Autorizzazioni delegate non sono disponibili e l'ereditarietà viene disattivata automaticamente

Identificativo articolo: 817433 - Visualizza i prodotti a cui si riferisce l?articolo.
Traduzione automatica articoliAttenzione: Questo è un articolo tradotto in automatico.
Espandi tutto | Chiudi tutto

In questa pagina

Sintomi

Dopo l'aggiornamento a Microsoft Windows Server 2003, si potrebbero verificano i seguenti sintomi:
  • Autorizzazioni delegate non sono disponibili a tutti gli utenti in un'unità organizzativa.
  • L'ereditarietà viene disattivata automaticamente alcuni gli account utente circa una volta un'ora
  • Gli utenti che in precedenza erano delegato autorizzazioni, non più dispongono di essi.
Questo problema può inoltre verificarsi una volta applicata l'aggiornamento rapido descritto nell'articolo della Knowledge Base 327825 a Microsoft Windows 2000 Server o dopo aver installato Windows 2000 Service Pack 4 per Windows 2000 Server.Per ulteriori informazioni sull'hotfix 327825 di Windows 2000, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
327825
(http://support.microsoft.com/kb/327825/ )
Nuova risoluzione dei problemi con l'autenticazione Kerberos quando gli utenti appartengono a molti gruppi
Torna all'inizio | Invia suggerimenti

Cause

Quando si delegano autorizzazioni utilizzando la procedura guidata Delegation of Control, queste autorizzazioni si basano sull'oggetto utente eredita le autorizzazioni dal contenitore padre. Membri di gruppi protetti non ereditano le autorizzazioni dal contenitore padre. Di conseguenza, se si impostano autorizzazioni utilizzando la procedura guidata Delegation of Control, queste autorizzazioni non vengono applicate ai membri di gruppi protetti.

Nota Appartenenza a un gruppo protetto è definito come appartenenza diretta o transitiva appartenenza utilizzando uno o più gruppi di protezione o liste di distribuzione. Perché possono essere convertiti a gruppi di protezione, sono inclusi i gruppi di distribuzione.

Nella finestra di Windows Server 2003, il numero di gruppi protetti è stato aumentato per migliorare la protezione in Active Directory (vedere la sezione "Informazioni"). Il numero di gruppi protetti aumenta anche se applicare l'hotfix 327825 a Windows 2000.
Torna all'inizio | Invia suggerimenti

Risoluzione

Per risolvere il problema, è possibile installare un aggiornamento rapido (hotfix). È necessario installare l'aggiornamento rapido sul controller di dominio che svolge il ruolo di master primario di dominio controller (PDC, primary domain controller) emulatore operazioni in ciascun dominio. Inoltre, è necessario installare l'hotfix in tutti i controller di dominio che è possibile utilizzare per assumere questo ruolo, se il PDC emulatore operazioni master titolare del ruolo corrente diventa non disponibile. Se non si è certi del controller di dominio che si utilizzerà per assumere il ruolo, si consiglia di prendere in considerazione installare l'aggiornamento rapido in tutti i controller di dominio. Se un controller di dominio senza l'aggiornamento rapido si presuppone il ruolo master di operazioni emulatore PDC, verranno reimpostate nuovamente autorizzazioni dell'utente.

Informazioni sull'aggiornamento rapido (hotfix) di Windows 2000

È disponibile un hotfix supportato. Questo hotfix è tuttavia destinato esclusivamente alla risoluzione del problema descritto in questo articolo. Consente di applicare questo aggiornamento rapido (hotfix) solo ai sistemi in cui si verifica questo problema specifico.

Se l'hotfix è disponibile per il download, è una sezione "Hotfix disponibile per il download" all'inizio di questo articolo della Knowledge Base. Se non viene visualizzato in questa sezione, inviare una richiesta di servizio clienti Microsoft e supporto tecnico per ottenere l'hotfix.

Nota Se si verificano ulteriori problemi o se la risoluzione dei problemi è necessario, potrebbe essere necessario creare una richiesta di servizio separato. I costi di supporto normale verranno applicati per eventuali ulteriori domande e problemi che non dovessero rientrare nello specifico hotfix in questione. Per un elenco completo, di Microsoft Customer Service and Support numeri di telefono o a creare una richiesta di servizio distinto, visitare il seguente sito Web Microsoft:
http://support.microsoft.com/contactus/?ws=support
(http://support.microsoft.com/contactus/?ws=support)
Nota Il modulo "Hotfix disponibile per il download" Visualizza le lingue per cui è disponibile l'aggiornamento rapido. Se non viene visualizzata la lingua, è perché un aggiornamento rapido (hotfix) non è disponibile per tale lingua.

Necessità di riavvio

È necessario riavviare il computer dopo aver applicato questo hotfix.

Informazioni sulla sostituzione della correzione

Questo aggiornamento rapido (hotfix) non sostituisce eventuali altri hotfix.

Informazioni sui file

La versione di lingua inglese di questo aggiornamento rapido (hotfix) presenta gli attributi di file (o attributi successivi) elencati nella tabella riportata di seguito. Le date e le ore per questi file sono indicati in UTC (Coordinated Universal Time). Quando si visualizzano le informazioni sul file, viene convertito in ora locale. Per calcolare la differenza tra ora UTC e l'ora locale, utilizzare la scheda fuso orario dello Data e ora nel Pannello di controllo.
   Date         Time   Version             Size  File name
   ----------------------------------------------------------
   24-Mar-2004  02:17  5.0.2195.6876    388,368  Advapi32.dll     
   24-Mar-2004  02:17  5.0.2195.6866     69,904  Browser.dll      
   24-Mar-2004  02:17  5.0.2195.6824    134,928  Dnsapi.dll       
   24-Mar-2004  02:17  5.0.2195.6876     92,432  Dnsrslvr.dll     
   24-Mar-2004  02:17  5.0.2195.6883     47,888  Eventlog.dll     
   24-Mar-2004  02:17  5.0.2195.6890    143,632  Kdcsvc.dll       
   11-Mar-2004  02:37  5.0.2195.6903    210,192  Kerberos.dll     
   21-Sep-2003  00:32  5.0.2195.6824     71,888  Ksecdd.sys
   11-Mar-2004  02:37  5.0.2195.6902    520,976  Lsasrv.dll       
   25-Feb-2004  23:59  5.0.2195.6902     33,552  Lsass.exe        
   19-Jun-2003  20:05  5.0.2195.6680    117,520  Msv1_0.dll       
   24-Mar-2004  02:17  5.0.2195.6897    312,592  Netapi32.dll     
   19-Jun-2003  20:05  5.0.2195.6695    371,984  Netlogon.dll     
   10-Aug-2004  00:17  5.0.2195.6966    933,648  Ntdsa.dll        
   24-Mar-2004  02:17  5.0.2195.6897    388,368  Samsrv.dll       
   24-Mar-2004  02:17  5.0.2195.6893    111,376  Scecli.dll       
   24-Mar-2004  02:17  5.0.2195.6903    253,200  Scesrv.dll       
   04-Jun-2004  23:13  5.0.2195.6935  5,887,488  Sp3res.dll       
   24-Mar-2004  02:17  5.0.2195.6824     50,960  W32time.dll      
   21-Sep-2003  00:32  5.0.2195.6824     57,104  W32tm.exe

Informazioni di Windows Server 2003 service pack

Per risolvere il problema, ottenere il service pack più recente per Windows Server 2003. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
889100
(http://support.microsoft.com/kb/889100/ )
Come ottenere il service pack più recente per Windows Server 2003

Informazioni sull'aggiornamento rapido (hotfix) di Windows Server 2003

È disponibile un hotfix supportato. Questo hotfix è tuttavia destinato esclusivamente alla risoluzione del problema descritto in questo articolo. Consente di applicare questo aggiornamento rapido (hotfix) solo ai sistemi in cui si verifica questo problema specifico. Questo aggiornamento rapido (hotfix) potrebbe essere eseguiti ulteriori test. Se non si è notevolmente interessati da questo problema, si consiglia pertanto di attendere il successivo aggiornamento di software che contiene questo aggiornamento rapido (hotfix).

Se l'hotfix è disponibile per il download, è una sezione "Hotfix disponibile per il download" all'inizio di questo articolo della Knowledge Base. Se non viene visualizzato in questa sezione, è necessario contattare servizio clienti Microsoft e supporto tecnico per ottenere l'hotfix.

Nota Se si verificano ulteriori problemi o se la risoluzione dei problemi è necessario, potrebbe essere necessario creare una richiesta di servizio separato. I costi di supporto normale verranno applicati per eventuali ulteriori domande e problemi che non dovessero rientrare nello specifico hotfix in questione. Per un elenco completo, di Microsoft Customer Service and Support numeri di telefono o a creare una richiesta di servizio distinto, visitare il seguente sito Web Microsoft:
http://support.microsoft.com/contactus/?ws=support
(http://support.microsoft.com/contactus/?ws=support)
Nota Il modulo "Hotfix disponibile per il download" Visualizza le lingue per cui è disponibile l'aggiornamento rapido. Se non viene visualizzata la lingua, è perché un aggiornamento rapido (hotfix) non è disponibile per tale lingua.La versione di lingua inglese di questo aggiornamento rapido (hotfix) presenta gli attributi di file (o attributi successivi) elencati nella tabella riportata di seguito. Le date e le ore per questi file sono indicati in UTC (Coordinated Universal Time). Quando si visualizzano le informazioni sul file, viene convertito in ora locale. Per calcolare la differenza tra ora UTC e l'ora locale, utilizzare la scheda fuso orario dello data e ora nel Pannello di controllo.

Necessità di riavvio

È necessario riavviare il computer dopo aver applicato questo hotfix.

Informazioni sulla sostituzione della correzione

Questo aggiornamento rapido (hotfix) non sostituisce eventuali altri hotfix.

Informazioni sui file

Windows Server 2003, edizioni a 32 bit
   Date         Time   Version            Size  File name
   --------------------------------------------------------
   02-Nov-2004  01:26  5.2.3790.229  1,532,416  Ntdsa.dll
   02-Nov-2004  01:26  5.2.3790.212     32,768  Ntdsatq.dll
   19-Sep-2004  11:41  5.2.3790.212     59,392  Ws03res.dll
Windows Server 2003, edizioni a 64 bit
   Date         Time   Version            Size  File name     Platform
   -------------------------------------------------------------------
   02-Nov-2004  01:21  5.2.3790.229  4,057,088  Ntdsa.dll     IA-64
   02-Nov-2004  01:21  5.2.3790.212     82,432  Ntdsatq.dll   IA-64
   19-Sep-2004  09:43  5.2.3790.212     58,880  Ws03res.dll   IA-64
   19-Sep-2004  11:41  5.2.3790.212     59,392  Wws03res.dll    x86
Dopo aver installato l'aggiornamento rapido in Windows 2000 e in Windows Server 2003, è possibile impostare a livello di insieme di strutture dsHeuristic flag per controllare a quali gruppi di operatore protetti da adminSDHolder . Utilizzando questa nuova opzione, è possibile impostare alcuni o tutti gli integrata quattro gruppi protetti del comportamento di Windows 2000 originale. Posizione del carattere 16 è interpretato come valore esadecimale, in cui il carattere più a sinistra corrisponde alla posizione 1. Pertanto, gli unici valori validi sono "0" e "f". Ogni gruppo di operatore è un po' specifico:
  • Bit 0: Account Operators
  • Bit 1: Server Operators
  • Bit 2: Print Operators.
  • Bit 3: Backup Operators
Ad esempio, un valore 0001 significa esclusione Account Operators. Valore di "c" esclusione (0100) di Print Operators e Backup Operators (1000) poiché la somma binaria 1100 riflette un valore esadecimale di 0xC.

Per attivare la nuova funzionalità, è necessario modificare un oggetto nel contenitore della configurazione. Questa impostazione è ampio insieme di strutture. Per modificare l'oggetto, attenersi alla seguente procedura:
  1. Individuare l'oggetto che si desidera modificare. Per ulteriori informazioni su come effettuare questa operazione, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
    326690
    (http://support.microsoft.com/kb/326690/ )
    Le operazioni LDAP anonime in Active Directory disattivate nei controller di dominio di Windows Server 2003
  2. Al prompt dei comandi, digitare ldp.exe e quindi premere INVIO per avviare l'utilità LDP.
  3. Fare clic su connessione fare clic su connessione e quindi fare clic su OK .
  4. Fare clic su connessione , fare clic su Associa , digitare il nome utente e la password di un amministratore di directory principale insieme di strutture e quindi fare clic su OK .
  5. Fare clic su Visualizza , fare clic su struttura e quindi fare clic su OK .
  6. Per aprire la seguente configurazione CN utilizzando View\Tree:
    CN = Directory Service, CN = Windows NT, CN = Services, CN = Configuration, DC = Forest root domain
  7. Individuare l'oggetto Directory Service e quindi fare doppio clic su di esso.
  8. Controllare l'attributo oggetto elenco sul lato destro per determinare se l'attributo dsHeuristics è già impostato. Se è impostata, è possibile copiare il valore esistente negli Appunti.
  9. Fare clic con il pulsante destro del mouse sul lato sinistro sugli oggetti Servizio Directory e quindi fare clic su Modifica .
  10. Digitare il nome dell'attributo dsHeuristics .
  11. Un valore, digitare 000000000100000f . Sostituire gli zeri nella prima parte del valore con ciò che potrebbe essere già presenti in dsHeuristics. Assicurarsi di avere il corretto numero di cifre fino alla "f" o qualsiasi bit che si desidera impostare.

    Nota Per verificare che i caratteri corretti sono viene modificati, ogni decimo carattere è necessario impostare il numero di caratteri fino a che punto diviso per 10. Ad esempio, il decimo carattere deve essere 1, il carattere ventesimo deve essere 2, il carattere di trentesimo deve essere 3, e così via.
  12. Se l'attributo è già esistente, scegliere il pulsante Sostituisci nella casella operazione . In caso contrario, scegliere Aggiungi .
  13. Premere invio a destra per il gruppo di operazioni per aggiungere la transazione LDAP.
  14. Fare clic su Esegui per applicare la modifica all'oggetto. Dopo che questa modifica è replicata per gli emulatori PDC nell'insieme di strutture, quelli che eseguono questo aggiornamento rapido (hotfix) non protegge gli utenti membri del gruppo che si sono impostati i bit per gli operatori.
Torna all'inizio | Invia suggerimenti

Workaround

Per ovviare al problema, utilizzare uno dei metodi descritti di seguito.

Metodo 1: Verificare che i membri non sono membri di un gruppo protetto

Se si utilizzano autorizzazioni che vengono delegate a livello di unità organizzativa, assicurarsi che che tutti gli utenti che richiedono le autorizzazioni delegate non sono membri di uno dei gruppi protetti. Per gli utenti in precedenza erano membri di un gruppo protetto, il flag di ereditarietà non viene reimpostato automaticamente quando l'utente viene rimosso da un gruppo protetto. Per effettuare questa operazione, è possibile utilizzare lo script seguente.

Nota Questo script controlla il flag di ereditarietà per tutti gli utenti cui AdminCount è impostato su 1. Se l'ereditarietà è disabilitata (SE_DACL_PROTECTED è impostata), lo script consentirà l'ereditarietà. Se l'ereditarietà è già attivato, l'ereditarietà rimarrà attivato. Inoltre, verranno reimpostate AdminCount su 0. Quando il thread adminSDHolder viene eseguito nuovamente, esso verrà disattivare l'ereditarietà e impostare AdminCount su 1 per tutti gli utenti che rimangono in gruppi protetti. Di conseguenza, AdminCount e l'ereditarietà siano impostate correttamente per tutti gli utenti che non appartengono più gruppi protetti.

Utilizzare il seguente comando per eseguire lo script:
cscript /nologo resetaccountsadminsdholder.vbs
Microsoft fornisce esempi di programmazione a scopo puramente illustrativo, senza alcuna garanzia espressa o implicita. Questo include, ma non è limitato a, le garanzie implicite di commerciabilità o idoneità per uno scopo specifico. Questo articolo si presuppone che conosca il linguaggio di programmazione in questione e gli strumenti utilizzati per creare ed eseguire il debug di procedure. Tecnici del supporto Microsoft possono spiegare la funzionalità di una particolare procedura, ma in nessun sono caso a modificare questi esempi per fornire funzionalità aggiuntive o creare procedure per soddisfare specifiche esigenze. 
'********************************************************************
'*
'* File:           ResetAccountsadminSDHolder.vbs 
'* Created:        November 2003
'* Version:        1.0
'*
'*  Main Function:  Resets all accounts that have adminCount = 1 back
'*	to 0 and enables the inheritance flag
'*
'*  ResetAccountsadminSDHolder.vbs 
'*
'* Copyright (C) 2003 Microsoft Corporation
'*
'********************************************************************

Const SE_DACL_PROTECTED = 4096

On Error Resume Next

Dim sDomain
Dim sADsPath
Dim sPDC


Dim oCon 
Dim oCmd
Dim oRst
Set oRst = CreateObject("ADODB.Recordset")
Set oCmd = CreateObject("ADODB.Command")
Set oCon = CreateObject("ADODB.Connection")

Dim oRoot
Dim oDomain
Dim oADInfo
Dim oInfo
Set oADInfo = CreateObject("ADSystemInfo")
Set oInfo = CreateObject("WinNTSystemInfo")
sPDC = oInfo.PDC & "." & oADInfo.DomainDNSName

oCon.Provider = "ADSDSOObject"
oCon.Open "Active Directory Provider"

oCmd.ActiveConnection = oCon

Set oRoot = GetObject("LDAP://rootDSE")
sDomain = oRoot.Get("defaultNamingContext")
Set oDomain = GetObject("LDAP://" & sDomain)
sADsPath = "<" & oDomain.ADsPath & ">"

oCmd.CommandText = "SELECT ADsPath FROM 'LDAP://" & sPDC & "/" & sDomain & "' WHERE objectCategory='person' and objectClass = 'user' AND adminCount = 1"
Set oRst = oCmd.Execute

WScript.Echo "searching for objects with 'admin count = 1' in " & sDomain

If oRst.RecordCount = 0 Then
    WScript.Echo "no accounts found"
    WScript.Quit
End If

Do While Not oRst.EOF
    WScript.Echo  "found object " & oRst.Fields("ADsPath")
    If SetInheritanceFlag(oRst.Fields("ADsPath")) = 0 Then WScript.Echo "Inheritance flag set"
    If SetAdminCount(oRst.Fields("ADsPath"), 0) = 0 Then WScript.Echo "adminCount set to 0"
    WScript.Echo  "=========================================="
    oRst.MoveNext
Loop


Private Function SetInheritanceFlag(DSObjectPath)

    Dim oSD
    Dim oDACL
    Dim lFlag
    Dim oIADs

    Set oIADs = GetObject(DSObjectPath)

    Set oSD = oIADs.Get("nTSecurityDescriptor")

    If oSD.Control And SE_DACL_PROTECTED Then
        oSD.Control = oSD.Control - SE_DACL_PROTECTED
    End If

    oIADs.Put "nTSecurityDescriptor", oSD
    oIADs.SetInfo
    
    If Err.Number <> 0 Then
        SetInheritanceFlag = Err.Number
    Else
        SetInheritanceFlag = 0
    End If

End Function


Private Function SetAdminCount(DSObjectPath, AdminCount)

    Dim oIADs
    Dim iAdminCount

    Set oIADs = GetObject(DSObjectPath)

    iAdminCount = oIADs.Get("adminCount")

    If iAdminCount = 1 Then iAdminCount = 0

    oIADs.Put "adminCount", iAdminCount
    oIADs.SetInfo
    If Err.Number <> 0 Then
        SetAdminCount = Err.Number
    Else
        SetAdminCount = 0
    End If
    
End Function
Per assicurarsi che non influenzano negativamente gli utenti, si consiglia di scaricare innanzitutto gli utenti che hanno AdminCount impostato su 1 per utilizzando LDIFDE.exe. Per effettuare questa operazione, digitare il seguente comando al prompt dei comandi e premere INVIO:
ldifde -f 1.txt Admincount - d dc = your domain-r "(& (objectcategory=person)(objectclass=user)(admincount=1))"
Esaminare il file di output per confermare che tutti gli utenti che avranno il DACL protetto bit deselezionata avrà le autorizzazioni corrette con ereditato voci di controllo di accesso (ACE) solo. Questo metodo è preferibile e non ridurre il livello protezione esistente.
Torna all'inizio | Invia suggerimenti

Metodo 2: Attiva l'ereditarietà per il contenitore adminSDHolder

Se si attiva l'ereditarietà per il contenitore adminSDHolder, tutti i membri dei gruppi protetti è in dispongono di ereditati autorizzazioni attivati. In termini di funzionalità di protezione, questo metodo consente di ripristinare il comportamento del contenitore adminSDHolder la funzionalità di Pack 4 precedente.

Attivare l'ereditarietà per il contenitore adminSDHolder

Se si attiva l'ereditarietà per il contenitore adminSDHolder, uno dei due meccanismi di elenco (ACL, Access Control List) controllo accesso di protezione è disattivato. Vengono applicate le autorizzazioni predefinito. Tuttavia, tutti i membri di gruppi protetti ereditano autorizzazioni l'unità organizzativa e qualsiasi unità organizzativa padre se l'ereditarietà è attivata a livello di unità organizzativa.

Per fornire protezione dall'ereditarietà per gli utenti amministrativi, spostare tutti gli utenti amministrativi (e altri utenti che richiedono la protezione dall'ereditarietà) la propria unità organizzativa. A livello di unità organizzativa, è necessario rimuovere l'ereditarietà e quindi impostare le autorizzazioni per gli ACL correnti per il contenitore adminSDHolder. Perché le autorizzazioni sul contenitore adminSDHolder possono variare (ad esempio, Microsoft Exchange Server aggiunge alcune autorizzazioni o le autorizzazioni potrebbero essere state modificate), esaminare un membro di un gruppo protetto per le autorizzazioni corrente per il contenitore adminSDHolder. Tenere presente che l'interfaccia utente (UI) non viene visualizzata tutte le autorizzazioni sul contenitore adminSDHolder. Utilizzare DSacls per visualizzare tutte le autorizzazioni sul contenitore adminSDHolder.

È possibile attivare l'ereditarietà per il contenitore adminSDHolder utilizzando ADSI Edit o utenti e computer. Il percorso del contenitore adminSDHolder è CN = adminSDHolder, CN = System, DC = <mydomain>, DC = <com>

Nota Se si utilizza Active Directory Users and Computers, assicurarsi che Caratteristiche avanzate sia selezionata nella visualizzazione di menu.

Per attivare l'ereditarietà per il contenitore adminSDHolder:
  1. Fare clic con il pulsante destro del mouse il contenitore e quindi fare clic su Proprietà .
  2. Fare clic sulla scheda protezione .
  3. Fare clic su Avanzate .
  4. Fare clic per selezionare la casella di controllo autorizzazioni Allow Inheritable di propagare a questo oggetto e tutti gli oggetti figlio .
  5. Fare clic su OK e quindi fare clic su Chiudi .
La volta successiva che viene eseguito il thread SDProp, il flag di ereditarietà è impostato su tutti i membri di gruppi protetti. Questa procedura può richiedere fino a 60 minuti. Concedere tempo sufficiente questa modifica venga replicata dal controller di dominio primario (PDC).

Metodo 3: Evitare l'ereditarietà e di modificare gli ACL

Se non si desidera che gli utenti membri dei gruppi di protezione da cui ereditare autorizzazioni sul contenitore che gli utenti si trovano in e si desidera solo modificare la protezione sugli oggetti utente, è possibile modificare la protezione della directory del contenitore adminSDHolder. In questo scenario, è necessario attivare l'ereditarietà per il contenitore adminSDHolder. È sufficiente aggiungere tale gruppo o modificare la protezione dei gruppi di protezione sono già definiti per il contenitore adminSDHolder. Dopo un'ora, il thread SDProp verrà applicata la modifica apportata agli ACL del contenitore adminSDHolder a tutti i membri di gruppi protetti. I membri non erediterà la protezione al contenitore che risiedono.

Ad esempio, il libero account deve disporre del diritto Consenti per lettura tutte le proprietà . Modificare le impostazioni protezione di contenitore adminSDHolder per consentire questo diritto su Self l'account. Dopo un'ora, questo diritto sarà consentito di self il conto per tutti gli utenti che membri di gruppi protetti. Il flag dell'ereditarietà non viene modificato.

Nell'esempio seguito viene illustrato come applicare le modifiche in un solo oggetto adminSDHolder . In questo esempio vengono concesse le seguenti autorizzazioni sull'oggetto adminSDHolder :
  • Elenca contenuto
  • Leggi tute le proprietà
  • Scrivi tutte le proprietà
Per concedere tali autorizzazioni sull'oggetto adminSDHolder , attenersi alla seguente procedura:
  1. In utenti e computer fare clic su Caratteristiche avanzate nella visualizzazione di menu.
  2. Individuare l'oggetto adminSDHolder . L'oggetto si trova nel seguente percorso per ogni dominio in Active Directory dell'insieme di strutture: CN = adminSDHolder, CN = System, DC=domain,DC=com, DC = domain, DC = com è il nome distinto del dominio.
  3. Fare clic con il pulsante destro del mouse su adminSDHolder e quindi fare clic su Proprietà .
  4. Fare clic sulla scheda protezione nella finestra di dialogo Proprietà , quindi Avanzate .
  5. Nella finestra di dialogo Impostazioni controllo di accesso per adminSDHolder , fare clic su Aggiungi nella scheda autorizzazioni .
  6. In Seleziona utenti, computer o gruppo nella finestra di dialogo selezionare l'account a cui si desidera concedere autorizzazioni correlate e scegliere OK .
  7. In di Voci di autorizzazione per adminSDHolder della finestra di dialogo scegliere solo l'oggetto specificato nella casella Applica a , quindi Elenca contenuto , Leggi tutte le proprietà e Scrivi tutte le proprietà diritti .
  8. Fare clic su OK per chiudere la finestra di dialogo Autorizzazioni voce per adminSDHolder , la finestra di dialogo Impostazioni controllo di accesso per adminSDHolder e la finestra di dialogo proprietà di adminSDHolder .
All'interno di un'ora, l'ACL verrà aggiornato sugli oggetti utente associati con i gruppi protetti per riflettere le modifiche.Per ulteriori informazioni, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportato di seguito:
232199
(http://support.microsoft.com/kb/232199/ )
Descrizione e aggiornamento dell'oggetto adminSDHolder Active Directory
318180
(http://support.microsoft.com/kb/318180/ )
Thread AdminSDHolder influisce sulla membri transitivi dei gruppi di distribuzione
Torna all'inizio | Invia suggerimenti

Status

Microsoft ha confermato che questo problema riguarda i prodotti sono elencati nella sezione "Si applica a". Questo problema è stato innanzitutto corretto in Windows Server 2003 Service Pack 1.
Torna all'inizio | Invia suggerimenti

Informazioni

Active Directory utilizza un meccanismo di protezione per assicurarsi che elenchi sono impostati correttamente per i membri di gruppi riservati. Il meccanismo viene eseguito una volta un'ora sul master operazioni PDC. Il master operazioni confronta l'ACL per gli account utente che fanno parte di gruppi protetti contro l'ACL sul seguente oggetto:
CN = adminSDHolder, CN = System, DC = <MyDomain>,DC=<Com>

Nota "DC = <MyDomain>,DC=<Com> "rappresenta il nome distinto (DN) del dominio.

Se l'ACL è diverso, viene sovrascritto l'ACL per l'oggetto utente in base alle impostazioni protezione dell'oggetto adminSDHolder (e l'ereditarietà di ACL è disabilitata). Questo processo impedisce che questi account venga modificato da utenti non autorizzati se gli account vengono spostati in un contenitore o un'unità organizzativa in cui un utente malintenzionato è state delegate credenziali amministrative per modificare gli account utente. Tenere presente che quando un utente viene rimosso dal gruppo amministrativo, il processo non viene annullato e deve essere modificato manualmente.

Nota Per controllare la frequenza con cui l'oggetto adminSDHolder Aggiorna i descrittori di protezione, creare o modificare di AdminSDProtectFrequency la voce nella sottochiave del Registro di sistema seguente:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Quando la voce del Registro di sistema AdminSDProtectFrequency non è presente, l'oggetto adminSDHolder Aggiorna i descrittori di protezione ogni 60 minuti (3600 secondi). È possibile utilizzare questa voce del Registro di sistema per impostare questa frequenza a qualsiasi velocità tra 1 minuto (60 secondi) e 2 ore (7200 secondi) immettendo il valore in secondi. Tuttavia, non è consigliabile modificare questo valore, tranne per brevi periodi di test. Modifica questo valore può aumentare LSASS l'overhead di elaborazione.

Nell'elenco seguente vengono descritti i gruppi protetti in Windows 2000:
  • Enterprise Admins
  • Schema Admins
  • Domain Admins
  • Amministratori

Di seguito sono elencati i gruppi protetti in Windows Server 2003 e in Windows 2000 dopo l'applicazione dell'hotfix 327825 o installazione di Windows 2000 Service Pack 4:
  • Amministratori
  • Account Operators
  • Server Operators
  • Operatori di stampa
  • Operatori di backup
  • Domain Admins
  • Schema Admins
  • Enterprise Admins
  • Pubblicazione del certificato
Inoltre i seguenti utenti inoltre considerati protetti:
  • Amministratore
  • Krbtgt
Tenere presente che appartenenza a gruppi di distribuzione non popolato un token dell'utente. Non è pertanto possibile utilizzare strumenti quali "whoami" per determinare correttamente l'appartenenza al gruppo.

Per ulteriori informazioni sull'amministrazione delegata, è possibile scaricare il white paper Best Practices for Delegating Active Directory Administration . A questo scopo, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):
http://www.microsoft.com/downloads/details.aspx?familyid=631747a3-79e1-48fa-9730-dae7c0a1d6d3&displaylang=en
(http://www.microsoft.com/downloads/details.aspx?familyid=631747a3-79e1-48fa-9730-dae7c0a1d6d3&displaylang=en)
Torna all'inizio | Invia suggerimenti

Proprietà

Identificativo articolo: 817433 - Ultima modifica: lunedì 20 aprile 2009 - Revisione: 24.0
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Server SP4
Chiavi: 
kbmt kbautohotfix kbwinserv2003sp1fix atdownload kbhotfixserver kbqfe KB817433 KbMtit
Traduzione automatica articoli
Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 817433
(http://support.microsoft.com/kb/817433/en-us/ )
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.
Torna all'inizio | Invia suggerimenti

Invia suggerimenti

 
Torna all'inizioTorna all'inizio