Autorisations déléguées ne sont pas disponibles et l'héritage est désactivé automatiquement

Traductions disponibles Traductions disponibles
Numéro d'article: 817433 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Symptômes

Après la mise à niveau vers Microsoft Windows Server 2003, vous pouvez rencontrer les problèmes suivants :
  • Autorisations déléguées ne sont pas disponibles à tous les utilisateurs en une unité d'organisation.
  • L'héritage est désactivé automatiquement sur certains comptes d'utilisateur environ une fois une heure
  • Les utilisateurs qui avaient précédemment déléguées autorisations, ne plues disposer les.
Ce problème peut se produire également après avoir appliqué le correctif décrit dans article de base de connaissances Microsoft 327825 vers Microsoft Windows 2000 Server ou après avoir installé Windows 2000 Service Pack 4 sur Microsoft Windows 2000 Server. Pour plus d'informations sur le correctif Windows 2000 327825, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
327825 Nouvelle résolution des problèmes avec l'authentification Kerberos lorsque les utilisateurs appartiennent à plusieurs groupes

Cause

Lorsque vous déléguez des autorisations à l'aide de l'Assistant Delegation of Control, ces autorisations s'appuient sur l'objet utilisateur qui hérite les autorisations du conteneur parent. Membres de groupes protégés n'héritent pas des autorisations du conteneur parent. Par conséquent, si vous définissez des autorisations à l'aide de l'Assistant Delegation of Control, ces autorisations ne sont pas appliquées aux membres de groupes protégés.

note L'appartenance à un groupe protégé est défini comme l'adhésion directe ou une adhésion transitive un ou plusieurs des groupes de sécurité ou de distribution. Groupes de distribution sont inclus car ils peuvent être converties en groupes de sécurité.

Dans Windows Server 2003, le nombre de groupes qui sont protégées est passé à améliorer la sécurité dans Active Directory (voir la section « Informations supplémentaires »). Le nombre de groupes qui sont protégées augmente également si vous appliquez le correctif 327825 à Windows 2000.

Résolution

Pour résoudre ce problème, vous pouvez installer un correctif logiciel. Vous devez installer le correctif sur le contrôleur de domaine qui détient le domaine principal contrôleur émulateur rôle de maître d'opérations dans chaque domaine. En outre, vous devez installer le correctif logiciel sur tous les contrôleurs de domaine que vous pouvez utiliser pour prendre le contrôle ce rôle si le détenteur de rôle maître contrôleur principal de domaine émulateur opérations actuel devient indisponible. Si vous n'êtes pas sûr du contrôleur de domaine que vous utiliseriez pour reprendre le rôle, nous vous recommandons de que vous envisagez l'installation du correctif sur tous les contrôleurs de domaine. Si un contrôleur de domaine sans le correctif suppose que le rôle de maître d'opérations émulateur PDC, les autorisations de l'utilisateur seront réinitialisées à nouveau.

Informations sur le correctif Windows 2000

Un correctif est disponible auprès de Microsoft. Toutefois, ce correctif est conçu pour corriger le problème décrit dans cet article. Appliquer ce correctif uniquement aux systèmes rencontrant ce problème spécifique.

Si le correctif est disponible pour le téléchargement, il est une section « téléchargement correctif disponible » en haut de cet article de la base de connaissances. Si cette section n'apparaît pas, soumettez une demande à Microsoft client service et support pour obtenir le correctif.

note Si des problèmes supplémentaires se produisent ou si n'importe quel dépannage est nécessaire, vous devrez peut-être créer une demande de service distincte. Les coûts habituels du support technique s'appliqueront aux autres questions et problèmes non traités par ce correctif spécifique. Pour une liste complète des Microsoft client service et support numéros de téléphone ou pour créer une demande de service distincte, reportez-vous au site de Web Microsoft suivant :
http://support.microsoft.com/contactus/?ws=support
note L'écran de « téléchargement correctif disponible » affiche les langues pour lesquelles le correctif est disponible. Si vous ne voyez pas la langue, il est car un correctif logiciel n'est pas disponible pour cette langue.

Demande de redémarrage

Vous devez redémarrer l'ordinateur après avoir appliqué ce correctif.

Informations sur le remplacement de correctif

Ce correctif ne remplace aucun autre correctif.

Informations de fichier

La version anglaise de ce correctif dispose les attributs de fichier (ou attributs de fichier version ultérieure) répertoriés dans le tableau suivant. Les dates et heures de ces fichiers sont exprimées en temps universel coordonné (UTC). Lorsque vous affichez les informations de fichier, il est convertie en heure locale. Pour connaître le décalage entre l'heure UTC et l'heure locale, utilisez l'onglet Fuseau horaire dans l'élément Date et heure du Panneau de configuration.
   Date         Time   Version             Size  File name
   ----------------------------------------------------------
   24-Mar-2004  02:17  5.0.2195.6876    388,368  Advapi32.dll     
   24-Mar-2004  02:17  5.0.2195.6866     69,904  Browser.dll      
   24-Mar-2004  02:17  5.0.2195.6824    134,928  Dnsapi.dll       
   24-Mar-2004  02:17  5.0.2195.6876     92,432  Dnsrslvr.dll     
   24-Mar-2004  02:17  5.0.2195.6883     47,888  Eventlog.dll     
   24-Mar-2004  02:17  5.0.2195.6890    143,632  Kdcsvc.dll       
   11-Mar-2004  02:37  5.0.2195.6903    210,192  Kerberos.dll     
   21-Sep-2003  00:32  5.0.2195.6824     71,888  Ksecdd.sys
   11-Mar-2004  02:37  5.0.2195.6902    520,976  Lsasrv.dll       
   25-Feb-2004  23:59  5.0.2195.6902     33,552  Lsass.exe        
   19-Jun-2003  20:05  5.0.2195.6680    117,520  Msv1_0.dll       
   24-Mar-2004  02:17  5.0.2195.6897    312,592  Netapi32.dll     
   19-Jun-2003  20:05  5.0.2195.6695    371,984  Netlogon.dll     
   10-Aug-2004  00:17  5.0.2195.6966    933,648  Ntdsa.dll        
   24-Mar-2004  02:17  5.0.2195.6897    388,368  Samsrv.dll       
   24-Mar-2004  02:17  5.0.2195.6893    111,376  Scecli.dll       
   24-Mar-2004  02:17  5.0.2195.6903    253,200  Scesrv.dll       
   04-Jun-2004  23:13  5.0.2195.6935  5,887,488  Sp3res.dll       
   24-Mar-2004  02:17  5.0.2195.6824     50,960  W32time.dll      
   21-Sep-2003  00:32  5.0.2195.6824     57,104  W32tm.exe

Informations sur le Windows Server 2003 service pack

Pour résoudre ce problème, procurez-vous le dernier service pack pour Windows Server 2003. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
889100 Comment obtenir le dernier pack service pour Windows Server 2003

Informations sur le correctif Windows Server 2003

Un correctif est disponible auprès de Microsoft. Toutefois, ce correctif est conçu pour corriger le problème décrit dans cet article. Appliquer ce correctif uniquement aux systèmes rencontrant ce problème spécifique. Ce correctif peut subir des tests supplémentaires. Par conséquent, si vous n'êtes pas gravement touché par ce problème, nous vous recommandons d'attendre la prochaine mise à jour logicielles qui contiendra ce correctif.

Si le correctif est disponible pour le téléchargement, il est une section « téléchargement correctif disponible » en haut de cet article de la base de connaissances. Si cette section n'apparaît pas, contactez le service clientèle Microsoft et de support pour obtenir le correctif.

note Si des problèmes supplémentaires se produisent ou si n'importe quel dépannage est nécessaire, vous devrez peut-être créer une demande de service distincte. Les coûts habituels du support technique s'appliqueront aux autres questions et problèmes non traités par ce correctif spécifique. Pour une liste complète des Microsoft client service et support numéros de téléphone ou pour créer une demande de service distincte, reportez-vous au site de Web Microsoft suivant :
http://support.microsoft.com/contactus/?ws=support
note L'écran de « téléchargement correctif disponible » affiche les langues pour lesquelles le correctif est disponible. Si vous ne voyez pas la langue, il est car un correctif logiciel n'est pas disponible pour cette langue. La version anglaise de ce correctif dispose les attributs de fichier (ou attributs de fichier version ultérieure) répertoriés dans le tableau suivant. Les dates et heures de ces fichiers sont exprimées en temps universel coordonné (UTC). Lorsque vous affichez les informations de fichier, il est convertie en heure locale. Pour connaître le décalage entre l'heure UTC et l'heure locale, utilisez l'onglet Fuseau horaire dans l'élément Date et heure du Panneau de configuration.

Demande de redémarrage

Vous devez redémarrer l'ordinateur après avoir appliqué ce correctif.

Informations sur le remplacement de correctif

Ce correctif ne remplace aucun autre correctif.

Informations de fichier

Windows Server 2003, éditions 32 bits
   Date         Time   Version            Size  File name
   --------------------------------------------------------
   02-Nov-2004  01:26  5.2.3790.229  1,532,416  Ntdsa.dll
   02-Nov-2004  01:26  5.2.3790.212     32,768  Ntdsatq.dll
   19-Sep-2004  11:41  5.2.3790.212     59,392  Ws03res.dll
Windows Server 2003, Édition 64 bits
   Date         Time   Version            Size  File name     Platform
   -------------------------------------------------------------------
   02-Nov-2004  01:21  5.2.3790.229  4,057,088  Ntdsa.dll     IA-64
   02-Nov-2004  01:21  5.2.3790.212     82,432  Ntdsatq.dll   IA-64
   19-Sep-2004  09:43  5.2.3790.212     58,880  Ws03res.dll   IA-64
   19-Sep-2004  11:41  5.2.3790.212     59,392  Wws03res.dll    x86
Après avoir installé le correctif dans Windows 2000 et Windows Server 2003, vous pouvez définir des indicateurs à l'échelle de la forêt dsHeuristic afin de contrôler quels groupes d'opérateur sont protégés par adminSDHolder . En utilisant cette nouvelle option, vous pouvez définir certains ou tous les listées quatre groupes protégés au comportement de Windows 2000 d'origine. Position du caractère 16 est interprétée comme une valeur hexadécimale, où le caractère la plus à gauche est la position 1. Par conséquent, les valeurs uniquement valides sont « 0 » à « f ». Chaque groupe d'opérateur est un peu spécifique comme suit :
  • Bit 0 : Opérateurs de compte
  • Bit 1 : Opérateurs de serveur
  • Bit 2 : Opérateurs d'impression
  • Bit 3 : opérateurs de sauvegarde
Par exemple, une valeur de 0001 signifie exclure les opérateurs de compte. Une valeur de « c » serait exclure Opérateurs d'impression (0100) et opérateurs de sauvegarde (1000), car la somme binaire 1100 reflète une valeur hexadécimale de 0xC.

Pour activer la nouvelle fonctionnalité, vous devez modifier un objet dans le conteneur de configuration. Ce paramètre est forêt large. Pour modifier l'objet, procédez comme suit :
  1. Recherchez l'objet que vous souhaitez modifier. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    326690 Les opérations LDAP anonymes vers Active Directory sont désactivées sur les contrôleurs de domaine Windows Server 2003
  2. À partir d'une invite de commandes, tapez ldp.exe , puis appuyez sur ENTRÉE pour démarrer l'utilitaire LDP.
  3. Cliquez sur connexion , cliquez sur connexion et puis cliquez sur OK .
  4. Cliquez sur connexion , cliquez sur Lier , tapez le nom d'utilisateur et le mot de passe d'un administrateur de racine de forêt et puis cliquez sur OK .
  5. Cliquez sur Affichage , cliquez sur arborescence et puis cliquez sur OK .
  6. À l'aide de View\Tree, ouvrez la configuration suivante CN :
    CN = Directory Service, CN = Windows NT, CN = Services, CN = Configuration, DC = Forest root domain
  7. Recherchez l'objet Service d'annuaire et double-cliquez dessus.
  8. Vérifiez l'attribut d'objet liste sur le côté droit pour déterminer si l'attribut dsHeuristics est déjà définie. Si elle est définie, copiez la valeur existante dans le Presse-papiers.
  9. Cliquez avec le bouton droit sur les objets de Service d'annuaire sur le côté gauche, puis cliquez sur Modifier .
  10. Le nom d'attribut, tapez dsHeuristics .
  11. Une valeur, tapez 000000000100000f . Remplacer les zéros dans la première partie de la valeur par ce que vous pouvez déjà être dsHeuristics. Assurez-vous que vous disposez le correct nombre de chiffres haut sur le f ou tout ce qui bits que vous souhaitez définir.

    note Pour vérifier que les caractères corrects sont en cours modifiés, chaque dixième caractère doit indiquer le nombre de caractères de que point divisées par dix. Par exemple, le dixième caractère doit être 1, le caractère vingtième doit être 2, le caractère thirtieth doit être 3, et ainsi de suite.
  12. Si l'attribut existait déjà, cliquez sur Remplacer dans la zone opération . Sinon, cliquez sur Ajouter .
  13. Appuyez sur ENTRÉE à droite pour le groupe d'opération pour l'ajouter à la transaction LDAP.
  14. Cliquez sur Exécuter pour appliquer la modification à l'objet. Une fois cette modification est répliquée sur les émulateurs de contrôleur de domaine principal de la forêt, ceux qui exécutent ce correctif ne protège pas les utilisateurs qui sont membres du groupe opérateurs que vous avez défini les bits de.

Contournement

Pour contourner ce problème, appliquez l'une des méthodes suivantes.

Méthode 1: Assurez-vous que les membres ne sont pas membres d'un groupe protégé

Si vous utilisez les autorisations sont délégués au niveau de l'unité d'organisation, assurez-vous que tous les utilisateurs qui nécessitent les autorisations déléguées ne sont pas membres d'un des groupes protégés. Pour les utilisateurs qui se trouvaient précédemment membres d'un groupe protégé, l'indicateur d'héritage n'est pas redéfinis automatiquement lorsque l'utilisateur est supprimé d'un groupe protégé. Pour ce faire, vous pouvez utiliser le script suivant.

note Ce script vérifie l'indicateur d'héritage de tous les utilisateurs dont AdminCount est défini sur 1. Si l'héritage est désactivé (SE_DACL_PROTECTED est définie), le script activera l'héritage. Si l'héritage est déjà activé, l'héritage reste activée. En outre, AdminCount seront réinitialisées sur 0. Lorsque le thread adminSDHolder s'exécute à nouveau, il va désactiver l'héritage et paramétrez AdminCount à 1 pour tous les utilisateurs qui restent dans les groupes protégés. Par conséquent, AdminCount et héritage sont définis correctement pour tous les utilisateurs qui sont sans membres plus de groupes protégés.

Utilisez la commande suivante pour exécuter le script :
cscript /nologo resetaccountsadminsdholder.vbs
Microsoft fournit des exemples de programmation pour illustration uniquement, sans garantie explicite ou implicite. Cela inclut, mais n'est pas limité aux garanties implicites de qualité marchande ou d'adéquation à un usage particulier. Cet article suppose que vous êtes familiarisé avec le langage de programmation présenté et les outils qui sont utilisés pour créer et déboguer des procédures. Les techniciens du support technique Microsoft peuvent vous expliquer les fonctionnalités d'une procédure particulière, mais ils ne sont pas modifier les exemples en vue de fournir des fonctionnalités supplémentaires ou de créer des procédures répondant à vos besoins spécifiques.
'********************************************************************
'*
'* File:           ResetAccountsadminSDHolder.vbs 
'* Created:        November 2003
'* Version:        1.0
'*
'*  Main Function:  Resets all accounts that have adminCount = 1 back
'*	to 0 and enables the inheritance flag
'*
'*  ResetAccountsadminSDHolder.vbs 
'*
'* Copyright (C) 2003 Microsoft Corporation
'*
'********************************************************************

Const SE_DACL_PROTECTED = 4096

On Error Resume Next

Dim sDomain
Dim sADsPath
Dim sPDC


Dim oCon 
Dim oCmd
Dim oRst
Set oRst = CreateObject("ADODB.Recordset")
Set oCmd = CreateObject("ADODB.Command")
Set oCon = CreateObject("ADODB.Connection")

Dim oRoot
Dim oDomain
Dim oADInfo
Dim oInfo
Set oADInfo = CreateObject("ADSystemInfo")
Set oInfo = CreateObject("WinNTSystemInfo")
sPDC = oInfo.PDC & "." & oADInfo.DomainDNSName

oCon.Provider = "ADSDSOObject"
oCon.Open "Active Directory Provider"

oCmd.ActiveConnection = oCon

Set oRoot = GetObject("LDAP://rootDSE")
sDomain = oRoot.Get("defaultNamingContext")
Set oDomain = GetObject("LDAP://" & sDomain)
sADsPath = "<" & oDomain.ADsPath & ">"

oCmd.CommandText = "SELECT ADsPath FROM 'LDAP://" & sPDC & "/" & sDomain & "' WHERE objectCategory='person' and objectClass = 'user' AND adminCount = 1"
Set oRst = oCmd.Execute

WScript.Echo "searching for objects with 'admin count = 1' in " & sDomain

If oRst.RecordCount = 0 Then
    WScript.Echo "no accounts found"
    WScript.Quit
End If

Do While Not oRst.EOF
    WScript.Echo  "found object " & oRst.Fields("ADsPath")
    If SetInheritanceFlag(oRst.Fields("ADsPath")) = 0 Then WScript.Echo "Inheritance flag set"
    If SetAdminCount(oRst.Fields("ADsPath"), 0) = 0 Then WScript.Echo "adminCount set to 0"
    WScript.Echo  "=========================================="
    oRst.MoveNext
Loop


Private Function SetInheritanceFlag(DSObjectPath)

    Dim oSD
    Dim oDACL
    Dim lFlag
    Dim oIADs

    Set oIADs = GetObject(DSObjectPath)

    Set oSD = oIADs.Get("nTSecurityDescriptor")

    If oSD.Control And SE_DACL_PROTECTED Then
        oSD.Control = oSD.Control - SE_DACL_PROTECTED
    End If

    oIADs.Put "nTSecurityDescriptor", oSD
    oIADs.SetInfo
    
    If Err.Number <> 0 Then
        SetInheritanceFlag = Err.Number
    Else
        SetInheritanceFlag = 0
    End If

End Function


Private Function SetAdminCount(DSObjectPath, AdminCount)

    Dim oIADs
    Dim iAdminCount

    Set oIADs = GetObject(DSObjectPath)

    iAdminCount = oIADs.Get("adminCount")

    If iAdminCount = 1 Then iAdminCount = 0

    oIADs.Put "adminCount", iAdminCount
    oIADs.SetInfo
    If Err.Number <> 0 Then
        SetAdminCount = Err.Number
    Else
        SetAdminCount = 0
    End If
    
End Function
Pour vous assurer que vous n'affectent pas affecter les utilisateurs, nous vous recommandons de vider tout d'abord les utilisateurs qui ont AdminCount définir sur 1 à l'aide de Ldifde.exe. Pour cela, tapez la commande suivante à partir d'une invite de commandes et appuyez sur ENTRÉE :
ldifde-i-f Admincount-1.txt-d dc = your domain-r "(& (objectCategory=person)(objectClass=User)(admincount=1))"
Révision le fichier de sortie pour confirmer que tous les utilisateurs disposant du DACL protégés bits désactivée possèdera les autorisations correctes avec hérité contrôlée entrées d'accès (ACE) uniquement. Cette méthode est par défaut et ne pas affaiblir de sécurité existant.

Méthode 2: activer l'héritage sur le conteneur adminSDHolder

Si vous activez l'héritage sur le conteneur adminSDHolder, tous les membres des groupes protégés ont hérité des autorisations activées. En termes de fonctionnalités de sécurité, cette méthode rétablit le comportement du conteneur adminSDHolder revenir à la fonctionnalité de Pack 4 pre-Service.

L'activation de l'héritage sur le conteneur adminSDHolder

Si vous activez l'héritage sur le conteneur adminSDHolder, un deux accès protection contrôle liste (ACL) mécanismes d'est désactivé. Les autorisations par défaut sont appliquées. Cependant, tous les membres de groupes protégés héritent autorisations l'unité d'organisation et les unités d'organisation parent Si l'héritage est activée au niveau de l'unité d'organisation.

Se pour assurer la protection l'héritage pour les administrateurs, déplacer tous les utilisateurs d'administration (et les autres utilisateurs qui nécessitent la protection de l'héritage) vers leur propre unité d'organisation. Au niveau de l'unité d'organisation, supprimer l'héritage, puis définir les autorisations pour correspondre aux ACL en cours sur le conteneur adminSDHolder. Parce que les autorisations sur le conteneur adminSDHolder peuvent varier (par exemple, Microsoft Exchange Server ajoute de certaines autorisations ou les autorisations ont peut-être été modifiées), consultez un membre d'un groupe protégé pour les autorisations en cours sur le conteneur adminSDHolder. N'oubliez pas que l'interface utilisateur (IU) n'affiche pas toutes les autorisations sur le conteneur adminSDHolder. Utilisez DSacls pour afficher toutes les autorisations sur le conteneur adminSDHolder.

Vous pouvez activer l'héritage sur le conteneur adminSDHolder en utilisant l'outil ADSI Edit ou le ces composants. Le chemin d'accès du conteneur adminSDHolder est CN = adminSDHolder, CN = System, DC = <mydomain>, DC = <com>

note Si vous utilisez utilisateurs et Active Directory ordinateurs, assurez-vous que l'option fonctionnalités avancées est sélectionnée dans l' affichage menu.

Pour activer l'héritage sur le conteneur adminSDHolder :
  1. Cliquez avec le bouton droit sur le conteneur, puis cliquez sur Propriétés .
  2. Cliquez sur l'onglet sécurité .
  3. Cliquez sur avancées .
  4. Cliquez pour sélectionner la case à cocher autorisations Allow Inheritable d'être propagées à cet objet et tous les objets enfants .
  5. Cliquez sur OK , puis cliquez sur Fermer .
La prochaine fois que le thread SDProp s'exécute, l'indicateur de l'héritage est défini sur tous les membres de groupes protégés. Cette procédure peut prendre jusqu'à 60 minutes. Prévoyez du temps suffisant pour cette modification se réplique du contrôleur de domaine principal (PDC).

Méthode 3: Évitez d'héritage et modifier uniquement les listes de contrôle d'accès

Si vous ne voulez pas que les utilisateurs qui sont membres des groupes de protection pour hériter les autorisations pour le conteneur que les utilisateurs se trouvent dans, et seulement vous souhaitez modifier la sécurité sur les objets utilisateur, vous pouvez modifier la sécurité sur le répertoire de conteneur adminSDHolder. Dans ce scénario, vous ne devez pas activer l'héritage sur le conteneur adminSDHolder. Vous devez uniquement ajouter ce groupe ou de modifier la sécurité des groupes de sécurité dont sont déjà définies sur le conteneur adminSDHolder. Après une heure, le thread SDProp s'applique la modification apportée à l'ACL du conteneur aux tous les membres de groupes protégés adminSDHolder. Les membres n'héritera pas la sécurité du conteneur qu'ils résident dans.

Par exemple, la automatique compte requiert le droit de permettre à toutes les propriétés en lecture . Modifier les paramètres adminSDHolder conteneur sécurité pour autoriser ce droit sur le automatique compte. Après une heure, ce droit est autorisé au automatique compte pour tous les utilisateurs membres de groupes protégés. L'indicateur d'héritage n'est pas modifié.

L'exemple suivant illustre comment appliquer les modifications sur l'objet adminSDHolder uniquement. Cet exemple montre comment accorde les autorisations sur l'objet adminSDHolder suivantes :
  • Afficher le contenu
  • Lire toutes les propriétés
  • Écrire toutes les propriétés
Pour accorder ces autorisations sur l'objet adminSDHolder , procédez comme suit :
  1. Dans ce composant et des ordinateurs, cliquez sur fonctionnalités avancées sur l' affichage menu.
  2. Recherchez l'objet adminSDHolder . L'objet est dans l'emplacement suivant pour chaque domaine dans Active Directory forêt : CN = adminSDHolder, CN = System, DC=domain,DC=com ici, DC = domain, DC = com est le nom unique du domaine.
  3. Cliquez avec le bouton droit sur adminSDHolder , puis cliquez sur Propriétés .
  4. Dans la boîte de dialogue Propriétés , cliquez sur l'onglet sécurité et cliquez sur Avancé .
  5. Dans la boîte de dialogue Paramètres de contrôle Access pour adminSDHolder , cliquez sur Ajouter sous l'onglet autorisations d'accès .
  6. Dans la Sélectionner les utilisateurs, ordinateurs ou les groupes boîte de dialogue, sur le compte sur lequel souhaité accorder des autorisations associées, puis cliquez sur OK .
  7. Dans l' Entrée d'autorisation pour adminSDHolder boîte de dialogue, cliquez sur Cet objet uniquement dans la zone Appliquer à , puis puis cliquez sur Afficher le contenu , toutes les propriétés en lecture et écriture toutes les propriétés droits .
  8. Cliquez sur OK pour fermer la boîte de dialogue Entrée d'autorisation pour adminSDHolder , la boîte de dialogue Paramètres de contrôle de Access pour adminSDHolder et la boîte de dialogue Propriétés adminSDHolder .
Dans une heure, la liste de contrôle d'accès est mis à jour sur les objets utilisateur associées aux groupes protégés pour refléter les modifications. Pour plus d'informations, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft :
232199 Description et mise à jour de l'objet adminSDHolder Active Directory
318180 Thread AdminSDHolder affecte les membres transitifs des groupes de distribution

Statut

Microsoft a confirmé que c'est un problème dans les produits Microsoft répertoriés dans la section « S'applique à ». Ce problème a été corrigé dans Windows Server 2003 Service Pack 1.

Plus d'informations

Active Directory utilise un mécanisme de protection pour vous assurer que les listes de contrôle d'accès sont correctement définies pour membres des groupes de la casse. Le mécanisme s'exécute une fois une heure sur le maître d'opérations du contrôleur de domaine principal. Le maître d'opérations compare l'ACL sur les comptes d'utilisateur qui sont membres de groupes protégés par rapport à l'ACL sur l'objet suivant :
CN = adminSDHolder, CN = System, DC = <MyDomain>,DC=<Com>

note « DC = <MyDomain>,DC=<Com>« représente le nom unique (DN, Distinguished Name) de votre domaine.

Si la liste de contrôle d'accès est différente, l'ACL sur l'objet utilisateur est remplacée pour refléter les paramètres de sécurité de l'objet adminSDHolder (et l'héritage des listes de contrôle d'accès est désactivé). Ce processus protège ces comptes contre la modification par les utilisateurs non autorisés si les comptes sont déplacés vers un conteneur ou une unité d'organisation dans laquelle un utilisateur malveillant a été informations d'identification déléguées d'administration pour modifier les comptes d'utilisateurs. Sachez que lorsqu'un utilisateur est supprimé du groupe d'administration, le processus ne s'inverse pas et doit être modifié manuellement.

note Pour contrôler la fréquence à laquelle l'objet adminSDHolder met à jour les descripteurs de sécurité, créez ou modifiez le AdminSDProtectFrequency entrée dans la sous-clé de Registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Lorsque l'entrée de Registre AdminSDProtectFrequency est absente, met à l'objet adminSDHolder jour descripteurs de sécurité toutes les 60 minutes (3600 secondes). Vous pouvez utiliser cette entrée de Registre pour définir cette fréquence à n'importe quel taux entre 1 minute (60 secondes) et 2 heures (7200 secondes) en entrant la valeur en secondes. Toutefois, nous vous déconseillons de que vous modifiez cette valeur à l'exception des brèves périodes tests. Modifier cette valeur peut augmenter LSASS surcharge de traitement.

La liste suivante décrit les groupes protégés dans Windows 2000 :
  • Administrateurs d'entreprise
  • Administrateurs de schéma
  • Admins du domaine
  • Les administrateurs

La liste suivante décrit les groupes protégés dans Windows Server 2003 et Windows 2000 après avoir appliqué le correctif 327825 ou l'installation de Windows 2000 Service Pack 4 :
  • Les administrateurs
  • Opérateurs de compte
  • Opérateurs de serveur
  • Imprimer des opérateurs
  • Les opérateurs de sauvegarde
  • Admins du domaine
  • Administrateurs de schéma
  • Administrateurs d'entreprise
  • Éditeurs de certificats
En outre les utilisateurs suivants sont considérés également comme protégés :
  • Administrateur
  • Krbtgt
N'oubliez pas que l'appartenance dans les groupes de distribution ne remplit pas un jeton d'utilisateur. Par conséquent, vous ne permet outils tels que « whoami » pas de correctement déterminer l'appartenance à un groupe.

Pour plus d'informations sur l'administration déléguée, téléchargez le livre blanc Best Practices for Administration délégation Active Directory . Pour ce faire, reportez-vous au adresse site Web de Microsoft à l'adresse suivante :
http://www.microsoft.com/downloads/details.aspx?familyid=631747a3-79e1-48fa-9730-dae7c0a1d6d3&displaylang=en

Propriétés

Numéro d'article: 817433 - Dernière mise à jour: lundi 20 avril 2009 - Version: 24.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Server SP4
Mots-clés : 
kbmt kbautohotfix kbwinserv2003sp1fix atdownload kbhotfixserver kbqfe KB817433 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 817433
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com