?y quy?n không có s?n và th?a k? t? đ?ng vô hi?u hoá

D?ch tiêu đ? D?ch tiêu đ?
ID c?a bài: 817433 - Xem s?n ph?m mà bài này áp d?ng vào.
Bung t?t c? | Thu g?n t?t c?

? Trang này

TRI?U CH?NG

Sau khi b?n nâng c?p đ? Microsoft Windows Server 2003, b?n có th? kinh nghi?m các tri?u ch?ng sau đây:
  • ?y quy?n không ph?i là có s?n cho t?t c? ngư?i dùng trong m?t đơn v? t? ch?c.
  • Th?a k? s? t? đ?ng vô hi?u hóa trên m?t s? tài kho?n ngư?i dùng kho?ng m?t l?n m?t gi?
  • Ngư?i s? d?ng trư?c đó đ? giao quy?n, không c?n chúng ta có.
V?n đ? này c?ng có th? x?y ra sau khi b?n áp d?ng hotfix đư?c mô t? bài vi?t trong cơ s? ki?n th?c Microsoft 327825 cho Microsoft Windows 2000 Server ho?c sau khi b?n cài đ?t Windows 2000 Service Pack 4 cho Microsoft Windows 2000 H? ph?c v?. Đ? bi?t thêm thông tin v? Windows 2000 327825 hotfix, Nh?p vào s? bài vi?t sau đây đ? xem bài vi?t trong Microsoft Ki?n th?c cơ b?n:
327825M?i gi?i pháp cho v?n đ? v?i xác th?c Kerberos khi ngư?i dùng thu?c v? nhi?u nhóm

NGUYÊN NHÂN

Khi b?n đ?i bi?u c?p phép s? d?ng các đoàn đ?i bi?u c?a Thu?t s? ki?m soát, các c?p phép này d?a trên đ?i tư?ng ngư?i dùng th?a hư?ng các c?p phép t? ph? huynh container. Các thành viên c?a các nhóm đư?c b?o v? không th?a hư?ng quy?n t? ph? huynh container. V? v?y, n?u b?n đ?t đi?u kho?n s? d?ng thu?t s? đoàn đi?u khi?n, các c?p phép này không ph?i là áp d?ng cho các thành viên c?a các nhóm đư?c b?o v?.

Chú ý Thành viên trong m?t nhóm đư?c b?o v? đư?c đ?nh ngh?a là tr?c ti?p ho?c là thành viên ho?c thành viên transitive b?ng cách s? d?ng m?t ho?c nhi?u b?o m?t ho?c phân ph?i các nhóm. Nhóm phân ph?i đư?c bao g?m b?i v? h? có th? đư?c chuy?n đ?i sang các nhóm b?o m?t.

Trong Windows Server 2003, s? lư?ng các nhóm đang b?o v? đ? đư?c tăng lên đ? tăng cư?ng an ninh Active Directory (xem các "Thông tin" ph?n). S? lư?ng các nhóm mà đư?c b?o v? c?ng làm tăng n?u b?n áp d?ng 327825 hotfix cho Windows năm 2000.

GI?I PHÁP

Đ? gi?i quy?t v?n đ? này, b?n có th? cài đ?t m?t hotfix. B?n ph?i cài đ?t các hotfix trên b? đi?u khi?n tên mi?n ch?a tên mi?n chính Controller (PDC) mô ph?ng các ho?t đ?ng t?ng th? vai trong m?i tên mi?n. Ngoài ra, b?n ph?i cài đ?t các hotfix v? t?t c? các b? đi?u khi?n tên mi?n mà b?n có th? s? d?ng đ? ti?p nh?n vai tr? này n?u ho?t đ?ng hi?n t?i mô ph?ng PDC n?m v?ng vai tr? ch? s? tr? thành không s?n dùng. N?u b?n không ch?c ch?n c?a b? đi?u khi?n tên mi?n b?n mu?n s? d?ng đ? ti?p nh?n các vai tr?, chúng tôi khuyên b?n xem xét vi?c cài đ?t các hotfix trên t?t c? các b? đi?u khi?n vùng. N?u đi?u khi?n vùng mà không có các hotfix gi? đ?nh các PDC mô ph?ng các ho?t đ?ng t?ng th? vai tr?, quy?n h?n c?a ngư?i dùng s? đư?c đ?t l?i m?t l?n n?a.

Thông tin hotfix Windows 2000

Hotfix được hỗ trợ đang được Microsoft cung cấp. Tuy nhiên, hotfix này là nh?m kh?c ph?c ch? s? c? đư?c mô t? trong bài vi?t này. Hotfix này ch? áp d?ng cho h? th?ng đang g?p v?n đ? c? th? này.

Nếu hotfix này sẵn có để tải xuống, có phần "Tải xuống hotfix sẵn có" ở đầu bài viết trong Cơ sở Kiến thức này. N?u ph?n này không xu?t hi?n, g?i m?t yêu c?u d?ch v? khách hàng c?a Microsoft và h? tr? đ? có đư?c các hotfix.

Chú ý N?u v?n đ? khác x?y ra ho?c n?u b?t c? x? l? s? c? là c?n thi?t, b?n có th? ph?i t?o m?t yêu c?u d?ch v? riêng bi?t. Các chi phí h? tr? thông thư?ng s? áp d?ng đ? h? tr? thêm câu h?i và v?n đ? này không đ? đi?u ki?n cho hotfix này c? th?. Đ?i v?i m?t danh sách đ?y đ? c?a Microsoft d?ch v? khách hàng và h? tr? s? đi?n tho?i ho?c đ? t?o ra m?t yêu c?u d?ch v? riêng bi?t, ghé thăm Web site sau c?a Microsoft:
http://support.microsoft.com/contactus/?ws=support
Chú ý Các h?nh th?c "Hotfix download available" hi?n th? các ngôn ng? mà các hotfix có s?n. Nếu bạn không thấy ngôn ngữ của mình thì đó là do hotfix này hiện không có ngôn ngữ đó.

Kh?i đ?ng l?i yêu c?u

Bạn phải khởi động lại máy tính sau khi áp dụng bản sửa lỗi khẩn cấp này.

Thông tin thay thế bản vá nóng

Hotfix này không thay th? b?t k? hotfix nào khác.

Thông tin v? t?p

Phiên b?n ti?ng Anh c?a hotfix này có các thu?c tính t?p (ho?c sau này t?p tin thu?c tính) mà đư?c li?t kê trong b?ng sau. Ngày tháng và th?i gian cho nh?ng t?p tin đư?c li?t kê trong gi? ph?i h?p qu?c t? (UTC). Khi b?n xem chi tieát taäp tin, nó đư?c chuy?n đ?i thành gi? c?c b?. Đ? bi?t s? khác nhau gi?a UTC và local time, s? d?ng các Múi gi? th? tab trong các Ngaøy giôø m?c trong b?ng đi?u khi?n.

Thông tin gói d?ch v? Windows Server 2003

Đ? gi?i quy?t v?n đ? này, có đư?c gói d?ch v? m?i nh?t cho Windows Server 2003. Đ? bi?t thêm thông tin, h?y b?m vào s? bài vi?t sau đ? xem bài vi?t trong Cơ s? Ki?n th?c Microsoft:
889100 Làm th? nào đ? có đư?c gói d?ch v? m?i nh?t cho Windows Server 2003

Thông tin hotfix Windows Server 2003

Hotfix được hỗ trợ đang được Microsoft cung cấp. Tuy nhiên, hotfix này là nh?m kh?c ph?c ch? s? c? đư?c mô t? trong bài vi?t này. Hotfix này ch? áp d?ng cho h? th?ng đang g?p v?n đ? c? th? này. Hotfix này có th? nh?n đư?c th? nghi?m b? sung. V? v?y, n?u b?n không b? ?nh hư?ng b?i v?n đ? này, chúng tôi đ? ngh? b?n đ?i cho C?p Nh?t ti?p theo c?a ph?n m?m có ch?a hotfix này.

Nếu hotfix này sẵn có để tải xuống, có phần "Tải xuống hotfix sẵn có" ở đầu bài viết trong Cơ sở Kiến thức này. Nếu phần này không xuất hiện, liên hệ với Phòng Hỗ Trợ và Dịch vụ Khách hàng của Microsoft để lấy hotfix này.

Chú ý N?u v?n đ? khác x?y ra ho?c n?u b?t c? x? l? s? c? là c?n thi?t, b?n có th? ph?i t?o m?t yêu c?u d?ch v? riêng bi?t. Các chi phí h? tr? thông thư?ng s? áp d?ng đ? h? tr? thêm câu h?i và v?n đ? này không đ? đi?u ki?n cho hotfix này c? th?. Đ?i v?i m?t danh sách đ?y đ? c?a Microsoft d?ch v? khách hàng và h? tr? s? đi?n tho?i ho?c đ? t?o ra m?t yêu c?u d?ch v? riêng bi?t, ghé thăm Web site sau c?a Microsoft:
http://support.microsoft.com/contactus/?ws=support
Chú ý Các h?nh th?c "Hotfix download available" hi?n th? các ngôn ng? mà các hotfix có s?n. Nếu bạn không thấy ngôn ngữ của mình thì đó là do hotfix này hiện không có ngôn ngữ đó.Phiên b?n ti?ng Anh c?a hotfix này có các thu?c tính t?p (ho?c sau này t?p tin thu?c tính) mà đư?c li?t kê trong b?ng sau. Ngày tháng và th?i gian cho nh?ng t?p tin đư?c li?t kê trong gi? ph?i h?p qu?c t? (UTC). Khi b?n xem chi tieát taäp tin, nó đư?c chuy?n đ?i thành gi? c?c b?. Đ? bi?t s? khác nhau gi?a UTC và local time, s? d?ng các Múi gi? tab trong m?c ngày và gi? trong Pa-nen đi?u khi?n.

Kh?i đ?ng l?i yêu c?u

Bạn phải khởi động lại máy tính sau khi áp dụng bản sửa lỗi khẩn cấp này.

Thông tin thay thế bản vá nóng

Hotfix này không thay th? b?t k? hotfix nào khác.

Thông tin v? t?p

Windows Server 2003, phiên bản 32-bit
Windows Server 2003, phiên b?n 64-bit
Sau khi b?n cài đ?t các hotfix trong Windows 2000 và trong Windows Server 2003, b?n có th? đ?t toàn r?ng dsHeuristic lá c? đ? ki?m soát mà các nhóm nhà đi?u hành b?o v? b?i adminSDHolder. B?ng cách s? d?ng tùy ch?n m?i này, b?n có th? đ?t m?t s? ho?c t?t c? các s? b?n b?o v? nhóm quay l?i hành vi Windows 2000 ban đ?u. K? t? v? trí 16 là ông như m?t giá tr? h? th?p l?c phân, nơi mà các nhân v?t c?n l?i h?u h?t là v? trí 1. V? v?y, các giá tr? ch? h?p l? là "0" thông qua "f". M?i nhóm đi?u hành có m?t chút c? th? như sau:
  • Bit 0: Tài kho?n qu?c gia s? d?ng
  • Chút 1: Nhà đi?u hành máy ch?
  • Chút 2: Các nư?c s? d?ng Print
  • Chút 3: Sao lưu các nhà khai thác
Ví d?, là m?t giá tr? c?a 0001 có ngh?a là lo?i tr? các nhà khai thác tài kho?n. Một giá tr? c?a 'c' s? lo?i tr? in qu?c gia s? d?ng (0100) và sao lưu Các nư?c s? d?ng (1000) v? th? đôi t?ng 1100 ph?n ánh hexadecimal giá tr? c?a 0xC.

Đ? cho phép các ch?c năng m?i, b?n ph?i S?a đ?i m?t đ?i tư?ng trong container c?u h?nh. Thi?t l?p này là r?ng r?ng. Đ? s?a đ?i các đ?i tư?ng, h?y làm theo các bư?c sau:
  1. Xác đ?nh v? trí các đ?i tư?ng mà b?n mu?n s?a đ?i.Để biết thêm thông tin về cách thực hiện việc này, bấm số bài viết sau đây để xem bài viết trong Cơ sở Kiến thức Microsoft:
    326690Chưa xác đ?nh ngư?i LDAP ho?t đ?ng đ? Active Directory đang vô hi?u hóa trên Windows Server 2003 tên mi?n b? đi?u khi?n
  2. T?i d?u nh?c l?nh, g? LDP.exevà sau đó nh?n ENTER đ? b?t đ?u các ti?n ích LDP.
  3. Nh?p vào K?t n?i, b?mk?t n?i sau đó b?m Ok.
  4. Nh?p vào K?t n?i, b?mRàng bu?c, g? tên ngư?i dùng và m?t kh?u c?a m?t r?ng g?c ngư?i qu?n tr?, và sau đó nh?p vào Ok.
  5. Nh?p vào Xem, b?m Cây, sau đó b?m Ok.
  6. S? d?ng View\Tree, m? các c?u h?nh sau CN:
    CN = d?ch v? thư m?c, CN = Windows NT, CN = d?ch v?, CN = Configuration, DC =Tên mi?n g?c Forest
  7. Xác đ?nh v? trí các đ?i tư?ng d?ch v? thư m?c, và sau đó Nh?p đúp vào nó.
  8. Ki?m tra các thu?c tính đ?i tư?ng li?t kê bên ph?i đ? xác đ?nh xem các dsHeuristics thu?c tính đ? đư?c thi?t l?p. N?u nó đư?c thi?t l?p, sao chép giá tr? hi?n t?i vào b?ng t?m.
  9. Nh?p chu?t ph?i vào các D?ch v? thư m?c các đ?i tư?ng trên bên trái, và sau đó nh?p vào S?a đ?i.
  10. Tên thu?c tính, g?dsHeuristics.
  11. Như m?t giá tr?, lo?i 000000000100000f. Thay th? chi?c Zero trong ph?n đ?u c?a các giá tr? v?i nh?ng g? b?n có th? đ? có t?i dsHeuristics. H?y ch?c ch?n r?ng b?n có tính chính xác c?a ch? s? to "f" hay b?t c? đi?u g? bit b?n mu?n thi?t l?p.

    Chú ý Đ? xác minh r?ng các nhân v?t chính xác đang đư?c l?n, m?i nhân v?t th? mư?i ph?i đư?c thi?t l?p đ? s? k? t? sang chia c?a mư?i. Ví d?, các nhân v?t th? mư?i ph?i là 1, hai mươi nhân v?t ph?i là 2, nhân v?t thirtieth ph?i là 3, vv.
  12. N?u các thu?c tính đ? t?n t?i, h?y nh?p vàoThay th? trong các Ho?t đ?ng h?p. N?u không, Nh?p vào Thêm.
  13. Nh?n ENTER bên ph?i vào nhóm ho?t đ?ng thêm nó đ? giao d?ch LDAP.
  14. Nh?p vào Ch?y áp d?ng thay đ?i cho các đ?i tư?ng. Sau khi thay đ?i này đư?c nhân r?ng đ? emulators PDC trong r?ng, các nh?ng ngư?i đang ch?y hotfix này s? không b?o v? ngư?i dùng thành viên c?a nhóm các nhà khai thác b?n đ? thi?t l?p các bit cho.

CÁCH GI?I QUY?T KHÁC

Đ? làm vi?c xung quanh v?n đ? này, s? d?ng m?t trong các cách sau phương pháp.

Phương pháp 1: H?y ch?c ch?n r?ng các thành viên là không là thành viên c?a m?t nhóm đư?c b?o v?

N?u b?n s? d?ng đi?u kho?n đang đư?c ?y quy?n t?i các t? ch?c đơn v? m?c, m?c, h?y đ?m b?o r?ng t?t c? ngư?i s? d?ng yêu c?u ?y quy?n không ph?i thành viên c?a m?t trong nh?ng nhóm đư?c b?o v?. Đ?i v?i ngư?i s? d?ng trư?c đây các thành viên c?a m?t nhóm đư?c b?o v?, c? th?a k? không t? đ?ng đ?t l?i khi ngư?i dùng đư?c l?y ra t? m?t nhóm đư?c b?o v?. Đ? th?c hi?n vi?c này, b?n có th? s? d?ng các k?ch b?n sau đây.

Chú ý K?ch b?n này s? ki?m tra th?a k? c? cho t?t c? ngư?i dùng có AdminCount đư?c thi?t l?p đ? 1. N?u th?a k? vô hi?u hoá (SE_DACL_PROTECTED đư?c thi?t l?p), các k?ch b?n s? cho phép k? th?a. N?u k? th?a đ? đư?c kích ho?t, th?a k? s? v?n đư?c kích ho?t. Thêm vào đó, AdminCount s? đư?c đ?t l?i v? 0. Khi các ch? đ? adminSDHolder ch?y m?t l?n n?a, nó s? vô hi?u hóa di s?n th?a k? và thi?t l?p AdminCount-1 cho t?t c? ngư?i s? d?ng v?n c?n trong các nhóm đư?c b?o v?. V? v?y, AdminCount và th?a k? đư?c thi?t l?p m?t cách chính xác cho t?t c? ngư?i s? d?ng không c?n các thành viên c?a các nhóm đư?c b?o v?.

Quan tr?ng: N?u b?n đang ch?y k?ch b?n này t? m?t h? th?ng đang ch?y Windows Vista và ? trênVui l?ng m? m?t d?u nh?c cmd v?i gi?y phép hành chính và sau đó ch?y k?ch b?n này.

S? d?ng l?nh sau đây đ? ch?y các k?ch b?n:
cscript /nologo resetaccountsadminsdholder.vbs

Microsoft cung c?p l?p tr?nh ví d? đ? minh ho? ch?, không có b?o hành ho?c là th? hi?n hay ng? ?. Đi?u này bao g?m, nhưng không gi?i h?n, các ng? ? b?o hành v? kh? năng bán hàng ho?c cho m?t m?c đích c? th?. Bài vi?t này gi? đ?nh r?ng b?n đ? quen thu?c v?i ngôn ng? l?p tr?nh đang ch?ng t? và v?i các công c? đư?c s? d?ng đ? t?o ra và g? l?i th? t?c. Microsoft h? tr? các k? sư có th? giúp gi?i thích các ch?c năng c?a m?t th? t?c c? th?, nhưng h? s? không s?a đ?i nh?ng ví d? đ? cung c?p thêm ch?c năng ho?c xây d?ng quy tr?nh đ? đáp ?ng các yêu c?u c? th? c?a b?n.
'********************************************************************
'*
'* File:           ResetAccountsadminSDHolder.vbs 
'* Created:        November 2003
'* Version:        1.0
'*
'*  Main Function:  Resets all accounts that have adminCount = 1 back
'*	to 0 and enables the inheritance flag
'*
'*  ResetAccountsadminSDHolder.vbs 
'*
'* Copyright (C) 2003 Microsoft Corporation
'*
'********************************************************************

Const SE_DACL_PROTECTED = 4096

On Error Resume Next

Dim sDomain
Dim sADsPath
Dim sPDC


Dim oCon 
Dim oCmd
Dim oRst
Set oRst = CreateObject("ADODB.Recordset")
Set oCmd = CreateObject("ADODB.Command")
Set oCon = CreateObject("ADODB.Connection")

Dim oRoot
Dim oDomain
Dim oADInfo
Dim oInfo
Set oADInfo = CreateObject("ADSystemInfo")
Set oInfo = CreateObject("WinNTSystemInfo")
sPDC = oInfo.PDC & "." & oADInfo.DomainDNSName

oCon.Provider = "ADSDSOObject"
oCon.Open "Active Directory Provider"

oCmd.ActiveConnection = oCon

Set oRoot = GetObject("LDAP://rootDSE")
sDomain = oRoot.Get("defaultNamingContext")
Set oDomain = GetObject("LDAP://" & sDomain)
sADsPath = "<" & oDomain.ADsPath & ">"

oCmd.CommandText = "SELECT ADsPath FROM 'LDAP://" & sPDC & "/" & sDomain & "' WHERE objectCategory='person' and objectClass = 'user' AND adminCount = 1"
Set oRst = oCmd.Execute

WScript.Echo "searching for objects with 'admin count = 1' in " & sDomain

If oRst.RecordCount = 0 Then
    WScript.Echo "no accounts found"
    WScript.Quit
End If

Do While Not oRst.EOF
    WScript.Echo  "found object " & oRst.Fields("ADsPath")
    If SetInheritanceFlag(oRst.Fields("ADsPath")) = 0 Then WScript.Echo "Inheritance flag set"
    If SetAdminCount(oRst.Fields("ADsPath"), 0) = 0 Then WScript.Echo "adminCount set to 0"
    WScript.Echo  "=========================================="
    oRst.MoveNext
Loop


Private Function SetInheritanceFlag(DSObjectPath)

    Dim oSD
    Dim oDACL
    Dim lFlag
    Dim oIADs

    Set oIADs = GetObject(DSObjectPath)

    Set oSD = oIADs.Get("nTSecurityDescriptor")

    If oSD.Control And SE_DACL_PROTECTED Then
        oSD.Control = oSD.Control - SE_DACL_PROTECTED
    End If

    oIADs.Put "nTSecurityDescriptor", oSD
    oIADs.SetInfo
    
    If Err.Number <> 0 Then
        SetInheritanceFlag = Err.Number
    Else
        SetInheritanceFlag = 0
    End If

End Function


Private Function SetAdminCount(DSObjectPath, AdminCount)

    Dim oIADs
    Dim iAdminCount

    Set oIADs = GetObject(DSObjectPath)

    iAdminCount = oIADs.Get("adminCount")

    If iAdminCount = 1 Then iAdminCount = 0

    oIADs.Put "adminCount", iAdminCount
    oIADs.SetInfo
    If Err.Number <> 0 Then
        SetAdminCount = Err.Number
    Else
        SetAdminCount = 0
    End If
    
End Function
Đ? đ?m b?o r?ng b?n không ?nh hư?ng b?t l?i đ?n ngư?i s? d?ng, chúng tôi đ? ngh? r?ng b?n l?n đ?u tiên đ? nh?ng ngư?i có AdminCount đ?t 1 b?ng cách s? d?ng Ldifde.exe s? d?ng. Đ? th?c hi?n vi?c này, g? l?nh sau t?i d?u nh?c l?nh, và sau đó b?m phím NH?P:
ldifde -f Admincount-1.txt - d dc =c?a b?n tên mi?n -r "(& (objectcategory=person)(objectclass=user)(admincount=1))"
Xem l?i các t?p tin đ?u ra đ? xác nh?n r?ng t?t c? ngư?i dùng nh?ng ngư?i s? có DACL b?o v? chút d?n s?ch s? có đúng c?p phép đư?c th?a k? truy c?p ki?m soát m?c (ACEs) ch?. Phương pháp này đư?c ưa thích và không làm suy y?u an ninh hi?n có.

Cách 2: Kích ho?t tính năng th?a k? trên adminSDHolder container

N?u b?n b?t th?a k? trên các thùng ch?a adminSDHolder, t?t c? các các thành viên c?a các nhóm đư?c b?o v? đ? th?a hư?ng quy?n đư?c kích ho?t. Trong đi?u ki?n c?a ch?c năng b?o m?t, phương pháp này reverts hành vi c?a adminSDHolder kho ch?a quay l?i ch?c năng Pack 4 pre-Service.

T?o đi?u ki?n cho th?a k? trên adminSDHolder container

N?u b?n b?t th?a k? trên các thùng ch?a adminSDHolder, m?t trong truy c?p b?o v? hai cơ ch? danh sách (ACL) đi?u khi?n b? vô hi?u hóa. Các c?p phép m?c đ?nh đư?c áp d?ng. Tuy nhiên, t?t c? thành viên c?a b?o v? các nhóm th?a hư?ng quy?n t? các đơn v? t? ch?c và b?t k? ph? huynh t? ch?c đơn v? n?u th?a k? đư?c kích ho?t c?p đơn v? t? ch?c.

Đ? cung c?p b?o v? di s?n th?a k? cho ngư?i dùng hành chính, di chuy?n t?t c? ngư?i dùng hành chính (và nh?ng ngư?i dùng khác ngư?i yêu c?u b?o v? di s?n th?a k?) đ? đơn v? t? ch?c riêng c?a h?. ? m?c đ? đơn v? t? ch?c, lo?i b? th?a k? và sau đó thi?t l?p cho phép đ? phù h?p v?i hi?n t?i ACLs trên các adminSDHolder container. B?i v? các c?p phép trên các thùng ch?a adminSDHolder có th? khác nhau (ví d?, Microsoft Exchange Server cho bi?t thêm m?t s? quy?n ho?c các c?p phép có th? đ? b? thay đ?i), xem xét m?t thành viên c?a m?t nhóm đư?c b?o v? cho c?p phép hi?n t?i trên các thùng ch?a adminSDHolder. Lưu ? r?ng ngư?i s? d?ng giao di?n (giao di?n ngư?i dùng) không hi?n th? t?t c? các c?p phép trên các thùng ch?a adminSDHolder. S? d?ng DSacls đ? xem t?t c? đi?u kho?n trên các thùng ch?a adminSDHolder.

B?n có th? b?t th?a k? trên adminSDHolder container b?ng cách s? d?ng ADSI ch?nh s?a ho?c Ngư?i dùng thư m?c ho?t đ?ng và máy tính. Đư?ng d?n c?a adminSDHolder container là CN = adminSDHolder, CN = h? th?ng, DC =<mydomain>, DC =<com><b00> </b00></com> </mydomain>

Chú ý N?u b?n s? d?ng ho?t đ?ng thư m?c ngư?i dùng và máy tính, h?y đ?m b?o r?ng Tính năng nâng cao đư?c ch?n vào các Xemtr?nh đơn.

Đ? b?t th?a k? trên adminSDHolder container:
  1. Nh?p chu?t ph?i vào container và b?mThu?c tính.
  2. B?m vào các Bảo mật tab.
  3. Nh?p vào Nâng cao.
  4. Nh?n vào đây đ? ch?n các Cho phép các c?p phép có th? th?a k? đ? truy?n cho đ?i tư?ng này và t?t c? các đ?i tư?ng con h?p ki?m .
  5. Nh?p vào Ok, sau đó b?mĐóng.
Sau khi các ch? đ? SDProp ch?y, c? th?a k? là đ?t trên t?t c? các thành viên c?a các nhóm đư?c b?o v?. Th? t?c này có th? m?t đ?n 60 phút. Cho phép đ? th?i gian cho s? thay đ?i này đ? nhân r?ng t? ti?u h?c Domain controller (PDC).

Phương pháp 3: Tránh k? th?a và ch? thay đ?i ACLs

N?u b?n không mu?n ngư?i s? d?ng là thành viên c?a các nhóm b?o v? đ? th?a hư?ng quy?n t? các thùng ch?a ngư?i dùng cư trú t?i, và b?n ch? mu?n thay đ?i an ninh trên các đ?i tư?ng ngư?i s? d?ng, b?n có th? ch?nh s?a b?o m?t trên thư m?c ch?a adminSDHolder. Trong trư?ng h?p này, b?n không c?n ph?i Kích ho?t tính năng th?a k? trên các thùng ch?a adminSDHolder. B?n ch? có th? thêm r?ng nhóm ho?c ch?nh s?a b?o m?t c?a các nhóm b?o m?t đ? đư?c đ?nh ngh?a trên các thùng ch?a adminSDHolder. Sau m?t gi?, các ch? đ? SDProp s? áp d?ng các thay đ?i đư?c th?c hi?n cho ACLs container adminSDHolder cho t?t c? các thành viên c?a các nhóm đư?c b?o v?. Các thành viên s? không k? th?a s? b?o m?t c?a container chúng n?m trong.

Ví d?, t? đ?i h?i tài kho?n các Cho phép đ? đ?c t?t c? các thu?c tính bên ph?i. Ch?nh s?a các thi?t đ?t b?o m?t adminSDHolder thùng ch?a đ? cho phép đi?u này đúng v? t? tài kho?n. Sau m?t gi?, quy?n này s? đư?c phép t? tài kho?n cho t?t c? ngư?i dùng thành viên c?a các nhóm đư?c b?o v?. Qu?c k? th?a k? không thay đ?i.

Ví d? sau ch?ng t? làm th? nào đ? áp d?ng thay đ?i lên các adminSDHolder đ?i tư?ng. Ví d? này cho phép các quy?n sau đây trên các adminSDHolder đ?i tư?ng:
  • Danh sách n?i dung
  • Đ?c t?t c? các thu?c tính
  • Vi?t t?t c? tài s?n
Đ? c?p các quy?n truy c?p vào các adminSDHolder đ?i tư?ng, h?y làm theo các bư?c sau:
  1. Trong ho?t đ?ng thư m?c ngư?i dùng và máy tính, b?mTính năng nâng cao trên các Xemtr?nh đơn.
  2. Xác đ?nh v? trí các adminSDHolder đ?i tư?ng. Các đ?i tư?ng là ? v? trí sau cho m?i tên mi?n Active Directory r?ng:CN = adminSDHolder, CN = h? th?ng,DC = tên mi?n, DC = com ? đâyDC = tên mi?n, DC = com là tên phân bi?t c?a các tên mi?n.
  3. Nh?p chu?t ph?i adminSDHolder, sau đó b?mThu?c tính.
  4. Trong các Thu?c tính h?p tho?i h?p, b?m vào cácBảo mật tab và sau đó nh?p vào Nâng cao.
  5. Trong các Thi?t đ?t đi?u khi?n truy c?p adminSDHolder h?p tho?i h?p, b?m vào Thêm trên cácCấp phép tab.
  6. Trong các Ch?n ngư?i dùng, máy tính, hay nhómh?p tho?i h?p, b?m vào tài kho?n mà b?n mu?n đ? c?p quy?n truy c?p liên quan, sau đó b?m Ok.
  7. Trong các M?c nh?p c?p phép cho adminSDHolderh?p tho?i h?p, b?m vào Đ?i tư?ng này ch? trong các Áp d?ng lên h?p, và sau đó nh?p vào Danh sách n?i dung, Đọc T?t c? thu?c tính, và Ghi thu?c tính t?t c? các quy?n.
  8. Nh?p vào Ok đ? đóng nh?ng Cấp phép M?c nh?p cho adminSDHolder h?p tho?i, các Kiểm soát Truy nhập Thi?t đ?t cho adminSDHolder h?p tho?i, và các adminSDHolder Thu?c tính h?p tho?i.
Trong v?ng m?t gi?, ACL s? đư?c C?p Nh?t trên các đ?i tư?ng ngư?i dùng liên k?t v?i các nhóm đư?c b?o v? đ? ph?n ánh nh?ng thay đ?i.Đ? bi?t thêm chi ti?t, nh?p vào s? bài vi?t sau đ? xem các bài vi?t trong cơ s? ki?n th?c Microsoft:
232199Mô t? và b?n C?p Nh?t c?a đ?i tư?ng adminSDHolder Active Directory
318180 AdminSDHolder ch? đ? ?nh hư?ng đ?n transitive thành viên c?a nhóm phân ph?i

T?NH TR?NG

Microsoft đ? xác nh?n r?ng đây là m?t v?n đ? trong các s?n ph?m c?a Microsoft đư?c li?t kê trong ph?n "Áp d?ng cho". V?n đ? này l?n đ?u tiên đ? đư?c s?a ch?a trong Windows Server 2003 Service Pack 1.

THÔNG TIN THÊM

Thư m?c ho?t đ?ng s? d?ng m?t cơ ch? b?o v? đ? b?o đ?m r?ng ACLs đư?c thi?t l?p m?t cách chính xác cho các thành viên c?a các nhóm nh?y c?m. Cơ ch? ch?y m?t th?i gian m?t gi? trên PDC ho?t đ?ng master. So sánh t?ng th? c?a ho?t đ?ng kinh doanh b?o v? ACL vào trương m?c ngư?i dùng là thành viên c?a các nhóm ch?ng l?i các ACL vào các đ?i tư?ng sau:
CN = adminSDHolder, CN = h? th?ng, DC =<mydomain></mydomain>DC =<com></com>

Chú ý"DC =<mydomain></mydomain>DC =<com></com>" đ?i di?n cho tên phân bi?t (DN) tên mi?n c?a b?n.

N?u ACL là khác nhau, ACL trên đ?i tư?ng ngư?i dùng đư?c ghi đè đ? ph?n ánh s? b?o m?t thi?t đ?t c?a đ?i tư?ng adminSDHolder (và th?a k? ACL b? vô hi?u hóa). Đi?u này quá tr?nh b?o v? các tài kho?n này kh?i b? s?a đ?i b?i ngư?i s? d?ng trái phép n?u các tài kho?n đư?c chuy?n đ?n m?t thùng ho?c đơn v? t? ch?c trong trư?ng h?p m?t đ?c h?i ngư?i s? d?ng đ? là c? hành chính ?y nhi?m đ? s?a đ?i các tài kho?n ngư?i dùng. Lưu ? r?ng khi m?t ngư?i dùng đư?c l?y ra t? các nhóm hành chính, ti?n tr?nh không đ?o ngư?c và ph?i đư?c thay đ?i b?ng tay.

Chú ý Đ? ki?m soát t?n s? mà đ?i tư?ng adminSDHolder các b?n c?p nh?t b?o m?t tr?nh mô t?, t?o ho?c s?a đ?i AdminSDProtectFrequency m?c trong registry subkey sau đây:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Khi các m?c nh?p registry AdminSDProtectFrequency là không có, đ?i tư?ng adminSDHolder các b?n c?p nh?t b?o m?t tr?nh mô t? m?i 60 phút (3600 giây). B?n có th? s? d?ng này nh?p registry đ? Cài t?n s? này đ?n m?c nào kho?ng 1 phút (60 giây) đ?n 2 gi? (7200 giây) b?ng cách nh?p giá tr? trong vài giây. Tuy nhiên, chúng tôi không khuyên b?n s?a đ?i các giá tr? này ngo?i tr? gi?i thi?u tóm t?t giai đo?n th? nghi?m. Vi?c s?a đ?i giá tr? này có th? tăng LSASS ch? bi?n trên cao.

Danh sách sau đây mô t? các nhóm đư?c b?o v? trong Windows 2000:
  • Qu?n tr? viên doanh nghi?p
  • Qu?n tr? viên lư?c đ?
  • Qu?n tr? viên tên mi?n
  • Quản trị viên

Danh sách sau đây mô t? các nhóm đư?c b?o v? trong Windows Server 2003 và Windows 2000 sau khi b?n áp d?ng 327825 hotfix ho?c b?n cài đ?t Windows 2000 Service Pack 4:
  • Quản trị viên
  • Các nư?c s? d?ng tài kho?n
  • Nhà đi?u hành máy ch?
  • In các nư?c s? d?ng
  • Các nư?c s? d?ng sao lưu
  • Qu?n tr? viên tên mi?n
  • Qu?n tr? viên lư?c đ?
  • Qu?n tr? viên doanh nghi?p
  • Các nhà xu?t b?n CERT
Ngoài ra nh?ng ngư?i s? d?ng sau đây c?ng đư?c coi là đư?c b?o v?:
  • Ngư?i qu?n tr?
  • Krbtgt
H?y nh?n bi?t r?ng thành viên trong nhóm phân ph?i không cư m?t ngư?i s? d?ng m? thông báo. V? v?y, b?n không th? s? d?ng các công c? như "whoami" đ? thành công xác đ?nh thành viên nhóm.

Đ? bi?t thêm thông tin v? giao hành chính, t?i v? các Th?c ti?n t?t nh?t cho ?y thác qu?n l? thư m?c đang ho?t đ?ng gi?y tr?ng. Đ? th?c hi?n vi?c này, ghé thăm Web site sau c?a Microsoft:
http://www.Microsoft.com/downloads/details.aspx?FamilyID=631747a3-79e1-48fa-9730-dae7c0a1d6d3&displaylang=en

Thu?c tính

ID c?a bài: 817433 - L?n xem xét sau cùng: 28 Tháng Tám 2011 - Xem xét l?i: 2.0
Áp d?ng
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
T? khóa: 
kbautohotfix kbwinserv2003sp1fix atdownload kbhotfixserver kbqfe kbmt KB817433 KbMtvi
Máy d?ch
QUAN TRỌNG: Bài vi?t này đư?c d?ch b?ng ph?n m?m d?ch máy c?a Microsoft ch? không ph?i do con ngư?i d?ch. Microsoft cung c?p các bài vi?t do con ngư?i d?ch và c? các bài vi?t do máy d?ch đ? b?n có th? truy c?p vào t?t c? các bài vi?t trong Cơ s? Ki?n th?c c?a chúng tôi b?ng ngôn ng? c?a b?n. Tuy nhiên, bài vi?t do máy d?ch không ph?i lúc nào c?ng hoàn h?o. Lo?i bài vi?t này có th? ch?a các sai sót v? t? v?ng, cú pháp ho?c ng? pháp, gi?ng như m?t ngư?i nư?c ngoài có th? m?c sai sót khi nói ngôn ng? c?a b?n. Microsoft không ch?u trách nhi?m v? b?t k? s? thi?u chính xác, sai sót ho?c thi?t h?i nào do vi?c d?ch sai n?i dung ho?c do ho?t đ?ng s? d?ng c?a khách hàng gây ra. Microsoft c?ng thư?ng xuyên c?p nh?t ph?n m?m d?ch máy này.
Nh?p chu?t vào đây đ? xem b?n ti?ng Anh c?a bài vi?t này:817433

Cung cấp Phản hồi

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com