Erteilen der Berechtigung "Replizieren von Verzeichnisänderungen" für das ADMA-Dienstkonto von Microsoft Metadirectory Services

  • Artikel

In diesem Artikel wird beschrieben, wie Sie die Berechtigung "Replizieren von Verzeichnisänderungen" für das ADMA-Dienstkonto von Microsoft Metadirectory Services erteilen.

Gilt für: Windows Server 2012 R2
Ursprüngliche KB-Nummer: 303972

Zusammenfassung

Wenn Objekte in Active Directory mithilfe des Active Directory-Verwaltungs-Agents (ADMA) ermittelt werden, muss das Konto, das für die Verbindung mit Active Directory angegeben wird, entweder über Domänenadministratorberechtigungen verfügen, zur Gruppe Domänenadministratoren gehören oder explizit Berechtigungen zum Replizieren von Verzeichnisänderungen für jede Domäne der Gesamtstruktur erhalten, auf die dieser Verwaltungs-Agent zugreift. In diesem Artikel wird beschrieben, wie Sie einem Benutzerkonto explizit die Berechtigungen Replizieren von Verzeichnisänderungen für eine Domäne gewähren.

Hinweis

In Windows Server 2003 wurde der Name dieser Berechtigung in "Verzeichnisänderungen replizieren" geändert.

Weitere Informationen

Die Berechtigung "Verzeichnisänderungen replizieren", die in Windows Server 2003 als Berechtigung "Verzeichnisänderungen replizieren" bezeichnet wird, ist ein Access Control Entry (ACE) für jeden Domänenbenennungskontext. Sie können diese Berechtigung mithilfe des ACL-Editors oder des Adsiedit-Supporttools in Windows 2000 zuweisen.

Festlegen von Berechtigungen mithilfe des ACL-Editors

  1. Öffnen des Active Directory-Benutzer und -Computer-Snap-Ins
  2. Klicken Sie im Menü Ansicht auf Erweiterte Funktionen.
  3. Klicken Sie mit der rechten Maustaste auf das Domänenobjekt, z. B. "company.com", und klicken Sie dann auf Eigenschaften.
  4. Klicken Sie auf der Registerkarte Sicherheit auf Hinzufügen, wenn das gewünschte Benutzerkonto nicht aufgeführt ist. Wenn das gewünschte Benutzerkonto aufgeführt ist, fahren Sie mit Schritt 7 fort.
  5. Wählen Sie im Dialogfeld Benutzer, Computer oder Gruppen auswählen das gewünschte Benutzerkonto aus, und klicken Sie dann auf Hinzufügen.
  6. Klicken Sie auf OK , um zum Dialogfeld Eigenschaften zurückzukehren.
  7. Klicken Sie auf das gewünschte Benutzerkonto.
  8. Aktivieren Sie in der Liste das Kontrollkästchen Verzeichnisänderungen replizieren .
  9. Klicken Sie im Feld Wähleinstellungen (Telefonkontext) auf Durchsuchen, um die Wähleinstellungen für den Benutzer zu suchen.
  10. Schließen Sie das Snap-In.

Festlegen von Berechtigungen mithilfe von Adsiedit

Warnung

Die falsche Verwendung von Adsiedit kann schwerwiegende Probleme verursachen, sodass Sie Ihr Betriebssystem möglicherweise neu installieren müssen. Microsoft kann nicht garantieren, dass Probleme, die sich aus der falschen Verwendung von Adsiedit ergeben, gelöst werden können. Die Verwendung von Adsiedit erfolgt auf eigenes Risiko.

  1. Installieren Sie die Windows 2000-Supporttools, sofern sie noch nicht installiert wurden.
  2. Führen Sie Adsiedit.msc als Administrator der Domäne aus. Erweitern Sie den Knoten Domänenbenennungskontext (Domain Naming Context, Domänen-NC). Dieser Knoten enthält ein Objekt, das mit "DC=" beginnt und den richtigen Domänennamen wiedergibt. Klicken Sie mit der rechten Maustaste auf dieses Objekt, und klicken Sie dann auf Eigenschaften.
  3. Klicken Sie auf die Registerkarte Sicherheit.
  4. Wenn das gewünschte Benutzerkonto nicht aufgeführt ist, klicken Sie auf Hinzufügen, andernfalls fahren Sie mit Schritt 8 fort.
  5. Wählen Sie im Dialogfeld Benutzer, Computer oder Gruppen auswählen das gewünschte Benutzerkonto aus, und klicken Sie dann auf Hinzufügen.
  6. Klicken Sie auf OK , um zum Dialogfeld Eigenschaften zurückzukehren.
  7. Klicken Sie im Feld Wähleinstellungen (Telefonkontext) auf Durchsuchen, um die Wähleinstellungen für den Benutzer zu suchen.
  8. Auswählen des gewünschten Benutzerkontos
  9. Aktivieren Sie das Kontrollkästchen Verzeichnisänderungen replizieren .
  10. Klicken Sie im Feld Wähleinstellungen (Telefonkontext) auf Durchsuchen, um die Wähleinstellungen für den Benutzer zu suchen.
  11. Schließen Sie das Snap-In.

Hinweis

Durch Festlegen der Berechtigung Replizieren von Verzeichnisänderungen für jede Domäne in Ihrer Gesamtstruktur wird mithilfe einer der beiden Methoden die Ermittlung von Objekten in der Domäne innerhalb der Active Directory-Gesamtstruktur ermöglicht. Die Aktivierung der Ermittlung des verbundenen Verzeichnisses bedeutet jedoch nicht, dass andere Vorgänge ausgeführt werden können.

Zum Erstellen, Ändern und Löschen von Objekten in Active Directory mithilfe eines nicht administrativen Kontos müssen Sie ggf. zusätzliche Berechtigungen hinzufügen. Damit Beispielsweise Microsoft Metadirectory Services (MMS) neue Benutzerobjekte in einer Organisationseinheit oder einem Container erstellen kann, muss dem verwendeten Konto explizit die Berechtigung Alle untergeordneten Objekte erstellen erteilt werden, da die Berechtigung Replizieren von Verzeichnisänderungen nicht ausreicht, um die Erstellung von Objekten zuzulassen.

Auf ähnliche Weise erfordert das Löschen von Objekten die Berechtigung Alle untergeordneten Objekte löschen.

Es ist möglich, dass es Einschränkungen für andere Vorgänge gibt, z. B. den Attributfluss, abhängig von den spezifischen Sicherheitseinstellungen, die dem betreffenden Objekt zugewiesen sind, und davon, ob die Vererbung ein Faktor ist oder nicht.