As permissões delegadas não estão disponíveis e herança é desabilitada automaticamente

Traduções deste artigo Traduções deste artigo
ID do artigo: 817433 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sintomas

Após a atualização para Microsoft Windows Server 2003, os seguintes sintomas pode aparecer:
  • As permissões delegadas não estão disponíveis para todos os usuários em uma unidade organizacional.
  • Herança é automaticamente desativada em algumas contas de usuário tempo aproximadamente uma hora
  • Os usuários que anteriormente tinham recebido permissões, não mais tê-los.
Esse problema pode ocorrer também depois de aplicar o hotfix descrito no artigo 327825 para o Microsoft Windows 2000 Server ou depois de instalar o Windows 2000 Service Pack 4 para o Microsoft Windows 2000 Server.Para obter mais informações sobre o hotfix do Windows 2000 327825, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
327825Nova resolução para problemas com a autenticação Kerberos quando os usuários pertencem a muitos grupos

Causa

Ao delegar permissões usando o Assistente para delegação de controle, essas permissões contam com o objeto de usuário herda as permissões do recipiente pai. Os membros dos grupos protegidos não herdam as permissões do recipiente pai. Portanto, se você definir permissões usando o Assistente para delegação de controle, essas permissões não são aplicadas aos membros dos grupos protegidos.

Observação Participação em um grupo protegido é definida como participação direta ou transitiva associação usando um ou mais grupos de segurança ou distribuição. Grupos de distribuição estão incluídos porque pode ser convertidos para grupos de segurança.

No Windows Server 2003, o número de grupos que são protegidos foi aumentado para aumentar a segurança no Active Directory (consulte a seção "Mais informações"). O número de grupos que são protegidos também aumenta se você aplicar o hotfix 327825 para o Windows 2000.

Resolução

Para resolver esse problema, você pode instalar um hotfix. Você deve instalar o hotfix no controlador de domínio que tem a função mestre de domínio primário PDC (controlador) emulador operações em cada domínio. Além disso, você deve instalar o hotfix em todos os controladores de domínio que você pode usar para assumir esta função se o detentor da função mestre de operações do atual PDC emulador não estiver disponível. Se não tiver certeza do controlador de domínio que você usaria para assumir o controle, é recomendável que você considerar instalar o hotfix em todos os controladores de domínio. Se um controlador de domínio sem o hotfix assume a função de mestre de operações do emulador PDC, as permissões do usuário serão redefinidas novamente.

Informações sobre hotfix do Windows 2000

Um hotfix suportado está disponível no Microsoft. No entanto, esse hotfix destina-se a corrigir o problema descrito neste artigo. Aplique-o somente aos sistemas que apresentarem esse problema específico.

Se o hotfix está disponível para download, há uma seção "Download de Hotfix disponível" na parte superior neste artigo da Base de dados de Conhecimento. Se esta seção não for exibido, envie uma solicitação para suporte e atendimento ao cliente Microsoft para obter o hotfix.

Observação Se ocorrerem problemas adicionais ou se qualquer solução de problemas é necessária, talvez você precise criar uma solicitação de serviço separada. Os custos normais de suporte serão aplicados a questões de suporte adicionais e problemas que não se qualificam para esse hotfix específico. Para obter uma lista completa de números de telefone de suporte e Atendimento Microsoft ou para criar uma solicitação de serviço separada, visite o seguinte site:
http://support.microsoft.com/contactus/?ws=support
Observação O formulário "Download de Hotfix disponível" exibe os idiomas para os quais o hotfix está disponível. Se você não vir seu idioma, é porque um hotfix não está disponível para esse idioma.

Requisitos de reinicialização

Reinicie o computador após aplicar esse hotfix.

Informações sobre a substituição do hotfix

Esse hotfix não substitui outros hotfixes.

Informações sobre o arquivo

A versão em inglês deste hotfix tem atributos de arquivo (ou atributos de arquivo posteriores) listados na tabela a seguir. As datas e horas desses arquivos estão listadas no horário de universal coordenado (UTC). Quando você exibe as informações do arquivo, ele é convertido para a hora local. Para encontrar a diferença entre o UTC e a hora local, use a guia fuso horário no item Data e hora no painel de controle.
   Date         Time   Version             Size  File name
   ----------------------------------------------------------
   24-Mar-2004  02:17  5.0.2195.6876    388,368  Advapi32.dll     
   24-Mar-2004  02:17  5.0.2195.6866     69,904  Browser.dll      
   24-Mar-2004  02:17  5.0.2195.6824    134,928  Dnsapi.dll       
   24-Mar-2004  02:17  5.0.2195.6876     92,432  Dnsrslvr.dll     
   24-Mar-2004  02:17  5.0.2195.6883     47,888  Eventlog.dll     
   24-Mar-2004  02:17  5.0.2195.6890    143,632  Kdcsvc.dll       
   11-Mar-2004  02:37  5.0.2195.6903    210,192  Kerberos.dll     
   21-Sep-2003  00:32  5.0.2195.6824     71,888  Ksecdd.sys
   11-Mar-2004  02:37  5.0.2195.6902    520,976  Lsasrv.dll       
   25-Feb-2004  23:59  5.0.2195.6902     33,552  Lsass.exe        
   19-Jun-2003  20:05  5.0.2195.6680    117,520  Msv1_0.dll       
   24-Mar-2004  02:17  5.0.2195.6897    312,592  Netapi32.dll     
   19-Jun-2003  20:05  5.0.2195.6695    371,984  Netlogon.dll     
   10-Aug-2004  00:17  5.0.2195.6966    933,648  Ntdsa.dll        
   24-Mar-2004  02:17  5.0.2195.6897    388,368  Samsrv.dll       
   24-Mar-2004  02:17  5.0.2195.6893    111,376  Scecli.dll       
   24-Mar-2004  02:17  5.0.2195.6903    253,200  Scesrv.dll       
   04-Jun-2004  23:13  5.0.2195.6935  5,887,488  Sp3res.dll       
   24-Mar-2004  02:17  5.0.2195.6824     50,960  W32time.dll      
   21-Sep-2003  00:32  5.0.2195.6824     57,104  W32tm.exe

Informações sobre o Windows Server 2003 service pack

Para resolver esse problema, obtenha o service pack mais recente para o Windows Server 2003. Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
889100Como obter o service pack mais recente para o Windows Server 2003

Informações sobre o hotfix Windows Server 2003

Um hotfix suportado está disponível no Microsoft. No entanto, esse hotfix destina-se a corrigir o problema descrito neste artigo. Aplique-o somente aos sistemas que apresentarem esse problema específico. Esta correcção poderá submetida a testes adicionais. Portanto, se você não tiver sido gravemente afetado por esse problema, recomendamos que você aguarde a próxima atualização de software que contém esse hotfix.

Se o hotfix está disponível para download, há uma seção "Download de Hotfix disponível" na parte superior neste artigo da Base de dados de Conhecimento. Se esta seção não for exibida, contate o atendimento e suporte para obter o hotfix.

Observação Se ocorrerem problemas adicionais ou se qualquer solução de problemas é necessária, talvez você precise criar uma solicitação de serviço separada. Os custos normais de suporte serão aplicados a questões de suporte adicionais e problemas que não se qualificam para esse hotfix específico. Para obter uma lista completa de números de telefone de suporte e Atendimento Microsoft ou para criar uma solicitação de serviço separada, visite o seguinte site:
http://support.microsoft.com/contactus/?ws=support
Observação O formulário "Download de Hotfix disponível" exibe os idiomas para os quais o hotfix está disponível. Se você não vir seu idioma, é porque um hotfix não está disponível para esse idioma.A versão em inglês deste hotfix tem atributos de arquivo (ou atributos de arquivo posteriores) listados na tabela a seguir. As datas e horas desses arquivos estão listadas no horário de universal coordenado (UTC). Quando você exibe as informações do arquivo, ele é convertido para a hora local. Para encontrar a diferença entre o UTC e a hora local, use a guia fuso horário no item Data e hora no painel de controle.

Requisitos de reinicialização

Reinicie o computador após aplicar esse hotfix.

Informações sobre a substituição do hotfix

Esse hotfix não substitui outros hotfixes.

Informações sobre o arquivo

Windows Server 2003, edições de 32 bits
   Date         Time   Version            Size  File name
   --------------------------------------------------------
   02-Nov-2004  01:26  5.2.3790.229  1,532,416  Ntdsa.dll
   02-Nov-2004  01:26  5.2.3790.212     32,768  Ntdsatq.dll
   19-Sep-2004  11:41  5.2.3790.212     59,392  Ws03res.dll
Windows Server 2003, edições de 64 bits
   Date         Time   Version            Size  File name     Platform
   -------------------------------------------------------------------
   02-Nov-2004  01:21  5.2.3790.229  4,057,088  Ntdsa.dll     IA-64
   02-Nov-2004  01:21  5.2.3790.212     82,432  Ntdsatq.dll   IA-64
   19-Sep-2004  09:43  5.2.3790.212     58,880  Ws03res.dll   IA-64
   19-Sep-2004  11:41  5.2.3790.212     59,392  Wws03res.dll    x86
Depois de instalar o hotfix no Windows 2000 e no Windows Server 2003, você pode definir toda a floresta dsHeuristic sinalizadores para controlar quais grupos de operador são protegidos por adminSDHolder . Usando essa nova opção, você poderá definir alguns ou todos os alistados quatro protegidos grupos de volta para o comportamento original do Windows 2000. Posição do caractere 16 é interpretada como um valor hexadecimal, onde o caractere mais à esquerda é a posição 1. Portanto, os valores somente válidos são "0" através de "f". Cada grupo operador tem um pouco específico da seguinte maneira:
  • Bit 0: Operadores de conta
  • Bits 1: Operadores de servidor
  • Bit 2: Operadores de impressão
  • Bit 3: Operadores
Por exemplo, um valor de 0001 significa excluir Opers. Um valor de 'c' seria excluir operadores de impressão (0100) e operadores (1000) porque a soma binária 1100 reflete um valor hexadecimal de 0xC.

Para ativar a nova funcionalidade, você deve modificar um objeto no recipiente de configuração. Essa configuração é floresta ampla. Para modificar o objeto, siga estas etapas:
  1. Localize o objeto que você deseja modificar. Para obter mais informações sobre como fazer isso, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
    326690Operações LDAP anônimas para o Active Directory estão desabilitadas nos controladores de domínio do Windows Server 2003
  2. Em um prompt de comando, digite ldp.exe e pressione ENTER para iniciar o utilitário LDP.
  3. Clique em conexão , clique em conectar-se e, em seguida, clique em OK .
  4. Clique em conexão , clique em vincular , digite o nome de usuário e a senha de um administrador de raiz de floresta e, em seguida, clique em OK .
  5. Clique em Exibir , clique em árvore e, em seguida, clique em OK .
  6. Usando View\Tree, abra a seguinte configuração CN:
    CN = Directory Service, CN = Windows NT, CN = Services, CN = Configuration, DC = Forest root domain
  7. Localizar o objeto serviço de diretório e, em seguida, clique duas vezes nele.
  8. Verifique o atributo de objeto listando no lado direito para determinar se o atributo dsHeuristics já está definido. Se ele estiver definido, copie o valor existente para a área de transferência.
  9. Clique com o botão direito do mouse os objetos de Serviço de diretório no lado esquerdo e, em seguida, clique em Modificar .
  10. Como o nome do atributo, digite dsHeuristics .
  11. Como um valor, digite 000000000100000f . Substitua os zeros na primeira parte do valor que você já pode ter no dsHeuristics. Verifique se você tem o correto contagem de dígitos até "f" ou que bits você deseja definir.

    Observação Para verificar que os caracteres corretos estão sendo modificados, cada décimo caractere deve ser definida para o número de caracteres até que ponto dividido por dez. Por exemplo, o décimo caractere deve ser 1, o caractere vinte deve ser 2, o caractere thirtieth deve ser 3, e assim por diante.
  12. Se o atributo já existia, clique em Substituir na caixa de operação . Caso contrário, clique em Adicionar .
  13. Pressione ENTER à direita para o grupo de operação para adicioná-lo para a transação de LDAP.
  14. Clique em Executar para aplicar a alteração para o objeto. Após essa alteração é replicada para os emuladores PDC na floresta, aqueles que estiverem executando esse hotfix não protegerá os usuários que são membros do grupo operadores que você definiu os bits para.

Como Contornar

Para contornar este problema, use um dos seguintes métodos.

Método 1: Verifique se os membros não são membros de um grupo protegido

Se você usar as permissões são delegadas no nível de unidade organizacional, certifique-se de que todos os usuários necessitam de permissões delegadas não são membros de um dos grupos protegidos. Para usuários que eram anteriormente membros de um grupo protegido, o sinalizador de herança não será automaticamente redefinida quando o usuário é removido de um grupo protegido. Para fazer isso, você pode usar o script a seguir.

Observação Esse script verifica o sinalizador de herança para todos os usuários cujo AdminCount é definido como 1. Se estiver desabilitada herança (SE_DACL_PROTECTED é definido), o script permitirá herança. Se a herança já estiver habilitada, herança permanecerá ativada. Além disso, AdminCount será redefinido como 0. Quando o segmento adminSDHolder é executado novamente, ele irá desativar herança e defina AdminCount para 1 para todos os usuários que permanecem em grupos protegidos. Portanto, herança e AdminCount estão definidas corretamente para todos os usuários são não mais membros de grupos protegidos.

Use o seguinte comando para executar o script:
cscript /nologo resetaccountsadminsdholder.vbs
Microsoft fornece exemplos de programação apenas para ilustração, sem garantia expressa ou implícita. Isso inclui, mas não está limitado a, garantias implícitas de comercialização ou adequação para uma finalidade específica. Este artigo presume que você está familiarizados com a linguagem de programação que está sendo demonstrada e com as ferramentas que são usadas para criar e depurar procedimentos. Engenheiros de suporte podem ajudar a explicar a funcionalidade de um determinado procedimento, mas eles não modificarão esses exemplos para fornecer funcionalidades adicionais ou construir procedimentos para atender às suas necessidades.
'********************************************************************
'*
'* File:           ResetAccountsadminSDHolder.vbs 
'* Created:        November 2003
'* Version:        1.0
'*
'*  Main Function:  Resets all accounts that have adminCount = 1 back
'*	to 0 and enables the inheritance flag
'*
'*  ResetAccountsadminSDHolder.vbs 
'*
'* Copyright (C) 2003 Microsoft Corporation
'*
'********************************************************************

Const SE_DACL_PROTECTED = 4096

On Error Resume Next

Dim sDomain
Dim sADsPath
Dim sPDC


Dim oCon 
Dim oCmd
Dim oRst
Set oRst = CreateObject("ADODB.Recordset")
Set oCmd = CreateObject("ADODB.Command")
Set oCon = CreateObject("ADODB.Connection")

Dim oRoot
Dim oDomain
Dim oADInfo
Dim oInfo
Set oADInfo = CreateObject("ADSystemInfo")
Set oInfo = CreateObject("WinNTSystemInfo")
sPDC = oInfo.PDC & "." & oADInfo.DomainDNSName

oCon.Provider = "ADSDSOObject"
oCon.Open "Active Directory Provider"

oCmd.ActiveConnection = oCon

Set oRoot = GetObject("LDAP://rootDSE")
sDomain = oRoot.Get("defaultNamingContext")
Set oDomain = GetObject("LDAP://" & sDomain)
sADsPath = "<" & oDomain.ADsPath & ">"

oCmd.CommandText = "SELECT ADsPath FROM 'LDAP://" & sPDC & "/" & sDomain & "' WHERE objectCategory='person' and objectClass = 'user' AND adminCount = 1"
Set oRst = oCmd.Execute

WScript.Echo "searching for objects with 'admin count = 1' in " & sDomain

If oRst.RecordCount = 0 Then
    WScript.Echo "no accounts found"
    WScript.Quit
End If

Do While Not oRst.EOF
    WScript.Echo  "found object " & oRst.Fields("ADsPath")
    If SetInheritanceFlag(oRst.Fields("ADsPath")) = 0 Then WScript.Echo "Inheritance flag set"
    If SetAdminCount(oRst.Fields("ADsPath"), 0) = 0 Then WScript.Echo "adminCount set to 0"
    WScript.Echo  "=========================================="
    oRst.MoveNext
Loop


Private Function SetInheritanceFlag(DSObjectPath)

    Dim oSD
    Dim oDACL
    Dim lFlag
    Dim oIADs

    Set oIADs = GetObject(DSObjectPath)

    Set oSD = oIADs.Get("nTSecurityDescriptor")

    If oSD.Control And SE_DACL_PROTECTED Then
        oSD.Control = oSD.Control - SE_DACL_PROTECTED
    End If

    oIADs.Put "nTSecurityDescriptor", oSD
    oIADs.SetInfo
    
    If Err.Number <> 0 Then
        SetInheritanceFlag = Err.Number
    Else
        SetInheritanceFlag = 0
    End If

End Function


Private Function SetAdminCount(DSObjectPath, AdminCount)

    Dim oIADs
    Dim iAdminCount

    Set oIADs = GetObject(DSObjectPath)

    iAdminCount = oIADs.Get("adminCount")

    If iAdminCount = 1 Then iAdminCount = 0

    oIADs.Put "adminCount", iAdminCount
    oIADs.SetInfo
    If Err.Number <> 0 Then
        SetAdminCount = Err.Number
    Else
        SetAdminCount = 0
    End If
    
End Function
Para certificar-se de que você não afeta o usuários negativamente, recomendamos que você primeiro despejar os usuários que têm AdminCount definido como 1 usando LDIFDE.exe. Para fazer isso, digite o seguinte comando em um prompt de comando e pressione ENTER:
ldifde -f Admincount 1.txt - d dc = your domain-r "(& (objectcategory=person)(objectclass=user)(admincount=1))"
Analisar o arquivo de saída para confirmar se todos os usuários que terão a DACL protegido bit desativado terá as permissões corretas com herdadas controlada entradas de acesso (ACEs somente). Esse método é preferencial e não diminuir a segurança existente.

Método 2: Habilitar herança no recipiente adminSDHolder

Se você habilitar herança no recipiente adminSDHolder, todos os membros dos grupos protegidos terão permissões herdadas habilitadas. Em termos de funcionalidade de segurança, esse método reverte o comportamento do recipiente adminSDHolder volta para a funcionalidade de Pack 4 anteriores ao.

Ativando herança no recipiente adminSDHolder

Se você habilitar herança no recipiente adminSDHolder, um dos dois mecanismos ACL (lista) de controle de proteção de acesso está desabilitado. As permissões padrão são aplicadas. Entretanto, todos os membros dos grupos protegidos herdar permissões da unidade organizacional e das unidades organizacionais pai se herança é habilitada no nível da unidade organizacional.

Para fornecer proteção de herança para usuários administrativos, mova todos os usuários administrativos (e outros usuários que precisarem de proteção de herança) para sua própria unidade organizacional. No nível da unidade organizacional, remover herança e, em seguida, defina as permissões para coincidir com as ACLs atuais no recipiente adminSDHolder. Como as permissões no recipiente adminSDHolder podem variar (por exemplo, Microsoft Exchange Server adiciona algumas permissões ou as permissões podem ter sido modificadas), revise um membro do grupo protegido as permissões atuais no recipiente adminSDHolder. Esteja ciente de que a interface de usuário (UI) não exibe todas as permissões no recipiente adminSDHolder. Use DSacls para exibir todas as permissões no recipiente adminSDHolder.

Você pode habilitar herança no recipiente adminSDHolder usando ADSI Edit ou o Active Directory Users e Computers. O caminho do recipiente adminSDHolder é CN = adminSDHolder, CN = System, DC = <mydomain>, DC = <com>

Observação Se você usar Active Directory Users and Computers, certifique-se que Recursos avançados está selecionado em Exibir menu.

Para habilitar inheritance no recipiente adminSDHolder:
  1. Clique com o botão direito do mouse o recipiente e, em seguida, clique em Propriedades .
  2. Clique na guia segurança .
  3. Clique em Avançadas .
  4. Clique para selecionar a caixa de seleção Permitir que permissões herdadas se propaguem para este objeto e todos os objetos filho .
  5. Clique em OK e, em seguida, clique em Fechar .
Na próxima vez que o segmento SDProp é executado, o sinalizador de herança é definido em todos os membros dos grupos protegidos. Este procedimento poderá levar até 60 minutos. Aguarde o tempo suficiente para que essa alteração duplicar o controlador de domínio primário (PDC).

Método 3: Evitar herança e só alterar ACLs

Se não desejar que os usuários membros de grupos protegido a herdar permissões do que os usuários residem no recipiente e você deseja apenas alterar a segurança em objetos de usuário, você pode editar a segurança no diretório de recipiente adminSDHolder. Nesse cenário, não é necessário habilitar Inheritance no recipiente adminSDHolder. Você só precisará adicionar esse grupo ou editar a segurança dos grupos de segurança que já estejam definidas no recipiente adminSDHolder. Após uma hora, o thread SDProp serão aplicadas a alteração feita para as ACLs do recipiente adminSDHolder todos os membros do grupos protegidos. Os membros não herdará a segurança do contêiner residem no.

Por exemplo, o próprio conta requer o direito de Permitir que ler todas as propriedades . Editar as configurações de segurança recipiente adminSDHolder para permitir esse direito o auto conta. Após uma hora, esse direito terão permissão para o auto conta para todos os usuários membros de grupos protegidos. O sinalizador de herança não é alterado.

O exemplo a seguir demonstra como aplicar as alterações para o objeto adminSDHolder somente. Este exemplo concede as seguintes permissões no objeto adminSDHolder :
  • Listar conteúdo
  • Ler todas as propriedades
  • Gravar todas as propriedades
Para conceder essas permissões no objeto adminSDHolder , execute essas etapas:
  1. No Active Directory Users e Computers, clique em Recursos avançados em Exibir menu.
  2. Localize o objeto adminSDHolder . O objeto está no seguinte local para cada domínio no Active Directory floresta: CN = adminSDHolder, CN = System, DC=domain,DC=com aqui, DC = domain, DC = com é o nome distinto do domínio.
  3. Clique com o botão direito do mouse em adminSDHolder e, em seguida, clique em Propriedades .
  4. Na caixa de diálogo Propriedades , clique na guia segurança e em seguida, clique em Avançado .
  5. Na caixa de diálogo Access Control Settings for adminSDHolder , clique em Adicionar na guia permissões .
  6. No Selecione usuário, computador ou grupo na caixa de diálogo, clique na conta ao qual você deseja conceder permissões relacionadas e, em seguida, clique em OK .
  7. Na Entrada de permissões para adminSDHolder caixa de diálogo, clique em somente este objeto na caixa Aplicar em e clique em Listar conteúdo , Ler todas as propriedades e direitos de gravação todas as propriedades .
  8. Clique em OK para fechar a caixa de diálogo Entrada de permissões para adminSDHolder , a caixa de diálogo Access Control Settings para adminSDHolder e a caixa de diálogo Propriedades de adminSDHolder .
Dentro de uma hora, a ACL será atualizada nos objetos de usuário associados aos grupos de protegido para refletir as alterações.Para obter mais informações, clique nos números abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft:
232199Descrição e atualização do objeto adminSDHolder Active Directory
318180Segmento AdminSDHolder afeta membros transitivos de grupos de distribuição

Situação

A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na seção "Aplica-se a". Esse problema foi corrigido primeiro no Windows Server 2003 Service Pack 1.

Mais Informações

O Active Directory usa um mecanismo de proteção para se certificar que ACLs estejam definidas corretamente para os membros dos grupos confidenciais. O mecanismo é executada uma vez uma hora no mestre de operações de PDC. O mestre de operações compara a ACL nas contas de usuário que são membros de grupos protegidos contra a ACL no seguinte objeto:
CN = adminSDHolder, CN = System, DC = <MyDomain>,DC=<Com>

Observação "DC = <MyDomain>,DC=<Com> "representa o nome distinto (DN) do seu domínio.

Se a ACL é diferente, a ACL no objeto de usuário é substituída para refletir as configurações de segurança do objeto adminSDHolder (e herança da ACL está desativada). Esse processo protege essas contas de sendo modificado por usuários não autorizados se as contas forem movidas para um recipiente ou unidade organizacional em que um utilizador mal intencionado foi delegadas credenciais administrativas para modificar contas de usuário. Esteja ciente de que quando um usuário é removido do grupo administrativo, o processo não é revertido e deve ser alterado manualmente.

Observação Para controlar a freqüência na qual o objeto adminSDHolder atualiza descritores de segurança, criar ou modificar o AdminSDProtectFrequency entrada na seguinte subchave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Quando a entrada de registro AdminSDProtectFrequency não estiver presente, o objeto adminSDHolder atualiza descritores de segurança a cada 60 minutos (3600 segundos). Você pode usar essa entrada do Registro para definir essa freqüência como qualquer taxa entre 1 minuto (60 segundos) e 2 horas (7200 segundos) inserindo o valor em segundos. No entanto, não recomendamos que você modifique esse valor, exceto para breves períodos de testes. Modificar esse valor pode aumentar a sobrecarga de processamento do LSASS.

A lista a seguir descreve os grupos protegidos no Windows 2000:
  • Administração de empresa
  • Administradores de esquema
  • Administradores de domínio
  • Administradores

A lista a seguir descreve os grupos protegidos no Windows Server 2003 e no Windows 2000 depois de aplicar o hotfix 327825 ou instalar o Windows 2000 Service Pack 4:
  • Administradores
  • Operadores de conta
  • Operadores de servidor
  • Operadores de impressão
  • Operadores de backup
  • Administradores de domínio
  • Administradores de esquema
  • Administração de empresa
  • Editores de certificados
Além dos seguintes usuários são considerados também protegido:
  • Administrador
  • KrbTGT
Esteja ciente de que participação em grupos de distribuição não preenche um token de usuário. Portanto, você não pode usar ferramentas como "whoami" para determinar com êxito a associação de grupo.

Para obter mais informações sobre a administração delegada, baixe o white paper Best Practices for Delegating Active Directory Administration . Para fazer isso, visite o seguinte site:
http://www.microsoft.com/downloads/details.aspx?familyid=631747a3-79e1-48fa-9730-dae7c0a1d6d3&displaylang=en

Propriedades

ID do artigo: 817433 - Última revisão: segunda-feira, 20 de abril de 2009 - Revisão: 24.0
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Server SP4
Palavras-chave: 
kbmt kbautohotfix kbwinserv2003sp1fix atdownload kbhotfixserver kbqfe KB817433 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 817433

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com