Objekt adminSDHolder ovlivňuje tranzitivní členy distribučních skupin

Souhrn

Řadič domény služby Active Directory, který obsahuje primární domény (PDC) řadič role hlavního operačního serveru (označované také jako flexibilní jedné hlavní operace role nebo rolí FSMO) spustí podproces každou hodinu zkontrolovat že seznamy řízení přístupu (ACL) pro následující skupiny a všechny objekty členů těchto skupin:
  • Enterprise Admins
  • Schema Admins
  • Domain Admins
  • Správci
  • Řadiče domény
  • Cert Publishers
  • Členové skupiny Backup Operators
  • Replicator Server Operators
  • Account Operators
  • Operátoři tisku
Pokud uživatelský účet je členem jedné z těchto skupin pro správu z důvodu členství distribuční skupinu, řízení přístupu pro uživatelský účet je zaškrtnuto, při spuštění podprocesu a mohou obnovit tak, aby odpovídala ACL AdminSDHolder podprocesu. Zobrazení uživatelského účtu pomocí příkazu repadmin /showmeta rozlišující název uživatele , uvidíte, že do jedné hodiny po posledním změnit seznam řízení přístupu u uživatelského účtu je nastaven atribut ntSecurityDescriptor . Uživatelský účet také obsahuje atribut AdminCount .

Tento článek popisuje, jak objekt adminSDHolder ovlivňuje tranzitivní členy distribučních skupin.
Další informace o podprocesu AdminSDHolder klepnutím na následující číslo článku databáze Microsoft Knowledge Base:

232199 popis a aktualizace objektu Active Directory AdminSDHolder

Další informace

Členství ve skupině distribučního normálně nemá význam žádné zabezpečení. Například jestliže Uživatel_a je členem GroupA distribuce a distribuce GroupA je členem skupiny Domain Admins, Uživatel_a není členem skupiny Domain Admins Pokud je uživatel přihlášen k počítači. Distribuční skupiny blokuje členství ve skupinách zabezpečení. Ale výčtu algoritmus používaný podproces AdminSDHolder je rychlé a jednoduché a zahrnuje Uživatel_a během tranzitivní opakování skupiny Domain Admins.

Skupiny můžete změnit z právě distribuční skupinu do skupiny zabezpečení; proto výčtu algoritmus používaný podproces AdminSDHolder zajišťuje, že všechny tranzitivní členy jsou zahrnuty v obou případech. Neprovádějte distribuční skupiny Členové skupin zabezpečení, pokud je to možné. Po změně skupiny z distribuční skupinu do skupiny zabezpečení Pokud neprovedete distribuční skupiny Členové skupin zabezpečení není dochází k neočekávanému chování. Uživatel, který se vztahuje výčtu algoritmus používaný podproces AdminSDHolder má atribut AdminCount , který má hodnotu, která je větší než nebo rovno 1.
Vlastnosti

ID článku: 318180 - Poslední kontrola: 16. 1. 2017 - Revize: 1

Váš názor