Temsilci olarak atanan izinler kullanılamıyor ve devralma otomatik olarak devre dışı bırakılmıyor (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)

Makale çevirileri Makale çevirileri
Makale numarası: 817433 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Bu Sayfada

Belirtiler

Microsoft Windows Server 2003'e yükselttikten sonra aşağıdaki belirtilerle karşılaşabilirsiniz:
  • Temsilciye verilen izinleri, bir kuruluş birimindeki tüm kullanıcıları için kullanılamaz.
  • Devralma otomatik olarak yaklaşık bir saat süresi bazı kullanıcı hesaplarını dışıdır
  • Izinler, artık temsilci önceden kullanıcılar bunları sahiptir.
Bu sorun, Microsoft Windows 2000 Server'a 327825 Microsoft Bilgi Bankası makalesinde açıklanan düzeltmeyi uyguladıktan sonra veya Microsoft Windows 2000 Server için Windows 2000 Service Pack 4 yüklendikten sonra ortaya çıkabilir.Windows 2000 327825 düzeltme hakkında daha fazla bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
327825Kullanıcılar çok gruba ait olduğunda Kerberos kimlik doğrulaması ile ilgili sorunlar için yeni çözümleme

Neden

Denetim Temsilcisi Sihirbazı'nı kullanarak izinlere temsilci seçmek için bu izinler üst kapsayıcıdan izinleri devralan bir kullanıcı nesnesi yararlanır. Korumalı gruplarının üyeleri, üst kapsayıcıdan izin devralmaz. Bu nedenle, bu izinleri, Denetim Temsilcisi Sihirbazı'nı kullanarak izinler, korumalı gruplarının üyelerine uygulanmaz.

Not Korumalı bir çalışma grubunda üyeliği doğrudan üyelik ya da bir veya daha fazla güvenlik veya dağıtım grupları'nı kullanarak, geçişli üyelik olarak tanımlanır. Dağıtım grupları, güvenlik gruplarına dönüştürülebilir olmadığından dahil edilir.

Windows Server 2003'te, Active Directory'de güvenliğini artırmak için korunan gruplarının sayısını artırılmıştır ("Daha fazla bilgi" bölümüne bakın). Windows 2000'e 327825 düzeltme uygularsanız, korunan bir grup sayısı da artar.

Çözüm

Bu sorunu gidermek için <a0></a0>, bir düzeltme yükleyin. Her etki alanındaki birincil etki alanı denetleyicisi (PDC) öykünücüsü işlem yöneticisi rolünü üstlenen etki alanı denetleyicisinde düzeltmeyi yüklemeniz gerekir. Ayrıca, geçerli PDC öykünücüsü işlem yöneticisi rol sahibi kullanılamaz duruma gelirse, bu rolün almak için kullandığınız tüm etki alanı denetleyicilerinde düzeltmeyi yüklemeniz gerekir. Rolü almak için kullanacağı etki alanı denetleyicisinin emin değilseniz, etki alanı denetleyicilerine tüm düzeltme yükleme ele almanızı öneririz. Bir etki alanı denetleyicisi düzeltmeyi içermeyen PDC öykünücüsü işlem yöneticisi rolünü varsayar, kullanıcının izinlerine yeniden sıfırlayacak.

Windows 2000 Düzeltme Bilgileri

Desteklenen bir düzeltme Microsoft'tan edinilebilir. Ancak bu düzeltmenin, yalnızca bu makalede anlatılan sorunu gidermesi amaçlanmıştır. Bu düzeltmeyi yalnızca bu sorunla karşılaşan sistemlere uygulayın.

Düzeltme karşıdan yüklenebilir ise bu Bilgi Bankası makalesinin başında "Düzeltme karşıdan yüklenebilir" bölümü bulunur. Bu bölüm görünmüyorsa, düzeltmeyi edinmek üzere Microsoft Müşteri Hizmetleri ve Destek ekibine bir istekte bulunun.

Not Ek sorunlar oluşursa veya tüm sorun giderme işlemi gerekmiyorsa, ayrı bir hizmet isteği oluşturmanız gerekebilir. Ek destek sorularına ve bu düzeltme için geçerli olmayan sorunlara normal destek ücretleri uygulanır. Microsoft Müşteri Hizmetleri ve Destek telefon numaralarının tam listesi veya ayrı bir hizmet isteği oluşturmak için, aşağıdaki Microsoft Web sitesini ziyaret edin:
http://support.microsoft.com/contactus/?ws=support
Not "Düzeltme karşıdan yüklenebilir" formunda, düzeltmenin kullanılabilir olduğu diller görüntülenir. Kendi dilinizi görmüyorsanız, bunun nedeni bu düzeltme, seçtiğiniz dil için kullanılamaz.

Yeniden başlatma gereksinimi

Bu düzeltmeyi yükledikten sonra bilgisayarı yeniden başlatmanız gerekir.

Düzeltme Değiştirme Bilgileri

Bu düzeltme başka bir düzeltmenin yerini almaz.

DOSYA BİLGİLERİ

Bu düzeltmenin İngilizce sürümü, aşağıdaki tabloda listelenen dosya özniteliklerine (veya daha yeni dosya özniteliklerine) sahiptir. Bu dosyaların tarihleri ve saatleri Koordinatlı Evrensel Saat'e (UTC) göre listelenir. Dosya bilgilerini görüntülediğinizde yerel saate dönüştürülür. UTC ve yerel saat arasındaki farkı bulmak için <a0></a0>, Denetim Masası'ndaki tarih ve saat öğesinde saat dilimi sekmesini kullanın.
   Date         Time   Version             Size  File name
   ----------------------------------------------------------
   24-Mar-2004  02:17  5.0.2195.6876    388,368  Advapi32.dll     
   24-Mar-2004  02:17  5.0.2195.6866     69,904  Browser.dll      
   24-Mar-2004  02:17  5.0.2195.6824    134,928  Dnsapi.dll       
   24-Mar-2004  02:17  5.0.2195.6876     92,432  Dnsrslvr.dll     
   24-Mar-2004  02:17  5.0.2195.6883     47,888  Eventlog.dll     
   24-Mar-2004  02:17  5.0.2195.6890    143,632  Kdcsvc.dll       
   11-Mar-2004  02:37  5.0.2195.6903    210,192  Kerberos.dll     
   21-Sep-2003  00:32  5.0.2195.6824     71,888  Ksecdd.sys
   11-Mar-2004  02:37  5.0.2195.6902    520,976  Lsasrv.dll       
   25-Feb-2004  23:59  5.0.2195.6902     33,552  Lsass.exe        
   19-Jun-2003  20:05  5.0.2195.6680    117,520  Msv1_0.dll       
   24-Mar-2004  02:17  5.0.2195.6897    312,592  Netapi32.dll     
   19-Jun-2003  20:05  5.0.2195.6695    371,984  Netlogon.dll     
   10-Aug-2004  00:17  5.0.2195.6966    933,648  Ntdsa.dll        
   24-Mar-2004  02:17  5.0.2195.6897    388,368  Samsrv.dll       
   24-Mar-2004  02:17  5.0.2195.6893    111,376  Scecli.dll       
   24-Mar-2004  02:17  5.0.2195.6903    253,200  Scesrv.dll       
   04-Jun-2004  23:13  5.0.2195.6935  5,887,488  Sp3res.dll       
   24-Mar-2004  02:17  5.0.2195.6824     50,960  W32time.dll      
   21-Sep-2003  00:32  5.0.2195.6824     57,104  W32tm.exe

Windows Server 2003 hizmet paketi bilgileri

Bu sorunu gidermek için <a0></a0>, Windows Server 2003 için en son hizmet paketini edinin. Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
889100En son Windows Server 2003 hizmet paketi nasıl elde edilir

Windows Server 2003 düzeltme bilgileri

Desteklenen bir düzeltme Microsoft'tan edinilebilir. Ancak bu düzeltmenin, yalnızca bu makalede anlatılan sorunu gidermesi amaçlanmıştır. Bu düzeltmeyi yalnızca bu sorunla karşılaşan sistemlere uygulayın. Bu düzeltme ek sınamaya tabi olabilir. Bu nedenle, bu sorun nedeniyle önemli ölçüde etkilenmediyseniz, bu düzeltmeyi içeren bir sonraki yazılım güncelleştirmesini beklemeniz önerilir.

Düzeltme karşıdan yüklenebilir ise bu Bilgi Bankası makalesinin başında "Düzeltme karşıdan yüklenebilir" bölümü bulunur. Bu bölüm görünmüyorsa, düzeltmeyi edinmek üzere Microsoft Müşteri Hizmetleri ve Destek ekibine başvurun.

Not Ek sorunlar oluşursa veya tüm sorun giderme işlemi gerekmiyorsa, ayrı bir hizmet isteği oluşturmanız gerekebilir. Ek destek sorularına ve bu düzeltme için geçerli olmayan sorunlara normal destek ücretleri uygulanır. Microsoft Müşteri Hizmetleri ve Destek telefon numaralarının tam listesi veya ayrı bir hizmet isteği oluşturmak için, aşağıdaki Microsoft Web sitesini ziyaret edin:
http://support.microsoft.com/contactus/?ws=support
Not "Düzeltme karşıdan yüklenebilir" formunda, düzeltmenin kullanılabilir olduğu diller görüntülenir. Kendi dilinizi görmüyorsanız, bunun nedeni bu düzeltme, seçtiğiniz dil için kullanılamaz.Bu düzeltmenin İngilizce sürümü, aşağıdaki tabloda listelenen dosya özniteliklerine (veya daha yeni dosya özniteliklerine) sahiptir. Bu dosyaların tarihleri ve saatleri Koordinatlı Evrensel Saat'e (UTC) göre listelenir. Dosya bilgilerini görüntülediğinizde yerel saate dönüştürülür. UTC ve yerel saat arasındaki farkı bulmak için <a0></a0>, Denetim Masası'ndaki Tarih ve saat öğesinde saat dilimi sekmesini kullanın.

Yeniden başlatma gereksinimi

Bu düzeltmeyi yükledikten sonra bilgisayarı yeniden başlatmanız gerekir.

Düzeltme Değiştirme Bilgileri

Bu düzeltme başka bir düzeltmenin yerini almaz.

DOSYA BİLGİLERİ

Windows Server 2003'ün 32-bit sürümleri
   Date         Time   Version            Size  File name
   --------------------------------------------------------
   02-Nov-2004  01:26  5.2.3790.229  1,532,416  Ntdsa.dll
   02-Nov-2004  01:26  5.2.3790.212     32,768  Ntdsatq.dll
   19-Sep-2004  11:41  5.2.3790.212     59,392  Ws03res.dll
Windows Server 2003 64-bit sürümleri
   Date         Time   Version            Size  File name     Platform
   -------------------------------------------------------------------
   02-Nov-2004  01:21  5.2.3790.229  4,057,088  Ntdsa.dll     IA-64
   02-Nov-2004  01:21  5.2.3790.212     82,432  Ntdsatq.dll   IA-64
   19-Sep-2004  09:43  5.2.3790.212     58,880  Ws03res.dll   IA-64
   19-Sep-2004  11:41  5.2.3790.212     59,392  Wws03res.dll    x86
Windows 2000 ve Windows Server 2003'te Düzeltme yüklendikten sonra orman genelinde dsHeuristic bayraklarını hangi işletmen grupları tarafından adminSDHolder korumalı denetlemek için ayarlayabilirsiniz. Bu yeni seçeneğini kullanarak, tüm kayıtlı dört korumalı grupları özgün Windows 2000 davranışa geri veya bazı ayarlayabilirsiniz. 16 Karakter konumu en sol karakteri konumu olduğu bir onaltılık değer yorumlanır 1. Bu nedenle, yalnızca "0" üzerinden "f" değerlerdir. Her bir işletmen grubu, belirli bir bit gibi vardır:
  • Bit 0: Account Operators
  • Bit 1: Sunucu işletmenleri
  • Bit 2: Print Operators
  • Bit 3: Yedekleme işletmenleri
Örneğin 0001 değeri anlamına gelir, Account Operators hariç tut. Ikili toplamı 1100 0xC onaltılı değeri gösteren için 'c' değeri (0100) Print Operators ve Backup Operators (1000) dışarıda bırakmak.

Yeni işlevselliği etkinleştirmek için <a0></a0>, nesne yapılandırma kapsayıcısı olarak değiştirmeniz gerekir. Bu ayar, geniş bir ormana içindir. Nesneyi değiştirmek için <a0></a0>, aşağıdaki adımları izleyin:
  1. Değiştirmek istediğiniz nesneyi bulun. Bunu yapma hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
    326690Windows Server 2003 etki alanı denetleyicilerinde Active Directory'ye anonim LDAP işlemlerinin devre dışı bırakılır
  2. Komut isteminde, ldp.exe yazın ve sonra da LDP yardımcı programını başlatmak için ENTER tuşuna basın.
  3. Bağlantı ' yı tıklatın, Bağlan ' ı tıklatın ve sonra da Tamam ' ı tıklatın.
  4. Bağlantısı ' BIND ' ı tıklatın, kullanıcı adı ve bir ormanın kök yönetici parolasını yazın ve Tamam ' ı tıklatın.
  5. Görünüm ' ü ağacı ' ı ve sonra Tamam ' ı tıklatın.
  6. View\Tree kullanarak aşağıdaki yapılandırmayı CN açın:
    CN = dizin hizmeti, CN = Windows NT, CN = Services, CN = Configuration, DC = Forest root domain =
  7. Dizin hizmeti nesnesini bulun ve çift tıklatın.
  8. Nesne özniteliği dsHeuristics özniteliği zaten ayarlanmış olup olmadığını belirlemek için sağ tarafında listesini denetleyin. Ayarlanırsa, varolan değeri panoya kopyalayın.
  9. Dizin hizmeti nesneleri sol tarafından sağ tıklatın ve sonra Değiştir ' i tıklatın.
  10. Öznitelik adı olarak dsHeuristics yazın.
  11. Değer olarak, 000000000100000f yazın. Sıfır değerinin ilk bölümünde dsHeuristics içinde olduğunuz ile değiştirin. Doğru olduğundan emin olun ayarlamak istediğiniz basamağa kadar "f" ya da, bit sayısı.

    Not Doğru karakterleri değiştirilmiş doğrulamak için <a0></a0>, onuncu her karakter karakter sayısı en çok nokta on tarafından ayrılmış ayarlanmış olması gerekir. Örneğin, onuncu karakteri 1 olmalıdır, yirminci karakter 2 olarak olmalıdır, thirtieth karakter 3 olmalıdır ve böyle devam eder.
  12. Öznitelik zaten varsa, <a0>işlem</a0> kutusundaki Değiştir ' i tıklatın. Aksi halde, Ekle ' yi tıklatın.
  13. LDAP harekete eklemek için sağdaki işlem grubu için ENTER'E basın.
  14. Nesne değişikliği uygulamak için Çalıştır ' ı tıklatın. Bu değişiklik için ormandaki PDC öykünücüsünü çoğaltıldıktan sonra bu düzeltmeyi çalıştıran olanları bitlerin için ayarladığınız operatörleri grubunun üyeleri kullanıcılar koruma sağlamaz.

Pratik Çözüm

Bu soruna geçici bir çözüm için aşağıdaki yöntemlerden birini kullanın.

Yöntem 1: korumalı bir çalışma grubunun üyesi olduğundan emin olun.

Kuruluş birimi düzeyinde verilmiş izinlere kullanırsanız, temsilciye verilen izinleri gerektiren tüm kullanıcılara bir korumalı grupların üyesi olmadığınızdan emin olun. Daha önce kullanıcılar için devralma bayrağı korumalı bir grubun üyeleri değil otomatik sıfırlama kullanıcının korumalı bir gruptan kaldırıldığında. Bunu yapmak için <a0></a0>, aşağıdaki komut dosyası kullanabilirsiniz.

Not Bu komut, AdminCount 1 olarak ayarlanırsa, tüm kullanıcılar için devralma bayrağı denetler. Devralma devre dışı bırakılırsa (SE_DACL_PROTECTED ayarlanır), komut dosyası devralmayı etkinleştirir. Devralma, devralma zaten etkinleştirilmişse, etkin kalır. Ayrıca, AdminCount 0 olarak sıfırlanır. AdminSDHolder iş parçacığı yeniden çalıştırıldığında, devralma devre dışı bırakmak ve AdminCount, korumalı gruplarında kalan tüm kullanıcılar için 1 olarak ayarlayın. Bu nedenle, AdminCount ve devralma korumalı grupları daha uzun yok üyesi olan tüm kullanıcılar için doğru biçimde ayarlanır.

Komut dosyasını çalıştırmak için aşağıdaki komutu kullanın:
cscript/nologo resetaccountsadminsdholder.vbs
Microsoft, programlama örneklerini yalnızca gösterim amacıyla sağlar; örtülü veya açık garanti vermez. Buna satılabilirlik veya belirli bir amaca uygunluk zımni garantileri de dahildir, ancak bunlarla sınırlı değildir. Bu makale, gösterilen programlama dilini ve yordamları oluşturmak ve hata ayıklamak amacıyla kullanılan araçları kullanmayı bildiğinizi varsayar. Microsoft destek mühendisleri, belirli bir yordamın işlevselliğinin açıklanmasına yardımcı olabilir, ancak gereksinimlerinizi karşılamaya yönelik olarak ek işlevsellik sağlamak veya yordamlar geliştirmek amacıyla bu örnekleri değiştirmezler.
'********************************************************************
'*
'* File:           ResetAccountsadminSDHolder.vbs 
'* Created:        November 2003
'* Version:        1.0
'*
'*  Main Function:  Resets all accounts that have adminCount = 1 back
'*	to 0 and enables the inheritance flag
'*
'*  ResetAccountsadminSDHolder.vbs 
'*
'* Copyright (C) 2003 Microsoft Corporation
'*
'********************************************************************

Const SE_DACL_PROTECTED = 4096

On Error Resume Next

Dim sDomain
Dim sADsPath
Dim sPDC


Dim oCon 
Dim oCmd
Dim oRst
Set oRst = CreateObject("ADODB.Recordset")
Set oCmd = CreateObject("ADODB.Command")
Set oCon = CreateObject("ADODB.Connection")

Dim oRoot
Dim oDomain
Dim oADInfo
Dim oInfo
Set oADInfo = CreateObject("ADSystemInfo")
Set oInfo = CreateObject("WinNTSystemInfo")
sPDC = oInfo.PDC & "." & oADInfo.DomainDNSName

oCon.Provider = "ADSDSOObject"
oCon.Open "Active Directory Provider"

oCmd.ActiveConnection = oCon

Set oRoot = GetObject("LDAP://rootDSE")
sDomain = oRoot.Get("defaultNamingContext")
Set oDomain = GetObject("LDAP://" & sDomain)
sADsPath = "<" & oDomain.ADsPath & ">"

oCmd.CommandText = "SELECT ADsPath FROM 'LDAP://" & sPDC & "/" & sDomain & "' WHERE objectCategory='person' and objectClass = 'user' AND adminCount = 1"
Set oRst = oCmd.Execute

WScript.Echo "searching for objects with 'admin count = 1' in " & sDomain

If oRst.RecordCount = 0 Then
    WScript.Echo "no accounts found"
    WScript.Quit
End If

Do While Not oRst.EOF
    WScript.Echo  "found object " & oRst.Fields("ADsPath")
    If SetInheritanceFlag(oRst.Fields("ADsPath")) = 0 Then WScript.Echo "Inheritance flag set"
    If SetAdminCount(oRst.Fields("ADsPath"), 0) = 0 Then WScript.Echo "adminCount set to 0"
    WScript.Echo  "=========================================="
    oRst.MoveNext
Loop


Private Function SetInheritanceFlag(DSObjectPath)

    Dim oSD
    Dim oDACL
    Dim lFlag
    Dim oIADs

    Set oIADs = GetObject(DSObjectPath)

    Set oSD = oIADs.Get("nTSecurityDescriptor")

    If oSD.Control And SE_DACL_PROTECTED Then
        oSD.Control = oSD.Control - SE_DACL_PROTECTED
    End If

    oIADs.Put "nTSecurityDescriptor", oSD
    oIADs.SetInfo
    
    If Err.Number <> 0 Then
        SetInheritanceFlag = Err.Number
    Else
        SetInheritanceFlag = 0
    End If

End Function


Private Function SetAdminCount(DSObjectPath, AdminCount)

    Dim oIADs
    Dim iAdminCount

    Set oIADs = GetObject(DSObjectPath)

    iAdminCount = oIADs.Get("adminCount")

    If iAdminCount = 1 Then iAdminCount = 0

    oIADs.Put "adminCount", iAdminCount
    oIADs.SetInfo
    If Err.Number <> 0 Then
        SetAdminCount = Err.Number
    Else
        SetAdminCount = 0
    End If
    
End Function
Olumsuz kullanıcıları etkilemez, emin olmak için önce 1 olarak ayarlan?r Ldifde.exe AdminCount sahip kullanıcılar dökümü öneririz. Bunu yapmak için, komut istemine aşağıdaki komutu yazın ve sonra ENTER tuşuna basın:
ldifde -f Admincount 1.txt - d dc your domain =-r "(& (objectcategory=person)(objectclass=user)(admincount=1))"
Gözden geçirme DACL olan tüm kullanıcıların, işaretli bit korumalı onaylamak için çıktı dosyası, doğru izinlere sahip olacaktır, yalnızca erişim kontrol girdilerine (ACE) devralınır. Bu yöntem tercih edilir ve varolan güvenliği zayıflatın.

Yöntem 2: devralma adminSDHolder kapsayıcısındaki etkinleştir

AdminSDHolder kapsayıcısı devralma etkinleştirirseniz, korumalı grupların tüm üyelerini etkin devralınan. Güvenlik işlevi açısından, bu yöntem davranışı geri pre-Service Pack 4 işlevlerine <a1>adminSDHolder</a1> kapsayıcısının döner.

AdminSDHolder kapsayıcısı devralma etkinleştirme

AdminSDHolder kapsayıcısı devralma etkinleştirirseniz, iki koruyucu erişim denetimi listesi (ACL) düzenekleri birini devre dışı bırakılır. Varsayılan izinler uygulanır. Ancak, devralma kuruluş birimi düzeyinde etkinleştirilmişse, korumalı grupların tüm üyelerini izinleri kuruluş birimi ve herhangi bir üst kuruluş birimleri devralır.

Yönetici kullanıcılar için devralma koruma sağlamak için <a0></a0>, yönetici olan tüm kullanıcılar (ve devralma koruma gereksinim duyan diğer kullanıcılar), kendi kuruluş birimine taşıyın. Kuruluş birimi düzeyinde devralma kaldırın ve sonra da ACL'leri adminSDHolder kapsayıcısındaki eşleştirmek için izinleri ayarlayın. AdminSDHolder kapsayıcısındaki izinler farklı olabilir, çünkü (örneğin, Microsoft Exchange Server bazı izinler veya izinleri değiştirilmiş olabilir ekleyerek), üye korumalı bir çalışma grubunun geçerli izinlerini adminSDHolder kapsayıcısı için gözden geçirin. Kullanıcı Arabirimi (UI) tüm izinleri adminSDHolder kapsayıcıda izinleri görüntülenmiyor olabilir. DSacls adminSDHolder kapsayıcıda izinleri tüm izinleri görüntülemek için kullanın.

AdminSDHolder kapsayıcısı devralma, ADSI Edit'i veya Active Directory Kullanıcıları ve Bilgisayarları'nı kullanarak etkinleştirebilirsiniz. CN = adminSDHolder kapsayıcısının yoludur adminSDHolder, CN = System, DC = <mydomain>, = DC <com>=

Not Active Directory Kullanıcıları ve Bilgisayarları'ı kullanıyorsanız, Gelişmiş ÖzelliklerGörünüm seçili olmasına dikkat menü.

AdminSDHolder kapsayıcısı devralma etkinleştirmek için <a0></a0>:
  1. Kapsayıcıyı sağ tıklatın ve sonra da Özellikler ' i tıklatın.
  2. Güvenlik sekmesini tıklatın.
  3. Gelişmiş ' i tıklatın.
  4. Izin üst öğeden devralınabilen izinlerin bu nesneye ve tüm bağımlı nesnelere yayılmasına izin ver onay kutusunu seçmek için tıklatın.
  5. Tamam ' ı tıklatın ve sonra Kapat ' ı tıklatın.
SDProp iş parçacığının çalıştığı, bir sonraki başlatılışında, korumalı grupların tüm üyelerini devralma bayrağı ayarlanmıştır. Bu yordam, 60 dakika kadar sürebilir. Bu değişikliğin birincil etki alanı denetleyicisinden (PDC) çoğaltılması yeteri kadar bekleyin.

Yöntem 3: devralma kaçının ve yalnızca ACL'lerini değiştirir.

Kullanıcılar, gruplar kullanıcılar bulunması kapsayıcıyı devralmak korunan üye istediğiniz ve yalnızca kullanıcı nesnesinin güvenliğini değiştirmek istediğiniz, adminSDHolder kapsayıcısı Dizin Güvenliği düzenleyebilirsiniz. Bu senaryoda, devralma adminSDHolder kapsayıcısındaki etkinleştirmek gerekmez. Bu grup veya adminSDHolder kapsayıcı üzerinde önceden tanımlı güvenlik gruplarının güvenlik yeterlidir. Bir saat sonra SDProp iş parçacığı için oluşturulan tüm üyelere korumalı gruplarının <a1>adminSDHolder</a1> kapsayıcısının yaptığınız değişiklikleri uygular. Üyeleri, güvenlik, bulundukları kapsayıcısının devralmaz.

Örneğin, Self hesabı tüm özellikleri okuma için izin ver hakkını gerektirir. Bu hak Self izin vermek için adminSDHolder kapsayıcısı güvenlik ayarlarını düzenlemek hesabı. Bir saat sonra bu hakkı için kendini izin verilecek korumalı gruplarının üyesi olan tüm kullanıcılar için hesap. Devralma bayrağı değiştirilmedi.

Aşağıdaki örnekte, yalnızca adminSDHolder nesnesi üzerine değişiklikleri uygulamak gösterilmiştir. Bu örnekte <a0>adminSDHolder</a0> nesnesinde aşağıdaki izinleri verir:
  • İçeriği Listele
  • Tüm Özellikleri Oku
  • Tüm Özellikleri Yaz
Bu izinler <a0>adminSDHolder</a0> nesnesinde vermek için aşağıdaki adımları izleyin:
  1. Active Directory Kullanıcıları ve Bilgisayarları'nda Gelişmiş Özelliklergörünümü tıklatın menü.
  2. AdminSDHolder nesnesi bulun. Her etki alanının Active Directory'de aşağıdaki konumda nesnesidir orman: CN adminSDHolder, CN = = System, DC=domain,DC=com, buraya DC etkialanı, DC = = com etki alanının ayırt edici adı.
  3. AdminSDHolder ' ı sağ tıklatın ve sonra da Properties ' i tıklatın.
  4. Özellikler iletişim kutusundaki Güvenlik sekmesini tıklatın ve sonra Gelişmiş ' i tıklatın.
  5. AdminSDHolder için erişim denetim ayarları iletişim kutusunda, izinler sekmesinde Ekle ' yi tıklatın.
  6. Kullanıcı, bilgisayar veya Grup Seç iletişim kutusunda, ilgili izinler vermek istediğiniz kullanıcı hesabını tıklatın ve sonra Tamam ' ı tıklatın.
  7. AdminSDHolder için izin girdisi iletişim kutusunda, yalnızca bu nesne <a0>Uygula</a0> kutusunda tıklatın ve ardından İçeriğini listeleme, Tüm özellikleri okuma ve tüm özellikleri yazma hakları ' nı tıklatın.
  8. AdminSDHolder için izin girdisi iletişim kutusu, adminSDHolder için erişim denetim ayarları</a0> iletişim kutusunu ve adminSDHolder özellikler iletişim kutusunu kapatmak için Tamam ' ı tıklatın.
Bir saat içinde ACL değişiklikleri yansıtacak biçimde korunan gruplarıyla ilişkili kullanıcı nesnelerini güncelleştirilir.Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleleri görüntülemek üzere aşağıdaki makale numaralarını tıklatın:
232199Açıklama ve güncelleştirme Active Directory adminSDHolder nesnesi
318180AdminSDHolder İş Parçacığı Dağıtım Gruplarının Geçiş Üyelerini Etkiliyor (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)

Durum

Microsoft, "Geçerli Olduğu Ürünler" bölümünde listelenen Microsoft ürünlerinde bu sorunun olduğunu onaylamıştır. Bu sorun ilk olarak Windows Server 2003 Service Pack 1'de giderilmiştir.

Daha fazla bilgi

Active Directory, ACL önemli gruplarının üyeleri için doğru olarak ayarlandığından emin olmak için bir koruma mekanizması kullanır. Düzenek, PDC işlem yöneticisinde bir saatte bir kez çalıştırılır. Işlem yöneticisi aşağıdaki nesne ACL'SINI karşı korumalı gruplarının üyeleri olan kullanıcı hesaplarını ACL'SINI karşılaştırılmaktadır:
CN = adminSDHolder, CN = System, DC = <a1><MyDomain>,DC=<Com>

Not "DC <MyDomain>,DC=<Com> "bir etki alanının ayırt edici ad (DN) temsil eder.

ACL'YE farklıysa <a0>adminSDHolder</a0> nesnesinin güvenlik ayarları için <a0>kullanıcı</a0> nesnesinde bir ACL yazılır (ve ACL devralma devre dışı bırakılır). Bu işlem, bu hesapların hesapların kapsayıcısına veya kuruluş birimine kötü niyetli bir kullanıcının kullanıcı hesaplarını değiştirmek için temsilci seçilen yönetici kimlik bilgileri burada yapıldı taşınırsa yetkisiz kullanıcılar tarafından değiştirilmesini korur. Kullanıcı yönetimsel gruptan kaldırıldığında, işlemi tersine çevrilir ve el ile değiştirilmeli unutmayın.

Not Güvenlik açıklayıcıları, güncelleştirmeleri adminSDHolder nesnesi sıklığını denetlemek için <a0></a0>, oluşturmak veya AdminSDProtectFrequency değiştirmek aşağıdaki kayıt defteri alt anahtarını girdisinde:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
AdminSDHolder nesnesi, AdminSDProtectFrequency kayıt defteri girdisi yoksa, güvenlik tanımlayıcılarını her 60 dakikada bir (3600 saniye) güncelleştirir. Bu kayıt defteri girdisi, saniye cinsinden değerini girerek, bu frekansı herhangi oranı arasında 1 dakikadır (60 saniye) ve 2 saat (7200 saniye) ayarlamak için kullanabilirsiniz. Ancak, kısa bir sınama dönemleri dışında bu değeri değiştirmeniz önerilmez. Bu değer değiştirme, işlem ek LSASS artırabilirsiniz.

Aşağıdaki listede, Windows 2000'de korumalı gruplar açıklanmaktadır:
  • Kuruluş Yöneticileri
  • Şema Yöneticileri
  • Etki Alanı Yöneticileri
  • Administrators

Aşağıdaki listede, 327825 düzeltmeyi veya Windows 2000 Service Pack 4 yüklendikten sonra Windows Server 2003 ve Windows 2000'de korumalı gruplar açıklanmaktadır:
  • Administrators
  • Account operators (Hesap işletmenleri)
  • Server Operators (Sunucu İşletmenleri)
  • Print Operators (Yazdırma İşletmenleri)
  • Backup operators (Yedekleme işletmenleri)
  • Etki Alanı Yöneticileri
  • Şema Yöneticileri
  • Kuruluş Yöneticileri
  • Sertifika Yayımcıları
Ayrıca aşağıdaki kullanıcılar da korumalı kabul edilir:
  • Yönetici
  • Krbgt
Unutmayın, dağıtım gruplarının üyelikleri, bir kullanıcı belirteci doldurmuyor. Bu nedenle, "whoami" gibi araçlar başarıyla grup üyeliğini belirlemek için kullanamazsınız.

Yetki verilen yönetim hakkında daha fazla bilgi için Temsil etme, Active Directory Yönetimi için en iyi uygulamalar teknik incelemeyi karşıdan yükleyin. Bunu yapmak için şu Microsoft Web sitesini ziyaret edin:
http://www.microsoft.com/downloads/details.aspx?familyid=631747a3-79e1-48fa-9730-dae7c0a1d6d3&displaylang=en

Özellikler

Makale numarası: 817433 - Last Review: 20 Nisan 2009 Pazartesi - Gözden geçirme: 24.0
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Server SP4
Anahtar Kelimeler: 
kbmt kbautohotfix kbwinserv2003sp1fix atdownload kbhotfixserver kbqfe KB817433 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir:817433

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com