Popis a aktualizovat objekt AdminSDHolder služby Active Directory

Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.

Projděte si také anglickou verzi článku:232199
Tento článek byl archivován. Je nabízen v takovém stavu, v jakém je, a nebude již nadále aktualizován.
Souhrn
Informace v tomto článku platí pouze pro inovace ze systému Windows 2000 RC2 (nebo dřívější sestavení) vydanou verzi systému Windows 2000. Byla provedena změna v systému Windows 2000 RC3 seznamu řízení přístupu (ACL) z objekt AdminSDHolder služby Active Directory. Tento objekt se používá k řízení oprávnění uživatelských účtů, které jsou členy vestavěné správci nebo Skupiny správců domény.

Každých Hodina, řadič domény systému Windows 2000, který má primární domény role FSMO (Flexible Single Master operace) řadič porovná seznam ACL zabezpečení všech zaregistrovaných objektů (uživatele, skupiny a účty počítačů) představují pro jeho domény služby Active Directory a zda jsou skupiny pro správu proti ACL v následující objekt:
CN = AdminSDHolder, CN = System, DC =DomenaDC =Com

Nahradit "DC =DomenaDC =Com"v této cestě s rozlišující název (DN) v doméně.
Pokud seznam ACL liší, je objekt uživatele do seznamu řízení přístupu přepsat tak, aby odpovídaly nastavení zabezpečení objekt AdminSDHolder (který zahrnuje zakázat dědičnost ACL). Tím je zajištěna ochrana těchto správních účty způsobenými neoprávněným uživatelům v případě, že účty jsou přesunuty do kontejner nebo organizační jednotku, ve kterém má uživatel přidělena oprávnění pro změnu uživatelských účtů. Všimněte si, že při Odebrání uživatele ze skupiny pro správu, proces nebyly stornovány. a musí být ručně změněn.

POZNÁMKA:: Pomocí následujícího postupu není potřeba se upgrade systému Microsoft Windows NT 4.0 na vydanou verzi systému Windows 2000.
Další informace
Chcete-li tuto situaci napravit, použijte tento postup v jedné doméně. řadič pro doménu:
  1. Nainstalujte nástroje podpory systému Windows 2000 ze systému Windows CD-ROM 2000 Professional nebo Server. Tyto nástroje zahrnují nástroj s názvem DSACLS.exe, které slouží k zobrazení, změna nebo odebrání položky řízení přístupu u objektů v adresáři Active Directory.
  2. Vytvořte dávkový soubor s následující text, nahrazení "DC =DomenaDC =Com"s rozlišující název (DN) domény):
    dsacls "cn = adminsdholder, cn = system, dc =domena, dc =com"/G" \Everyone:CA;Změnit heslo"
    dsacls "cn = adminsdholder, cn = system, dc =domena, dc =com"/G" RP: \Pre-Windows 2000 kompatibilní přístup;Informace o vzdáleném přístupu"
    dsacls "cn = adminsdholder, cn = system, dc =domena, dc =com"/G" RP: \Pre-Windows 2000 kompatibilní přístup;Obecné informace"
    dsacls "cn = adminsdholder, cn = system, dc =domena, dc =com"/G" RP: \Pre-Windows 2000 kompatibilní přístup;Členství ve skupině"
    dsacls "cn = adminsdholder, cn = system, dc =domena, dc =com"/G" RP: \Pre-Windows 2000 kompatibilní přístup;Přihlašovací informace"
    dsacls "cn = adminsdholder, cn = system, dc =domena, dc =com"/G" RP: \Pre-Windows 2000 kompatibilní přístup;Omezení účtu"
  3. Spusťte dávkový soubor v řadiči domény. Přidá zadané položky řízení přístupu (ACE) Everyone a starší verze systému Windows 2000 Kompatibilní přístupové skupiny.
  4. Na příkazovém řádku zadejte následující příkaz: dsacls CN = adminsdholder, cn = system, dc =domena, dc =com, nahrazení "DC =DomenaDC =Com"s rozlišující název (DN) vaší domény). Porovnejte je následující výstup:
    Access list:{This object is protected from inheriting permissions from the parent}Effective Permissions on this object are:Allow NT AUTHORITY\Authenticated Users            SPECIAL ACCESS                                                  READ PERMISSONS                                                  LIST CONTENTS                                                  READ PROPERTY                                                  LIST OBJECTAllow BUILTIN\Administrators                      SPECIAL ACCESS                                                  DELETE                                                  READ PERMISSONS                                                  WRITE PERMISSIONS                                                  CHANGE OWNERSHIP                                                  CREATE CHILD                                                  DELETE CHILD                                                  LIST CONTENTS                                                  WRITE SELF                                                  WRITE PROPERTY                                                  READ PROPERTY                                                  LIST OBJECT                                                  CONTROL ACCESSAllow IFRPILOT\Enterprise Admins                  SPECIAL ACCESS                                                  READ PERMISSONS                                                  WRITE PERMISSIONS                                                  CHANGE OWNERSHIP                                                  CREATE CHILD                                                  DELETE CHILD                                                  LIST CONTENTS                                                  WRITE SELF                                                  WRITE PROPERTY                                                  READ PROPERTY                                                  LIST OBJECT                                                  CONTROL ACCESSAllow FAA\Domain Admins                           SPECIAL ACCESS                                                  READ PERMISSONS                                                  WRITE PERMISSIONS                                                  CHANGE OWNERSHIP                                                  CREATE CHILD                                                  DELETE CHILD                                                  LIST CONTENTS                                                  WRITE SELF                                                  WRITE PROPERTY                                                  READ PROPERTY                                                  LIST OBJECT                                                  CONTROL ACCESSAllow NT AUTHORITY\SYSTEM                         FULL CONTROLAllow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS                                                  READ PERMISSONS                                                  LIST CONTENTS                                                  READ PROPERTY                                                  LIST OBJECTAllow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Remote Access Information                                                  READ PROPERTYAllow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for General Information                                                  READ PROPERTYAllow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Group Membership                                                  READ PROPERTYAllow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Account Restrictions                                                  READ PROPERTYAllow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Logon Information                                                  READ PROPERTYAllow Everyone                                    Change Password					

Upozornění: Tento článek je přeložený automaticky

Vlastnosti

ID článku: 232199 - Poslední kontrola: 12/05/2015 14:35:57 - Revize: 5.0

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbnosurvey kbarchive kbenv kbinfo kbmt KB232199 KbMtcs
Váš názor
ERROR: at System.Diagnostics.Process.Kill() at Microsoft.Support.SEOInfrastructureService.PhantomJS.PhantomJSRunner.WaitForExit(Process process, Int32 waitTime, StringBuilder dataBuilder, Boolean isTotalProcessTimeout)