أنت غير متصل حاليًا، وفي انتظار الإنترنت الخاص بك ليقوم بإعادة الاتصال

لا تتوفر الأذونات المفوّضة وتعطيل التوارث تلقائيًا

انتهي دعم Windows Server 2003 في 14 يوليو 2015!

أنهت شركة Microsoft دعم نظام التشغيل Windows Server 2003 في 14 يوليو 2015. لقد أثر هذا التغيير على تحديثات البرامج لديك وخيارات الأمان الخاصة بك. تعرف على ما يعنيه ذلك فيما يتعلق بك وكيفية الحفاظ على حمايتك.

هام: تمت ترجمة هذا المقال باستخدام برنامج ترجمة آلية لشركة مايكروسوفت بدلاً من الاستعانة بمترجم بشري. تقدم شركة مايكروسوفت كلاً من المقالات المترجمة بواسطة المترجمين البشر والمقالات المترجمة آليًا وبالتالي ستتمكن من الوصول إلى كل المقالات الموجودة في قاعدة المعرفة الخاصة بنا وباللغة الخاصة بك. بالرغم من ذلك، فإن المقالة المترجمة آليًا لا تكون دقيقة دائمًا وقد تحتوي على أخطاء إملائية أو لغوية أو نحوية، مثل تلك الأخطاء الصادرة عن متحدث أجنبي عندما يتحدث بلغتك. لا تتحمل شركة مايكروسوفت مسئولية عدم الدقة أو الأخطاء أو الضرر الناتج عن أية أخطاء في ترجمة المحتوى أو استخدامه من قبل عملائنا. تعمل شركة مايكروسوفت باستمرار على ترقية برنامج الترجمة الآلية

اضغط هنا لرابط المقالة باللغة الانجليزية817433
الأعراض
بعد الترقية إلى نظام التشغيل Windows Server 2003 قد تواجه الأعراض التالية:
  • لا تتوفر الأذونات المفوّضة لكافة المستخدمين في وحدة تنظيمية.
  • يتم تلقائياً تعطيل التوريث على بعض حسابات المستخدمين مرة واحدة تقريباً ساعة
  • يكون لدى المستخدمين الذين قد تفويض مسبقاً أذونات لم يعد لها.
قد تحدث هذه المشكلة أيضًا بعد تطبيق الإصلاح العاجل الموضح في مقالة "قاعدة المعارف لـ Microsoft" 327825 إلى نظام التشغيل Microsoft Windows 2000 Server أو بعد تثبيت Windows 2000 Service Pack 4 إلى نظام التشغيل Microsoft Windows 2000 Server.لمزيد من المعلومات حول الإصلاح العاجل Windows 2000 327825 انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft:
327825الدقة الجديدة وجود مشاكل مع مصادقة Kerberos عندما تنتمي المستخدمين إلى مجموعات كثيرة
السبب
عندما تقوم بتفويض الأذونات باستخدام معالج "تفويض التحكم" تعتمد هذه الأذونات على كائن المستخدم الذي يرث الأذونات من الحاوية الأصل. أعضاء في مجموعات المحمية لا ترث أذونات من الحاوية الأصل. لذلك، إذا قمت بتعيين الأذونات باستخدام معالج تفويض التحكم "، لا يتم تطبيق هذه الأذونات لأعضاء من مجموعات محمية.

ملاحظة يتم تعريف العضوية في مجموعة محمية عضوية المباشر أو عضوية متعدية باستخدام مجموعات الأمان أو التوزيع أو أكثر. يتم تضمين مجموعات التوزيع لأنه يمكن تحويلها إلى مجموعات الأمان.

في Windows Server 2003 عدد المجموعات المحمية قام تم بزيادة لتحسين الأمان في "Active Directory" (راجع قسم "مزيد من المعلومات"). زيادة عدد المجموعات المحمية أيضاً إذا قمت بتطبيق الإصلاح العاجل 327825 على Windows 2000.
الحل
لحل هذه المشكلة، يمكن تثبيت إصلاح عاجل. يجب تثبيت الإصلاح العاجل على وحدة التحكم بالمجال التي تتضمن في المجال الأساسية (PDC) دور المحاكي الأساسي لوحدة التحكم العمليات الرئيسية في كل مجال. بالإضافة إلى ذلك، يجب تثبيت الإصلاح الجديد على كافة وحدات تحكم المجال التي قد تستخدمها الاستيلاء هذا الدور الحالي PDC محاكي عمليات الدور الرئيسي الحامل يصبح غير متوفر. إذا لم تكن متأكداً من وحدة تحكم المجال استخدام تأخذ على الدور نوصي يجب تثبيت الإصلاح الجديد على كافة وحدات تحكم المجال. إذا كان يفترض وحدة تحكم مجال بدون الإصلاح العاجل دور التحكم الرئيسي بالعمليات محاكي PDC ، سيتم إعادة تعيين أذونات المستخدم مرة أخرى.

معلومات الإصلاح العاجل لنظام التشغيل Windows 2000

يتوفر إصلاح عاجل معتمد من Microsoft. ولكن الغرض منه هو حل المشكلة الموضحة في هذه المقالة. تطبيق هذا الإصلاح العاجل فقط على الأنظمة التي تواجه هذه المشكلة بالتحديد.

في حالة تحميل الإصلاح العاجل يوجد قسم "توفر تنزيل الإصلاح عاجل" أعلى مقالة قاعدة المعارف رقم هذا. إذا لم يظهر هذا المقطع إرسال طلب إلى Microsoft خدمة العملاء والدعم للحصول على الإصلاح العاجل.

ملاحظة تحدث مشكلات إضافية أو في أي حالة الحاجة إلى استكشاف الأخطاء وإصلاحها قد يلزم الأمر إنشاء طلب خدمة منفصل. سيتم تطبيق تكاليف الدعم المعتادة على أسئلة الدعم الإضافية والمشكلات التي لا يعمل على حلها هذا الإصلاح العاجل بالتحديد. للحصول قائمة كاملة بأرقام هواتف Microsoft خدمة العملاء والدعم الخاصة بشركة أو لإنشاء طلب خدمة منفصل قم بزيارة موقع Microsoft التالي على الويب: ملاحظة يعرض نموذج "توفر تنزيل الإصلاح العاجل" اللغات التي يتوفر الإصلاح الجديد. إذا لم تشاهد اللغة الخاصة بك، يكون ذلك بسبب لا يتوفر إصلاح عاجل لتلك اللغة.

متطلب إعادة تشغيل

يجب إعادة تشغيل الكمبيوتر بعد تطبيق هذا الإصلاح العاجل.

معلومات استبدال الإصلاح العاجل

لا يحل هذا الإصلاح العاجل محل أية إصلاحات جديدة أخرى.

معلومات الملف

يحتوي إصدار اللغة الإنجليزية من هذا الإصلاح العاجل سمات الملف (أو أحدث منها) المسردة في الجدول التالي. يتم سرد التواريخ والأوقات الخاصة بهذه الملفات في "حسب التوقيت العالمي" (UTC). عندما تقوم بعرض معلومات الملف، يتم تحويلها إلى التوقيت المحلي. لمعرفة الفرق بين التوقيت العالمي (UTC) والتوقيت المحلي، استخدم علامة التبويب المنطقة الزمنية في عنصر التاريخ والوقت في "لوحة التحكم".
   Date         Time   Version             Size  File name   ----------------------------------------------------------   24-Mar-2004  02:17  5.0.2195.6876    388,368  Advapi32.dll        24-Mar-2004  02:17  5.0.2195.6866     69,904  Browser.dll         24-Mar-2004  02:17  5.0.2195.6824    134,928  Dnsapi.dll          24-Mar-2004  02:17  5.0.2195.6876     92,432  Dnsrslvr.dll        24-Mar-2004  02:17  5.0.2195.6883     47,888  Eventlog.dll        24-Mar-2004  02:17  5.0.2195.6890    143,632  Kdcsvc.dll          11-Mar-2004  02:37  5.0.2195.6903    210,192  Kerberos.dll        21-Sep-2003  00:32  5.0.2195.6824     71,888  Ksecdd.sys   11-Mar-2004  02:37  5.0.2195.6902    520,976  Lsasrv.dll          25-Feb-2004  23:59  5.0.2195.6902     33,552  Lsass.exe           19-Jun-2003  20:05  5.0.2195.6680    117,520  Msv1_0.dll          24-Mar-2004  02:17  5.0.2195.6897    312,592  Netapi32.dll        19-Jun-2003  20:05  5.0.2195.6695    371,984  Netlogon.dll        10-Aug-2004  00:17  5.0.2195.6966    933,648  Ntdsa.dll           24-Mar-2004  02:17  5.0.2195.6897    388,368  Samsrv.dll          24-Mar-2004  02:17  5.0.2195.6893    111,376  Scecli.dll          24-Mar-2004  02:17  5.0.2195.6903    253,200  Scesrv.dll          04-Jun-2004  23:13  5.0.2195.6935  5,887,488  Sp3res.dll          24-Mar-2004  02:17  5.0.2195.6824     50,960  W32time.dll         21-Sep-2003  00:32  5.0.2195.6824     57,104  W32tm.exe

معلومات حزمة الخدمة Windows Server 2003

لحل هذه المشكلة، يجب الحصول على أحدث حزمة خدمة لنظام التشغيل Windows Server 2003. لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft:
889100كيفية الحصول على أحدث حزمة خدمة لنظام التشغيل Windows Server 2003

معلومات الإصلاح العاجل Windows Server 2003

يتوفر إصلاح عاجل معتمد من Microsoft. ولكن الغرض منه هو حل المشكلة الموضحة في هذه المقالة. تطبيق هذا الإصلاح العاجل فقط على الأنظمة التي تواجه هذه المشكلة بالتحديد. قد يتم إجراء اختبارات إضافية على هذا الإصلاح العاجل. ولذلك، إذا لم يكن تأثير هذه المشكلة كبيرًا، نوصي بالانتظار حتى الإصدار التالي من تحديث البرنامج الذي يحتوي على هذا الإصلاح العاجل.

في حالة تحميل الإصلاح العاجل يوجد قسم "توفر تنزيل الإصلاح عاجل" أعلى مقالة قاعدة المعارف رقم هذا. إذا لم يظهر هذا المقطع اتصل Microsoft خدمة العملاء والدعم للحصول على الإصلاح العاجل.

ملاحظة تحدث مشكلات إضافية أو في أي حالة الحاجة إلى استكشاف الأخطاء وإصلاحها قد يلزم الأمر إنشاء طلب خدمة منفصل. سيتم تطبيق تكاليف الدعم المعتادة على أسئلة الدعم الإضافية والمشكلات التي لا يعمل على حلها هذا الإصلاح العاجل بالتحديد. للحصول قائمة كاملة بأرقام هواتف Microsoft خدمة العملاء والدعم الخاصة بشركة أو لإنشاء طلب خدمة منفصل قم بزيارة موقع Microsoft التالي على الويب: ملاحظة يعرض نموذج "توفر تنزيل الإصلاح العاجل" اللغات التي يتوفر الإصلاح الجديد. إذا لم تشاهد اللغة الخاصة بك، يكون ذلك بسبب لا يتوفر إصلاح عاجل لتلك اللغة.يحتوي إصدار اللغة الإنجليزية من هذا الإصلاح العاجل سمات الملف (أو أحدث منها) المسردة في الجدول التالي. يتم سرد التواريخ والأوقات الخاصة بهذه الملفات في "حسب التوقيت العالمي" (UTC). عندما تقوم بعرض معلومات الملف، يتم تحويلها إلى التوقيت المحلي. لمعرفة الفرق بين التوقيت العالمي (UTC) والتوقيت المحلي، استخدم علامة التبويب المنطقة الزمنية في عنصر التاريخ والوقت في "لوحة التحكم".

متطلب إعادة تشغيل

يجب إعادة تشغيل الكمبيوتر بعد تطبيق هذا الإصلاح العاجل.

معلومات استبدال الإصلاح العاجل

لا يحل هذا الإصلاح العاجل محل أية إصلاحات جديدة أخرى.

معلومات الملف

Windows Server 2003، الإصدارات 32-bit
   Date         Time   Version            Size  File name   --------------------------------------------------------   02-Nov-2004  01:26  5.2.3790.229  1,532,416  Ntdsa.dll   02-Nov-2004  01:26  5.2.3790.212     32,768  Ntdsatq.dll   19-Sep-2004  11:41  5.2.3790.212     59,392  Ws03res.dll
Windows Server 2003, إصدارات ٦٤ بت
   Date         Time   Version            Size  File name     Platform   -------------------------------------------------------------------   02-Nov-2004  01:21  5.2.3790.229  4,057,088  Ntdsa.dll     IA-64   02-Nov-2004  01:21  5.2.3790.212     82,432  Ntdsatq.dll   IA-64   19-Sep-2004  09:43  5.2.3790.212     58,880  Ws03res.dll   IA-64   19-Sep-2004  11:41  5.2.3790.212     59,392  Wws03res.dll    x86
بعد تثبيت الإصلاح العاجل في نظام التشغيل Windows 2000 و Windows Server 2003 يمكنك تعيين علامات مجموعة التفرعات ككل dsHeuristic للتحكم في مجموعات عامل التشغيل التي محمية بواسطة adminSDHolder. باستخدام هذا الخيار جديدة يمكن تعيين بعض أو كافة enlisted أربعة المحمية مجموعات النسخ إلى سلوك Windows 2000 الأصلي. يتم تفسير موضع الحرف 16 على أنها قيمة ست عشرية حيث يكون الحرف أقصى اليمين هو الموضع 1. لذلك، تكون القيم الصالحة فقط "0" إلى "f". يحتوي كل مجموعة عامل التشغيل بت محدد كما يلي:
  • بت 0: عوامل تشغيل الحساب
  • بت 1: Server Operators
  • بت 2: عوامل تشغيل الطباعة
  • بت 3: Backup Operators
على سبيل المثال، قيمة 0001 يعني استبعاد "عوامل تشغيل الحساب". استثناء قيمة 'c' طباعة Operators (0100) "و" Backup Operators (1000) لأن مجموع الثنائية 1100 يعكس قيمة الست عشرية 0xC.

لتمكين الوظيفة الجديدة يجب تعديل كائن في حاوية التكوين. هذا الإعداد هو مجموعة التفرعات واسع. لتعديل الكائن اتبع الخطوات التالية:
  1. تحديد موقع الكائن الذي تريد تعديله. لمزيد من المعلومات حول كيفية القيام بذلك، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft:
    326690تم تعطيل عمليات LDAP مجهول إلى "Active Directory" على وحدات تحكم مجال Windows Server 2003
  2. في موجه الأوامر، اكتب ldp.exe ثم ثم اضغط مفتاح "الإدخال" لتشغيل الأداة المساعدة LDP.
  3. انقر فوق اتصال ، انقر فوق الاتصال ثم انقر فوق موافق.
  4. انقر فوق اتصال انقر فوق ربط اكتب اسم مستخدم وكلمة مرور المسؤول جذر الغابة ثم انقر فوق موافق.
  5. انقر فوق عرض ، انقر فوق شجرة ثم انقر فوق موافق.
  6. باستخدام View\Tree افتح CN التكوين التالي:
    CN = "خدمة الدليل" CN = Windows NT أو CN = خدمات CN = تكوين DC = Forest root domain
  7. تحديد موقع كائن "خدمة الدليل" ومن ثم انقر نقراً مزدوجاً فوقه.
  8. تحقق من سمة الكائن سرد على الجانب الأيسر لتحديد ما إذا كان قد تم تعيين سمة dsHeuristics بالفعل. إذا تم تعيين ، نسخ القيمة الموجودة إلى الحافظة.
  9. انقر بزر الماوس الأيمن فوق كائنات خدمة الدليل على الجانب الأيسر لها ثم انقر فوق تعديل.
  10. اسم السمة اكتب dsHeuristics.
  11. كقيمة ، اكتب 000000000100000f. استبدل ما قد يكون لديك بالفعل في dsHeuristics الأصفار في الجزء الأول من القيمة. تأكد من أن لديك الصحيح عدد الأرقام إلى "f" أو كل ما البت التي تريد تعيين.

    ملاحظة للتحقق من أن يتم تعديل الأحرف الصحيحة كل حرف العاشرة يجب تعيين إلى العدد من الأحرف يصل إلى أن نقطة تقسيم 10. على سبيل المثال، يجب أن يكون الحرف العاشرة 1, يجب أن يكون الحرف العشرين 2, يجب أن يكون الحرف thirtieth 3، وهكذا.
  12. إذا السمة موجود مسبقاً, انقر فوق "استبدال" في المربع العملية. وإلا، انقر فوق إضافة.
  13. اضغط مفتاح "الإدخال" على اليمين إلى المجموعة عملية لإضافته إلى المعاملة LDAP.
  14. انقر فوق "تشغيل" لتطبيق التغيير على الكائن. بعد النسخ المتماثل هذا التغيير إلى مضاهيات PDC في مجموعة التفرعات سوف لا حماية تلك التي تقوم بتشغيل هذا الإصلاح العاجل للمستخدمين الذين هم أعضاء مجموعة عوامل التشغيل بتعيين وحدات البت الخاصة.
الحل البديل
كمحاولة للتغلب على هذه المشكلة استخدم إحدى الطرق التالية.

الطريقة 1: تأكد من الأعضاء غير أعضاء المجموعة المحمية

إذا كنت تستخدم أذونات تفويض على مستوى الوحدة التنظيمية تأكد من أن كافة المستخدمين الذين تتطلب الأذونات المفوّضة ليسوا أعضاء في إحدى مجموعات محمية. بالنسبة للمستخدمين الذين تم مسبقاً إعادة أعضاء المجموعة المحمية إشارة توريث لا تلقائياً تعيين عند إزالة المستخدم من مجموعة محمية. للقيام بذلك، يمكنك استخدام البرنامج النصي التالي.

ملاحظة يتحقق هذا البرنامج النصي علامة الوراثة لكافة المستخدمين الذين AdminCount يتم تعيينه إلى 1. إذا تم تعطيل التوريث (يتم تعيين SE_DACL_PROTECTED) ، سيتم تمكين البرنامج النصي الوراثة. إذا تم تمكين توريث سيبقى الممكّنة الوراثة. بالإضافة إلى ذلك، سيتم إعادة تعيين AdminCount إلى 0. عند تشغيل مؤشر ترابط adminSDHolder مرة أخرى فإنه سيتم تعطيل التوريث وتعيين AdminCount إلى 1 لكافة المستخدمين الذين تبقى في مجموعات محمية. لذلك، AdminCount والتوريث تعيين بشكل صحيح وذلك لكافة المستخدمين الذين يوجد أعضاء أطول من مجموعات محمية.

استخدم الأمر التالي لتشغيل البرنامج النصي:
cscript /nologo resetaccountsadminsdholder.vbs
تقدم Microsoft الأمثلة البرمجية فقط دون أي ضمان التعبير عن أو ضمنية. هذا يتضمن ولكن لم يقتصر على الضمانات الضمنية الخاصة بالتجارة أو الملاءمة لغرض معين. تفترض هذه المقالة تكون مألوفة مع لغة البرمجة التي يتم شرحها مع الأدوات التي يتم استخدامها لإنشاء لتصحيح الإجراءات. يمكن لمهندسي الدعم لدى Microsoft شرح وظيفة إجراء محدد ولكن لن يقوموا بتعديل هذه الأمثلة لتقديم وظيفة إضافية أو إنشاء إجراءات تستوفي متطلبات محددة.
'********************************************************************'*'* File:           ResetAccountsadminSDHolder.vbs '* Created:        November 2003'* Version:        1.0'*'*  Main Function:  Resets all accounts that have adminCount = 1 back'*	to 0 and enables the inheritance flag'*'*  ResetAccountsadminSDHolder.vbs '*'* Copyright (C) 2003 Microsoft Corporation'*'********************************************************************Const SE_DACL_PROTECTED = 4096On Error Resume NextDim sDomainDim sADsPathDim sPDCDim oCon Dim oCmdDim oRstSet oRst = CreateObject("ADODB.Recordset")Set oCmd = CreateObject("ADODB.Command")Set oCon = CreateObject("ADODB.Connection")Dim oRootDim oDomainDim oADInfoDim oInfoSet oADInfo = CreateObject("ADSystemInfo")Set oInfo = CreateObject("WinNTSystemInfo")sPDC = oInfo.PDC & "." & oADInfo.DomainDNSNameoCon.Provider = "ADSDSOObject"oCon.Open "Active Directory Provider"oCmd.ActiveConnection = oConSet oRoot = GetObject("LDAP://rootDSE")sDomain = oRoot.Get("defaultNamingContext")Set oDomain = GetObject("LDAP://" & sDomain)sADsPath = "<" & oDomain.ADsPath & ">"oCmd.CommandText = "SELECT ADsPath FROM 'LDAP://" & sPDC & "/" & sDomain & "' WHERE objectCategory='person' and objectClass = 'user' AND adminCount = 1"Set oRst = oCmd.ExecuteWScript.Echo "searching for objects with 'admin count = 1' in " & sDomainIf oRst.RecordCount = 0 Then    WScript.Echo "no accounts found"    WScript.QuitEnd IfDo While Not oRst.EOF    WScript.Echo  "found object " & oRst.Fields("ADsPath")    If SetInheritanceFlag(oRst.Fields("ADsPath")) = 0 Then WScript.Echo "Inheritance flag set"    If SetAdminCount(oRst.Fields("ADsPath"), 0) = 0 Then WScript.Echo "adminCount set to 0"    WScript.Echo  "=========================================="    oRst.MoveNextLoopPrivate Function SetInheritanceFlag(DSObjectPath)    Dim oSD    Dim oDACL    Dim lFlag    Dim oIADs    Set oIADs = GetObject(DSObjectPath)    Set oSD = oIADs.Get("nTSecurityDescriptor")    If oSD.Control And SE_DACL_PROTECTED Then        oSD.Control = oSD.Control - SE_DACL_PROTECTED    End If    oIADs.Put "nTSecurityDescriptor", oSD    oIADs.SetInfo        If Err.Number <> 0 Then        SetInheritanceFlag = Err.Number    Else        SetInheritanceFlag = 0    End IfEnd FunctionPrivate Function SetAdminCount(DSObjectPath, AdminCount)    Dim oIADs    Dim iAdminCount    Set oIADs = GetObject(DSObjectPath)    iAdminCount = oIADs.Get("adminCount")    If iAdminCount = 1 Then iAdminCount = 0    oIADs.Put "adminCount", iAdminCount    oIADs.SetInfo    If Err.Number <> 0 Then        SetAdminCount = Err.Number    Else        SetAdminCount = 0    End If    End Function
للتأكد من أن التي لا تؤثر بشكل سلبي على المستخدمين نوصي أولاً تفريغ المستخدمين الذين لديهم AdminCount تعيين إلى 1 باستخدام فواصل. للقيام بذلك، اكتب الأمر التالي في موجه الأوامر ثم ثم اضغط مفتاح الإدخال ENTER:
dc -d -f 1.txt Admincount ldifde = your domain-r "(& (objectcategory=person)(objectclass=user)(admincount=1))"
مراجعة لدى ملف الإخراج للتأكد من أن كافة المستخدمين الذين سيكون DACL حماية بت مسح الأذونات الصحيحة مع توريث التحكم إدخالات بالوصول (ACEs) فقط. هذا الأسلوب المفضل كما لم إضعاف الأمان الموجود.

الطريقة 2: تمكين التوريث في حاوية adminSDHolder

إذا قمت بتمكين التوريث في حاوية adminSDHolder يشير ذلك إلى أن كافة أعضاء مجموعات محمية تم توارث الأذونات تمكين. من وظائف الأمان هذه الطريقة إعادة سلوك حاوية adminSDHolder إلى وظيفة Pack 4 pre-Service.

تمكين التوريث في حاوية adminSDHolder

إذا قمت بتمكين التوريث في حاوية adminSDHolder معطل أحد جهازي آليات قائمة (ACL) عنصر تحكم الوصول الحماية. يتم تطبيق الأذونات الافتراضية. كافة أعضاء مجموعات المحمية يرث الأذونات من الوحدة التنظيمية أو الوحدات التنظيمية أي الأصل إذا تم تمكين التوريث مستوى الوحدة التنظيمية.

لتوفير الحماية توريث للمستخدمين الإدارية نقل كافة المستخدمين إدارية (والمستخدمين الآخرين الذين يحتاجون الحماية توريث) إلى الوحدة التنظيمية الخاصة بهم. مستوى الوحدة التنظيمية إزالة توريث ثم قم بتعيين أذونات مطابقة ACLs الحالي في حاوية adminSDHolder. لأن قد تختلف الأذونات على الحاوية adminSDHolder (على سبيل المثال، Microsoft Exchange Server إضافة بعض الأذونات أو الأذونات قد تم تعديلها) ، مراجعة عضواً من مجموعة المحمية للأذونات الحالي في حاوية adminSDHolder. يجب أن تدرك أن واجهة المستخدم (UI) لا يعرض كافة الأذونات على الحاوية adminSDHolder. استخدام DSacls لعرض كافة الأذونات على الحاوية adminSDHolder.

يمكنك تمكين التوريث في حاوية adminSDHolder باستخدام ADSI Edit أو Active Directory Users and Computers. مسار الحاوية adminSDHolder هو CN = adminSDHolder CN = النظام ، DC = <mydomain>، DC = <com>

ملاحظة إذا كنت تستخدم Active Directory Users and Computers تأكد من تحديد ميزات متقدمة في القائمة عرض القائمة.

لتمكين التوريث في حاوية adminSDHolder:
  1. انقر بزر الماوس الأيمن فوق الحاوية ومن ثم انقر فوق خصائص.
  2. انقر فوق علامة التبويب أمان.
  3. انقر فوق متقدمة.
  4. انقر لتحديد خانة الاختيار السماح للوراثة للنشر إلى هذا الكائن وكافة الكائنات التابعة.
  5. انقر فوق موافق ثم انقر فوق إغلاق.
في المرة التالية التي يتم تشغيل مؤشر ترابط SDProp تم تعيين علامة التوريث على كافة أعضاء مجموعات محمية. قد يستغرق هذا الإجراء حتى 60 دقيقة. يسمح وقت كافية لهذا التغيير للنسخ المتماثل من وحدة تحكم المجال الأساسية (PDC).

تجنب الطريقة الثالثة: توريث وقم فقط بتغيير ACL

إذا لم تكن تريد المستخدمين الأعضاء في مجموعات المحمي أن ترث أذونات من الحاوية الموجودة المستخدمين في فقط تريد تغيير الأمان على كائنات المستخدم يمكنك تحرير الأمان على الدليل حاوية adminSDHolder. في هذا السيناريو، لم يكن لديك لتمكين توريث في حاوية adminSDHolder. لديك فقط لإضافة هذه المجموعة أو لتحرير أمان مجموعات الأمان التي تم تعريفها مسبقاً في حاوية adminSDHolder. بعد ساعة واحدة سيتم تطبيق مؤشر ترابط SDProp التغيير التي تم إجراؤها على ACLs حاوية adminSDHolder إلى كافة أعضاء مجموعات محمية. لا ترث الأعضاء الأمان حاوية توجد فيه في.

على سبيل المثال، ذاتي يتطلب حساب حق السماح "قراءة كافة الخصائص". تحرير إعدادات الأمان حاوية adminSDHolder السماح هذا الحق على ذاتي الحساب. بعد ساعة واحدة سيتم السماح هذا الحق ذاتي الحساب لكافة المستخدمين الذين هم أعضاء في مجموعات محمية. لم يتم تغيير إشارة الوراثة.

يوضح المثال التالي كيفية تطبيق التغييرات على الكائن adminSDHolder فقط. هذا المثال تمنح الأذونات التالية على الكائن adminSDHolder:
  • سرد محتويات
  • قراءة كافة الخصائص
  • كتابة كافة الخصائص
لمنح هذه الأذونات على الكائن adminSDHolder اتبع الخطوات التالية:
  1. في Active Directory Users and Computers انقر فوق ميزات متقدمة في القائمة عرض القائمة.
  2. تحديد موقع كائن adminSDHolder. يكون الكائن في الموقع التالي لكل مجال في "Active Directory" الغابة: CN adminSDHolder CN = = النظام، DC=domain,DC=com هنا ، DC = المجال DC = com هو الاسم المميز المجال.
  3. انقر بزر الماوس الأيمن فوق adminSDHolder ومن ثم انقر فوق خصائص.
  4. في مربع الحوار "خصائص" ، انقر فوق علامة التبويب أمان ثم انقر فوق خيارات متقدمة.
  5. في مربع الحوار إعدادات التحكم بالوصول لـ adminSDHolder انقر فوق "إضافة" في علامة التبويب الأذونات.
  6. في تحديد مستخدم أو كمبيوتر أو مجموعة في مربع الحوار انقر فوق الحساب الذي تريد منح أذونات ذات الصلة ثم انقر فوق موافق.
  7. في إدخال أذونات لـ adminSDHolder ، ثم انقر فوق هذا الكائن في المربع تطبيق على ثم انقر فوق سرد محتوياتقراءة كافة الخصائص وحقوق كتابة كافة الخصائص.
  8. انقر فوق موافق لإغلاق مربع الحوار إدخال الأذونات لـ adminSDHolder مربع الحوار إعدادات التحكم بالوصول لـ adminSDHolder ومربع الحوار خصائص adminSDHolder.
خلال ساعة واحدة سيتم تحديث ACL على كائنات المستخدم المقترنة مجموعات المحمية لعكس التغييرات.لمزيد من المعلومات، انقر فوق أرقام المقالات التالية لعرضها في "قاعدة المعارف لـ Microsoft:
232199تحديث الكائن adminSDHolder Active والوصف
318180تأثير مؤشر ترابط AdminSDHolder على الأعضاء متعدية مجموعات توزيع
تصريح
أقرت Microsoft أن هذه مشكلة في منتجات Microsoft المسردة في قسم "تنطبق على". تم تصحيح هذه المشكلة لأول مرة في Windows Server 2003 المزود بحزمة الخدمة Service Pack 1.
معلومات أخرى
يستخدم Active Directory آلية حماية للتأكد من تعيين ACLs بشكل صحيح لأعضاء المجموعات الحساسة. تشغيل الآلية مرة واحدة ساعة PDC العمليات الرئيسية. يقارن العمليات الرئيسية ACL على حسابات المستخدمين التي أعضاء في مجموعات المحمية ضد ACL على الكائن التالي:
CN = adminSDHolder CN = النظام ، DC = <MyDomain>,DC=<Com>

ملاحظة "DC = <MyDomain>,DC=<Com> "يمثل الاسم المميز (DN) المجال الخاص بك.

في حالة اختلاف ACL تتم الكتابة فوق ACL على كائن المستخدم لعكس إعدادات أمان الكائن adminSDHolder (و تعطيل التوريث ACL). تحمي هذه العملية هذه الحسابات من تعديل بواسطة المستخدمين غير المخولين إذا تم نقل الحسابات إلى حاوية أو الوحدة التنظيمية حيث يقوم مستخدم تم تفويض بيانات اعتماد إدارية تعديل حسابات المستخدمين. يجب أن تدرك أن عند إزالة مستخدم من مجموعة إدارية العملية يتم عكس ولا يجب تغيير يدوياً.

ملاحظة للتحكم التردد الذي بتحديث الكائن adminSDHolder واصفات الأمان لإنشاء أو تعديل AdminSDProtectFrequency في الإدخال في مفتاح التسجيل الفرعي التالي:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
عند عدم وجود إدخال التسجيل AdminSDProtectFrequency الكائن adminSDHolder بتحديث واصف الأمان كل 60 دقيقة (3600 ثانية). يمكنك استخدام إدخال السجل هذا إلى تعيين هذا التكرار إلى أي معدل بين دقيقة واحدة (60 ثانية) و ساعتين (7200 ثواني) بواسطة إدخال القيمة بالثواني. ومع ذلك، لا نوصي تعديل هذه القيمة عدا نقاط اختبار موجز. يمكن تعديل هذه القيمة إلى زيادة LSASS في معالجة حمولة.

توضح القائمة التالية مجموعات المحمية في نظام التشغيل Windows 2000:
  • إدارة المؤسسة
  • إدارة المخطط
  • إدارة المجال
  • للمسؤولين

توضح القائمة التالية مجموعات المحمي في Windows Server 2003 وفي Windows 2000 بعد تطبيق الإصلاح العاجل 327825 أو تثبيت Windows 2000 Service Pack 4:
  • للمسؤولين
  • عوامل تشغيل الحساب
  • عوامل تشغيل الملقم
  • طباعة Operators
  • عوامل تشغيل النسخ الاحتياطي
  • إدارة المجال
  • إدارة المخطط
  • إدارة المؤسسة
  • ناشرون الشهادة
بالإضافة إلى المستخدمين التاليين أيضاً تعتبر حماية:
  • مسؤول
  • krbtgt
يجب أن تدرك أنه العضوية في مجموعات توزيع تعبئة مأخوذة رمز مستخدم. لذلك، لا يمكنك استخدام أدوات مثل "whoami" لتحديد عضوية المجموعة بنجاح.

للحصول على مزيد من المعلومات حول الإدارة المفوضة تحميل الورق الأبيض أفضل ممارسات تفويض إدارة خدمة Active Directory. للقيام بذلك، قم بزيارة موقع Microsoft التالي على الويب:

تحذير: تمت ترجمة هذه المقالة تلقائيًا

خصائص

رقم الموضوع: 817433 - آخر مراجعة: 04/20/2009 20:29:52 - المراجعة: 24.0

Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Small Business Server 2003 Premium Edition, Microsoft Windows Small Business Server 2003 Standard Edition, Microsoft Windows 2000 Service Pack 3, Microsoft Windows 2000 Server SP4

  • kbmt kbautohotfix kbwinserv2003sp1fix atdownload kbhotfixserver kbqfe KB817433 KbMtar
تعليقات
/html>=">m); >