Permissões de delegado não estão disponíveis e herança é automaticamente desactivada

Traduções de Artigos Traduções de Artigos
Artigo: 817433 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sintomas

Depois de actualizar para o Microsoft Windows Server 2003, poderá detectar os seguintes sintomas:
  • Permissões de delegado não estão disponíveis para todos os utilizadores numa unidade organizacional.
  • Herança automaticamente está desactivada em algumas contas de utilizador aproximadamente uma vez uma hora
  • Os utilizadores que anteriormente tinham delegar permissões, não pode tê-los.
Este problema também poderá ocorrer depois de aplicar o hotfix descrito no artigo da base de dados de conhecimento da Microsoft 327825 para o Microsoft Windows 2000 Server ou depois de instalar o Windows 2000 Service Pack 4 para o Microsoft Windows 2000 Server.Para obter mais informações sobre a correcção 327825 do Windows 2000, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
327825Nova resolução de problemas com a autenticação Kerberos quando os utilizadores pertencem a vários grupos

Causa

Quando delegar permissões utilizando o Assistente de delegação de controlo, estas permissões dependem do objecto de utilizador herda as permissões do contentor principal. Membros de grupos protegidos não herdam as permissões do contentor principal. Por conseguinte, se definir permissões utilizando o Assistente de delegação de controlo, estas permissões não são aplicadas aos membros dos grupos protegidos.

Nota Adesão a um grupo protegido estiver definido membros directo ou membro transitória utilizando um ou mais grupos de segurança ou distribuição. Grupos de distribuição estão incluídos porque podem ser convertidos para grupos de segurança.

No Windows Server 2003, o número de grupos protegidos foi aumentado para melhorar a segurança no Active Directory (consulte a secção "Mais informação"). O número de grupos protegidos também aumenta se aplicar a correcção 327825 para o Windows 2000.

Resolução

Para resolver este problema, pode instalar uma correcção. Tem de instalar a correcção no controlador de domínio que possui a função de mestre operações de domínio principal controlador (PDC, Primary Domain Controller) emulador em cada domínio. Além disso, tem de instalar a correcção em todos os controladores de domínio pode utilizar para assumir esta função se o detentor actual PDC, Primary Domain Controller emulador operações de mestre da função ficar indisponível. Se não estiver certo do controlador de domínio que utilizaria para assumir a função, recomendamos que considere instalar a correcção em todos os controladores de domínio. Se um controlador de domínio sem a correcção assume a função de mestre de operações de emulador PDC, as permissões do utilizador serão repostas novamente.

Informações de correcção do Windows 2000

Está disponível a partir da Microsoft uma correcção suportada. No entanto, esta correcção destina-se a corrigir o problema descrito neste artigo. Aplique esta correcção apenas em sistemas que tenham este problema específico.

Se a correcção está disponível para transferência, existe uma secção "denominada transferência de correcção disponível" na parte superior deste artigo da base de dados de conhecimento. Se esta secção não for apresentada, submeta um pedido para o serviço de cliente do Microsoft e suporte para obter a correcção.

Nota Se ocorram problemas adicionais ou se for necessária qualquer resolução de problemas, poderá ter de criar um pedido de assistência separado. Os custos normais do suporte serão aplicados a problemas adicionais e questões de suporte que não se enquadrem esta correcção específica. Para obter uma lista completa dos números de telefone do suporte de cliente do Microsoft ou para criar um pedido serviço separado, visite o seguinte Web site da Microsoft:
http://support.microsoft.com/contactus/?ws=support
Nota O formulário "Transferência de correcção disponível" apresenta os idiomas para a qual a correcção está disponível. Se não vir o idioma, é porque uma correcção não está disponível para esse idioma.

Requisito de reinício

Tem de reiniciar o computador depois de aplicar esta correcção.

Informações sobre substituição de correcções

Esta correcção não substitui quaisquer outras correcções.

Informações do ficheiro

A versão inglesa desta correcção tem os atributos de ficheiro (ou atributos de ficheiro posteriores) listados na seguinte tabela. As datas e horas destes ficheiros são indicadas na hora universal coordenada (UTC). Quando visualiza as informações do ficheiro, é convertido para a hora local. Para determinar a diferença entre a UTC e a hora local, utilize o separador fuso horário no item data e hora no painel de controlo.
   Date         Time   Version             Size  File name
   ----------------------------------------------------------
   24-Mar-2004  02:17  5.0.2195.6876    388,368  Advapi32.dll     
   24-Mar-2004  02:17  5.0.2195.6866     69,904  Browser.dll      
   24-Mar-2004  02:17  5.0.2195.6824    134,928  Dnsapi.dll       
   24-Mar-2004  02:17  5.0.2195.6876     92,432  Dnsrslvr.dll     
   24-Mar-2004  02:17  5.0.2195.6883     47,888  Eventlog.dll     
   24-Mar-2004  02:17  5.0.2195.6890    143,632  Kdcsvc.dll       
   11-Mar-2004  02:37  5.0.2195.6903    210,192  Kerberos.dll     
   21-Sep-2003  00:32  5.0.2195.6824     71,888  Ksecdd.sys
   11-Mar-2004  02:37  5.0.2195.6902    520,976  Lsasrv.dll       
   25-Feb-2004  23:59  5.0.2195.6902     33,552  Lsass.exe        
   19-Jun-2003  20:05  5.0.2195.6680    117,520  Msv1_0.dll       
   24-Mar-2004  02:17  5.0.2195.6897    312,592  Netapi32.dll     
   19-Jun-2003  20:05  5.0.2195.6695    371,984  Netlogon.dll     
   10-Aug-2004  00:17  5.0.2195.6966    933,648  Ntdsa.dll        
   24-Mar-2004  02:17  5.0.2195.6897    388,368  Samsrv.dll       
   24-Mar-2004  02:17  5.0.2195.6893    111,376  Scecli.dll       
   24-Mar-2004  02:17  5.0.2195.6903    253,200  Scesrv.dll       
   04-Jun-2004  23:13  5.0.2195.6935  5,887,488  Sp3res.dll       
   24-Mar-2004  02:17  5.0.2195.6824     50,960  W32time.dll      
   21-Sep-2003  00:32  5.0.2195.6824     57,104  W32tm.exe

Informações sobre o Windows Server 2003 service pack

Para resolver este problema, obtenha o service pack mais recente do Windows Server 2003. Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
889100Como obter o service pack mais recente do Windows Server 2003

Informações sobre a correcção do Windows Server 2003

Está disponível a partir da Microsoft uma correcção suportada. No entanto, esta correcção destina-se a corrigir o problema descrito neste artigo. Aplique esta correcção apenas em sistemas que tenham este problema específico. Esta correcção poderá submetida a testes adicionais. Por conseguinte, se não estiver a ser gravemente afectado por este problema, recomendamos que aguarde pela próxima actualização de software que contenha esta correcção.

Se a correcção está disponível para transferência, existe uma secção "denominada transferência de correcção disponível" na parte superior deste artigo da base de dados de conhecimento. Se esta secção não for apresentado, contacte o serviço de cliente do Microsoft e suporte para obter a correcção.

Nota Se ocorram problemas adicionais ou se for necessária qualquer resolução de problemas, poderá ter de criar um pedido de assistência separado. Os custos normais do suporte serão aplicados a problemas adicionais e questões de suporte que não se enquadrem esta correcção específica. Para obter uma lista completa dos números de telefone do suporte de cliente do Microsoft ou para criar um pedido serviço separado, visite o seguinte Web site da Microsoft:
http://support.microsoft.com/contactus/?ws=support
Nota O formulário "Transferência de correcção disponível" apresenta os idiomas para a qual a correcção está disponível. Se não vir o idioma, é porque uma correcção não está disponível para esse idioma.A versão inglesa desta correcção tem os atributos de ficheiro (ou atributos de ficheiro posteriores) listados na seguinte tabela. As datas e horas destes ficheiros são indicadas na hora universal coordenada (UTC). Quando visualiza as informações do ficheiro, é convertido para a hora local. Para determinar a diferença entre a UTC e a hora local, utilize o separador fuso horário no item Data e hora no painel de controlo.

Requisito de reinício

Tem de reiniciar o computador depois de aplicar esta correcção.

Informações sobre substituição de correcções

Esta correcção não substitui quaisquer outras correcções.

Informações do ficheiro

Windows Server 2003, edições de 32 bits
   Date         Time   Version            Size  File name
   --------------------------------------------------------
   02-Nov-2004  01:26  5.2.3790.229  1,532,416  Ntdsa.dll
   02-Nov-2004  01:26  5.2.3790.212     32,768  Ntdsatq.dll
   19-Sep-2004  11:41  5.2.3790.212     59,392  Ws03res.dll
Windows Server 2003, edições de 64 bits
   Date         Time   Version            Size  File name     Platform
   -------------------------------------------------------------------
   02-Nov-2004  01:21  5.2.3790.229  4,057,088  Ntdsa.dll     IA-64
   02-Nov-2004  01:21  5.2.3790.212     82,432  Ntdsatq.dll   IA-64
   19-Sep-2004  09:43  5.2.3790.212     58,880  Ws03res.dll   IA-64
   19-Sep-2004  11:41  5.2.3790.212     59,392  Wws03res.dll    x86
Depois de instalar a correcção no Windows 2000 e no Windows Server 2003, pode definir sinalizadores de toda a floresta dsHeuristic para controlar os grupos de operador que estão protegidos por adminSDHolder . Utilizando esta opção nova, pode definir algumas ou todas as os inscritos quatro grupos protegidos novamente para o comportamento original do Windows 2000. Posição do carácter 16 é interpretada como um valor hexadecimal, onde o carácter mais à esquerda é a posição 1. Por conseguinte, os valores apenas válidos são "0" a "f". Cada grupo operador tem um bit específico da seguinte forma:
  • Bit 0: Operadores de contas
  • Bit 1: Operadores de servidor
  • Bit 2: Operadores de impressão
  • Bit 3: Operadores de cópia de segurança
Por exemplo, um valor de 0001 significa excluir operadores de contas. Um valor de 'c' irá excluir operadores de impressão (0100) e operadores de cópia de segurança (1000) porque a soma binária 1100 reflecte um valor hexadecimal de 0xC.

Para activar a nova funcionalidade, tem de modificar um objecto num contentor de configuração. Esta definição é floresta grande. Para modificar o objecto, siga estes passos:
  1. Localize o objecto que pretende modificar. Para obter mais informações sobre como efectuar este procedimento, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
    326690Anónimas operações LDAP no Active Directory estão desactivadas em controladores de domínio do Windows Server 2003
  2. Numa linha de comandos, escreva ldp.exe e, em seguida, prima ENTER para iniciar o utilitário LDP.
  3. Clique em ligações , clique em ligar e, em seguida, clique em OK .
  4. Clique em ligação , clique em BIND , escreva o nome de utilizador e palavra-passe de administrador de raiz de floresta e, em seguida, clique em OK .
  5. Clique em Ver , clique em árvore e, em seguida, clique em OK .
  6. Utilizar View\Tree, abra a seguinte configuração CN:
    CN = serviço de directório, CN = Windows NT, CN = Services, CN = Configuration, DC = Forest root domain
  7. Localize o objecto serviço de directório e, em seguida, clique duas vezes no mesmo.
  8. Verifique o atributo de objecto de lista no lado direito para determinar se o atributo dsHeuristics já está definido. Se estiver definido, copie o valor existente para a área de transferência.
  9. Clique com o botão direito do rato os objectos do Serviço de directório no lado esquerdo e, em seguida, clique em Modificar .
  10. Como o nome do atributo, escreva dsHeuristics .
  11. Como um valor, escreva 000000000100000f . Substitua os zeros na primeira parte do valor que pode já ter no dsHeuristics. Certifique-se que tem o correcto contagem de dígitos para "f" ou o bits pretende definir.

    Nota Para verificar que os caracteres correctos estão a ser modificados, todos os caracteres décimo tem de ser definido para o número de caracteres até que ponto dividido por dez. Por exemplo, o carácter décimo tem de ser 1, o carácter vinte tem de ser 2, o carácter thirtieth tem de ser 3, e assim sucessivamente.
  12. Se o atributo existente, clique em Substituir na caixa de operação . Caso contrário, clique em Adicionar .
  13. Prima ENTER no lado direito ao grupo de operações para o adicionar a transacção de LDAP.
  14. Clique em Executar para aplicar a alteração para o objecto. Depois desta alteração é replicada para os emuladores de PDC, Primary Domain Controller na floresta, os que executem esta correcção não irão proteger os utilizadores que são membros do grupo operadores que tenham definidos os bits para.

Como contornar

Para contornar este problema, utilize um dos seguintes métodos.

Método 1: Certifique-se de membros não sejam membros de um grupo protegido

Se utiliza permissões que são delegadas ao nível da unidade organizacional, certifique-se de que todos os utilizadores necessitam de permissões delegadas não são membros de um dos grupos protegidos. Para utilizadores que estavam anteriormente membros um grupo protegido, o sinalizador de herança não é automaticamente reposta quando o utilizador é removido de um grupo protegido. Para efectuar este procedimento, pode utilizar o script a seguir.

Nota Este script verifica o sinalizador de herança para todos os utilizadores cuja AdminCount estiver definido como 1. Se estiver desactivada herança (SE_DACL_PROTECTED é definida), o script permitirão a herança. Se já estiver activada a herança, herança permanecerá activada. Além disso, AdminCount será reposto para 0. Quando o thread de adminSDHolder é executada novamente, irá desactivar herança e defina o AdminCount como 1 para todos os utilizadores que permanecem na grupos protegidos. Por conseguinte, AdminCount e herança são definidas correctamente para todos os utilizadores que existem mais membros de grupos protegidos.

Utilize o seguinte comando para executar o script:
cscript /nologo resetaccountsadminsdholder.vbs
A Microsoft fornece exemplos de programação apenas, para fins sem garantia expressa ou implícita. Isto inclui, mas não está limitado a, as garantias implícitas de comercialização ou adequação a um fim específico. Este artigo pressupõe que está familiarizado com a linguagem de programação apresentada e as ferramentas que são utilizadas para criar e depurar procedimentos. Os técnicos de suporte da Microsoft podem ajudar a explicar a funcionalidade de um determinado procedimento, mas não modificarão estes exemplos para proporcionarem funcionalidades adicionais nem criarão procedimentos adaptados às necessidades específicas do utilizador.
'********************************************************************
'*
'* File:           ResetAccountsadminSDHolder.vbs 
'* Created:        November 2003
'* Version:        1.0
'*
'*  Main Function:  Resets all accounts that have adminCount = 1 back
'*	to 0 and enables the inheritance flag
'*
'*  ResetAccountsadminSDHolder.vbs 
'*
'* Copyright (C) 2003 Microsoft Corporation
'*
'********************************************************************

Const SE_DACL_PROTECTED = 4096

On Error Resume Next

Dim sDomain
Dim sADsPath
Dim sPDC


Dim oCon 
Dim oCmd
Dim oRst
Set oRst = CreateObject("ADODB.Recordset")
Set oCmd = CreateObject("ADODB.Command")
Set oCon = CreateObject("ADODB.Connection")

Dim oRoot
Dim oDomain
Dim oADInfo
Dim oInfo
Set oADInfo = CreateObject("ADSystemInfo")
Set oInfo = CreateObject("WinNTSystemInfo")
sPDC = oInfo.PDC & "." & oADInfo.DomainDNSName

oCon.Provider = "ADSDSOObject"
oCon.Open "Active Directory Provider"

oCmd.ActiveConnection = oCon

Set oRoot = GetObject("LDAP://rootDSE")
sDomain = oRoot.Get("defaultNamingContext")
Set oDomain = GetObject("LDAP://" & sDomain)
sADsPath = "<" & oDomain.ADsPath & ">"

oCmd.CommandText = "SELECT ADsPath FROM 'LDAP://" & sPDC & "/" & sDomain & "' WHERE objectCategory='person' and objectClass = 'user' AND adminCount = 1"
Set oRst = oCmd.Execute

WScript.Echo "searching for objects with 'admin count = 1' in " & sDomain

If oRst.RecordCount = 0 Then
    WScript.Echo "no accounts found"
    WScript.Quit
End If

Do While Not oRst.EOF
    WScript.Echo  "found object " & oRst.Fields("ADsPath")
    If SetInheritanceFlag(oRst.Fields("ADsPath")) = 0 Then WScript.Echo "Inheritance flag set"
    If SetAdminCount(oRst.Fields("ADsPath"), 0) = 0 Then WScript.Echo "adminCount set to 0"
    WScript.Echo  "=========================================="
    oRst.MoveNext
Loop


Private Function SetInheritanceFlag(DSObjectPath)

    Dim oSD
    Dim oDACL
    Dim lFlag
    Dim oIADs

    Set oIADs = GetObject(DSObjectPath)

    Set oSD = oIADs.Get("nTSecurityDescriptor")

    If oSD.Control And SE_DACL_PROTECTED Then
        oSD.Control = oSD.Control - SE_DACL_PROTECTED
    End If

    oIADs.Put "nTSecurityDescriptor", oSD
    oIADs.SetInfo
    
    If Err.Number <> 0 Then
        SetInheritanceFlag = Err.Number
    Else
        SetInheritanceFlag = 0
    End If

End Function


Private Function SetAdminCount(DSObjectPath, AdminCount)

    Dim oIADs
    Dim iAdminCount

    Set oIADs = GetObject(DSObjectPath)

    iAdminCount = oIADs.Get("adminCount")

    If iAdminCount = 1 Then iAdminCount = 0

    oIADs.Put "adminCount", iAdminCount
    oIADs.SetInfo
    If Err.Number <> 0 Then
        SetAdminCount = Err.Number
    Else
        SetAdminCount = 0
    End If
    
End Function
Para se certificar de que não afectam negativamente os utilizadores, recomenda-se que primeiro informação os utilizadores que têm AdminCount definido como 1 utilizando o Ldifde.exe. Para o fazer, escreva o seguinte comando numa linha de comandos e, em seguida, prima ENTER:
ldifde -f Admincount 1.txt - d dc = your domain-r "(& (objectcategory=person)(objectclass=user)(admincount=1))"
Rever o ficheiro de saída para confirmar que todos os utilizadores com a DACL protegido bit limpo terá as permissões correctas com herdadas controlada entradas de acesso (ACEs apenas). Este método é preferível e não reduzir a segurança existente.

Método 2: Activar herança no contentor de adminSDHolder

Se activar herança no contentor de adminSDHolder, todos os membros dos grupos protegidos têm activadas permissões herdadas. Em termos de funcionalidade de segurança, este método reverte o comportamento do contentor adminSDHolder novamente a funcionalidade de Pack 4 pré.

Activar herança no contentor de adminSDHolder

Se activar herança no contentor de adminSDHolder, um dos dois mecanismos de lista (ACL, Access Control List) de controlo de acesso de protecção é desactivado. As permissões predefinidas são aplicadas. No entanto, todos os membros de grupos protegidos herdam permissões da unidade organizacional e quaisquer unidades organizacionais principal se herança estiver activada ao nível da unidade organizacional.

Para fornecer protecção de herança para os utilizadores administrativos, mova todos os utilizadores administrativos (e outros utilizadores que necessitem de protecção de herança) a sua própria unidade organizacional. Ao nível da unidade organizacional, remova a herança e, em seguida, defina as permissões para corresponder às ACLs actuais no contentor de adminSDHolder. Uma vez que as permissões no contentor adminSDHolder podem variar (por exemplo, Microsoft Exchange Server adiciona algumas permissões ou as permissões poderão ter sido modificadas), reveja um membro do grupo protegido para as permissões actuais no contentor de adminSDHolder. Tenha em atenção que a interface de utilizador (UI) não mostra todas as permissões no contentor de adminSDHolder. Utilize DSacls para ver todas as permissões no contentor de adminSDHolder.

Pode activar herança no contentor de adminSDHolder utilizando ADSI Edit ou utilizadores do Active Directory e computadores. O caminho do contentor adminSDHolder é CN = adminSDHolder, CN = System, DC = <mydomain>, DC = <com>

Nota Se utilizar computadores e utilizadores do Active Directory, certifique-se que Funções avançadas está seleccionada no Ver menu.

Para activar a herança de contentor adminSDHolder:
  1. Clique com o botão direito do rato no contentor e, em seguida, clique em Propriedades .
  2. Clique no separador segurança .
  3. Clique em Avançadas .
  4. Clique para seleccionar a caixa de verificação Permitir herdável permissões sejam propagadas para este objecto e todos os objectos subordinados .
  5. Clique em OK e, em seguida, clique em Fechar .
Da próxima vez que o thread SDProp é executado, o sinalizador de herança está definido em todos os membros de grupos protegidos. Este procedimento pode demorar até 60 minutos. Aguarde tempo suficiente para que esta alteração seja replicada do controlador de domínio primário (PDC, Primary Domain Controller).

Método 3: Evitar hereditariedade e só altere ACL, Access Control List

Se pretender que os utilizadores membros de grupos protegidos a herdar permissões do contentor que os utilizadores residem em e desejar alterar a segurança de objectos de utilizador, pode editar a segurança no directório de contentor adminSDHolder. Neste cenário, não é necessário activar a herança de contentor adminSDHolder. Apenas terá de adicionar esse grupo ou editar a segurança dos grupos de segurança que já estão definidas no contentor de adminSDHolder. Depois de uma hora, o thread SDProp aplicam-se a alteração efectuada para as ACLs do contentor adminSDHolder todos os membros de grupos protegidos. Os membros não herdará a segurança do contentor residem no.

Por exemplo, o próprio conta requer o direito Permitir para ler todas as propriedades . Editar as definições de segurança adminSDHolder contentor para permitir que este direito do próprio conta. Depois de uma hora, este direito terão permissão para o próprio conta para todos os utilizadores que são membros de grupos protegidos. Não é alterado o sinalizador de herança.

O exemplo seguinte demonstra como aplicar alterações para o objecto adminSDHolder apenas. Neste exemplo concede as seguintes permissões no objecto adminSDHolder :
  • Listar conteúdo
  • Ler todas as propriedades
  • Escrever todas as propriedades
Para conceder estas permissões no objecto adminSDHolder , siga estes passos:
  1. No computadores e utilizadores do Active Directory, clique em Funcionalidades avançadas no Ver menu.
  2. Localize o objecto adminSDHolder . O objecto está na seguinte localização para cada domínio no Active Directory floresta: CN = adminSDHolder, CN = System, DC=domain,DC=com aqui, DC = domain, DC = com é o nome distinto do domínio.
  3. Clique com o botão direito do rato adminSDHolder e, em seguida, clique em Propriedades .
  4. Na caixa de diálogo Propriedades , clique no separador segurança e, em seguida, clique em Avançadas .
  5. Na caixa de diálogo Definições de controlo de acesso para adminSDHolder , clique em Adicionar no separador permissões .
  6. No Seleccionar utilizador, computador ou grupo na caixa de diálogo, clique a conta à qual pretende conceder permissões relacionadas e, em seguida, clique em OK .
  7. Na Entrada de permissões de adminSDHolder de caixa de diálogo, faça clique sobre este objecto apenas na caixa Aplicar em e, em seguida, clique em Listar conteúdo das , Ler todas as propriedades e direitos de escrever todas as propriedades .
  8. Clique em OK para fechar a caixa de diálogo Entrada de permissões de adminSDHolder , a caixa de diálogo Definições de controlo de acesso para adminSDHolder e a caixa de diálogo Propriedades de adminSDHolder .
Dentro de uma hora, a ACL será actualizada no objectos de utilizador associados com os grupos protegidos para reflectir as alterações.Para obter mais informações, clique números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft:
232199Descrição e a actualização do objecto adminSDHolder do Active Directory
318180Thread de AdminSDHolder afecta membros transitórias de grupos de distribuição

Ponto Da Situação

A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na secção "Aplica-se a". Este problema foi corrigido pela primeira vez no Windows Server 2003 Service Pack 1.

Mais Informação

Active Directory utiliza um mecanismo de protecção para garantir que ACL, Access Control List está definida correctamente para os membros dos grupos sensíveis. O mecanismo é executada uma vez uma hora no mestre de operações PDC, Primary Domain Controller. O mestre de operações compara a ACL nas contas de utilizador que são membros de grupos protegidos contra a ACL no seguinte objecto:
CN = adminSDHolder, CN = System, DC = <MyDomain>,DC=<Com>

Nota "DC = <MyDomain>,DC=<Com> "representa o nome distinto (DN, Distinguished Name) do seu domínio.

Se a ACL, Access Control List for diferente, a ACL no objecto de utilizador é substituída para reflectir as definições de segurança do objecto adminSDHolder (e herança de ACL, Access Control List está desactivada). Este processo protege estas contas contra modificações por utilizadores não autorizados se as contas forem movidas para um contentor ou unidade organizacional em que um utilizador mal intencionado tenha sido delegadas credenciais administrativas para modificar contas de utilizador. Tenha em atenção que, quando um utilizador for removido do grupo administrativo, o processo não é invertido e tem de ser alterado manualmente.

Nota Para controlar a frequência com que o objecto adminSDHolder actualiza descritores de segurança, criar ou modificar o AdminSDProtectFrequency entrada na seguinte subchave de registo:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Quando a entrada de registo AdminSDProtectFrequency não estiver presente, o objecto adminSDHolder actualiza descritores de segurança a cada 60 minutos (3600 segundos). Pode utilizar esta entrada de registo para definir esta frequência para qualquer velocidade entre 1 minuto (60 segundos) e 2 horas (7200 segundos), introduzindo o valor em segundos. No entanto, não recomendamos que modificar este valor, excepto para breves períodos de testes. Modificar este valor pode aumentar o LSASS sobrecarga de processamento.

A lista seguinte descreve os grupos protegidos no Windows 2000:
  • Admins da empresa
  • Admins de esquemas
  • Admins do domínio
  • Administradores

A lista seguinte descreve os grupos protegidos no Windows Server 2003 e no Windows 2000 depois de aplicar a correcção 327825 ou instalar o Windows 2000 Service Pack 4:
  • Administradores
  • Operadores de contas
  • Operadores de servidor
  • Operadores de impressão
  • Operadores de cópia de segurança
  • Admins do domínio
  • Admins de esquemas
  • Admins da empresa
  • Editores de certificados
Além dos seguintes utilizadores são também considerados protegidos:
  • Administrador
  • Krbtgt
Tenha em atenção que membros de grupos de distribuição não preencher um token de utilizador. Por este motivo, pode utilizar ferramentas como o "whoami" para determinar com êxito os membros do grupo.

Para obter mais informações sobre administração delegada, baixar o white paper Procedimentos recomendados para delegar a administração do Active Directory . Para o fazer, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/downloads/details.aspx?familyid=631747a3-79e1-48fa-9730-dae7c0a1d6d3&displaylang=en

Propriedades

Artigo: 817433 - Última revisão: 20 de abril de 2009 - Revisão: 24.0
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Server SP4
Palavras-chave: 
kbmt kbautohotfix kbwinserv2003sp1fix atdownload kbhotfixserver kbqfe KB817433 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 817433

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com