifde.exe. Para ello, escriba el siguiente comando en el símbolo de sistema y, a continuación, presione ENTRAR:
ldifde -f Admincount 1.txt - d dc = your domain-r "(& (objectcategory=person)(objectclass=user)(admincount=1))"
Revisar el archivo de salida para confirmar que todos los usuarios que tendrán la DACL protegido bits desactivada tendrá los permisos correctos con heredado sólo controlada el acceso entradas (ACE). Este método es el preferido y no debilitar la seguridad existente.

Método 2: Habilitar la herencia en el contenedor adminSDHolder

Si habilita la herencia en el contenedor adminSDHolder, todos los miembros de grupos protegidos han heredados permisos habilitados. En términos de funcionalidad de seguridad, este método vuelve el comportamiento del contenedor adminSDHolder volver a la funcionalidad de Pack 4 de anterior A.

Habilitar la herencia en el contenedor adminSDHolder

Si habilita la herencia en el contenedor adminSDHolder, uno de los dos mecanismos de lista (ACL) del control de protección de acceso está deshabilitada. Se aplican los permisos predeterminados. Sin embargo, todos los miembros de grupos protegidos heredan permisos de la unidad organizativa y las unidades organizativas primarias si herencia está habilitada en el nivel de unidad organizativa.

Para proporcionar protección de herencia para los usuarios administrativos, mueva todos los usuarios administrativos (y otros usuarios que requieren protección de herencia) para su propia unidad organizativa. En el nivel de unidad organizativa, quitar herencia y establezca los permisos para que coincida con las ACL actuales en el contenedor adminSDHolder. Porque los permisos en el contenedor adminSDHolder pueden variar (por ejemplo, Microsoft Exchange Server agrega algunos permisos o los permisos pueden haberse modificados), revise un miembro de un grupo protegido para las actuales permisos en el contenedor adminSDHolder. Tenga en cuenta que la interfaz de usuario (IU) no muestra todos los permisos en el contenedor adminSDHolder. Utilizar DSacls para ver todos los permisos en el contenedor adminSDHolder.

Puede habilitar la herencia en el contenedor adminSDHolder mediante ADSI Edit o usuarios y equipos. La ruta del contenedor adminSDHolder es CN = adminSDHolder, CN = System, DC = <mydomain>, DC = <com>

Nota Si utiliza usuarios y equipos, asegúrese de que está seleccionado Características avanzadas en la vista de menú.

Para habilitar la herencia en el contenedor adminSDHolder:
  1. Haga clic con el botón secundario en el contenedor y, a continuación, haga clic en Propiedades .
  2. Haga clic en la ficha seguridad .
  3. Haga clic en Avanzadas .
  4. Haga clic para seleccionar la casilla de verificación permisos Allow Inheritable propaguen a este objeto y todos los objetos secundarios .
  5. Haga clic en Aceptar y, a continuación, haga clic en Cerrar .
La próxima vez que se ejecuta el subproceso SDProp, se establece el indicador de herencia en todos los miembros de grupos protegidos. Este procedimiento puede tardar hasta 60 minutos. Deje tiempo suficiente para que este cambio se replique desde el controlador de dominio principal (PDC).

Método 3: Evitar la herencia y sólo cambiar las ACL

Si no desea que los usuarios miembros de grupos protegidos para heredar permisos del contenedor que los usuarios residen en y sólo desea cambiar la seguridad de los objetos de usuario, puede modificar la seguridad en el directorio de contenedor adminSDHolder. En este escenario, no es necesario habilitar la herencia en el contenedor adminSDHolder. Sólo tiene que agregar ese grupo o modificar la seguridad de los grupos de seguridad que ya están definidos en el contenedor adminSDHolder. Después de una hora, el subproceso SDProp aplicará el cambio realizado en las ACL del contenedor adminSDHolder a todos los miembros de grupos protegidos. Los miembros no heredará la seguridad del contenedor residen en.

Por ejemplo, el propio cuenta requiere el derecho Permitir leer todas las propiedades . Modificar la configuración de seguridad contenedor adminSDHolder para permitir este derecho en el mismo cuenta. Después de una hora, el mismo se permitirá este derecho de cuenta para todos los usuarios miembros de grupos protegidos. No se cambia el indicador de herencia.

En el ejemplo siguiente se muestra cómo aplicar cambios en el objeto adminSDHolder sólo. Este ejemplo otorga los permisos siguientes en el objeto adminSDHolder :
  • Contenido de lista
  • Leer todas las propiedades
  • Escribir todas las propiedades
Para conceder estos permisos en el objeto adminSDHolder , siga estos pasos:
  1. En usuarios y equipos, haga clic en Características avanzadas en la vista de menú.
  2. Busque el objeto adminSDHolder . El objeto está en la siguiente ubicación para cada dominio en Active Directory bosque: CN = adminSDHolder, CN = System, DC=domain,DC=com, DC = dominio, DC = com es el nombre completo del dominio.
  3. Haga clic con el botón secundario del mouse en adminSDHolder y, a continuación, haga clic en Propiedades .
  4. En el cuadro de diálogo Propiedades , haga clic en la ficha seguridad y a continuación, haga clic en Avanzadas .
  5. En el cuadro de diálogo Configuración de control de acceso para adminSDHolder , haga clic en Agregar en la ficha permisos .
  6. En el Seleccionar usuario, equipo o grupo , haga clic en la cuenta a la que desea conceder permisos relacionados y, a continuación, haga clic en Aceptar .
  7. En la Entrada de permisos para adminSDHolder del cuadro de diálogo, haga clic en sólo este objeto en el cuadro Aplicar en y a continuación, haga clic en Mostrar el contenido , Leer todas las propiedades y escribir todas las propiedades derechos .
  8. Haga clic en Aceptar para cerrar el cuadro de diálogo Entrada de permiso para adminSDHolder , el cuadro de diálogo Acceso de configuración de control para adminSDHolder y el cuadro de diálogo Propiedades de adminSDHolder .
Dentro de una hora, se actualizará la ACL en los objetos de usuario asociados con los grupos protegidos para reflejar los cambios.Para obtener más información, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
232199Descripción y actualización del objeto adminSDHolder de Active Directory
318180Subproceso AdminSDHolder afecta a los miembros transitivos de grupos de distribución

Estado

Microsoft ha confirmado que se trata de un problema de los productos de Microsoft enumerados en la sección "La información de este artículo se refiere a:". Este problema se corrigió por primera vez en Windows Server 2003 Service Pack 1.

Más información

Active Directory utiliza un mecanismo de protección para asegurarse de que las ACL están configuradas correctamente para los miembros de grupos confidenciales. El mecanismo ejecuta una vez una hora en el maestro de operaciones de PDC. El maestro de operaciones compara la ACL en las cuentas de usuario que son miembros de grupos protegidos contra la ACL en el siguiente objeto:
CN = adminSDHolder, CN = System, DC = <MyDomain>,DC=<Com>

Nota "DC = <MyDomain>,DC=<Com> "representa el nombre completo (DN) de su dominio.

Si la lista de control de acceso es diferente, se sobrescribe la ACL en el objeto de usuario para reflejar la configuración de seguridad del objeto adminSDHolder (y herencia de ACL está deshabilitada). Este proceso protege estas cuentas de siendo modificado por los usuarios no autorizados si las cuentas se mueven a un contenedor o unidad organizativa donde un usuario malintencionado ha sido delegadas credenciales administrativas para modificar cuentas de usuario. Tenga en cuenta que, cuando un usuario se quita del grupo administrativo, el proceso no se invierte y debe cambiarse manualmente.

Nota Para controlar la frecuencia a la que el objeto adminSDHolder actualiza descriptores de seguridad, crear o modificar la AdminSDProtectFrequency entrada en la siguiente subclave del registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Cuando la entrada de registro AdminSDProtectFrequency no está presente, el objeto adminSDHolder actualiza descriptores de seguridad cada 60 minutos (3.600 segundos). Puede utilizar esta entrada del registro para establecer esta frecuencia a cualquier velocidad entre 1 minuto (60 segundos) y 2 horas (7200 segundos) especificando el valor en segundos. Sin embargo, no se recomienda que modifique este valor excepto durante períodos pruebas breves. Modificar este valor puede aumentar la sobrecarga de procesamiento de LSASS.

En la lista siguiente se describen los grupos protegidos en Windows 2000:
  • Administradores
  • Administradores de esquema
  • Administradores de dominio
  • Administradores

En la lista siguiente se describen los grupos protegidos en Windows Server 2003 y en Windows 2000 después de aplicar la revisión 327825 o instalar Windows 2000 Service Pack 4:
  • Administradores
  • Operadores de cuentas
  • Operadores de servidores
  • Operadores de impresión
  • Operadores de copia de seguridad
  • Administradores de dominio
  • Administradores de esquema
  • Administradores
  • Publicadores de certificados
Además los siguientes usuarios también se consideran protegidos:
  • Administrador
  • Krbtgt
Tenga en cuenta que pertenencia a grupos de distribución no llena un token de usuario. Por lo tanto, no puede utilizar herramientas como "whoami" para determinar correctamente la pertenencia a grupos.

Para obtener más información acerca de la administración delegada, descargar las notas del producto Best Practices for Delegating Active Directory Administration . Para hacerlo, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/downloads/details.aspx?familyid=631747a3-79e1-48fa-9730-dae7c0a1d6d3&displaylang=en

Propiedades

Id. de artículo: 817433 - Última revisión: lunes, 20 de abril de 2009 - Versión: 24.0
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Service Pack 3 de Microsoft Windows 2000
  • Microsoft Windows 2000 Server SP4
Palabras clave: 
kbmt kbautohotfix kbwinserv2003sp1fix atdownload kbhotfixserver kbqfe KB817433 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 817433

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com