AdminSDHolder Thread wirkt sich auf transitiven Mitgliedern Verteilergruppe

Zusammenfassung

Ein Active Directory-Domänencontroller, der die primären Domänencontroller (PDC) Betriebsmasterfunktion (auch flexible single master Operation Rolle oder die FSMO-Rolle) enthält führt einen Thread stündlich überprüfen, Access Control lists (ACLs) die folgenden Gruppen und Elementobjekte dieser Gruppen:
  • Organisations-Admins
  • Schema-Admins
  • Domänen-Admins
  • Administratoren
  • Domänencontroller
  • Zertifikat-Herausgeber
  • Sicherungsoperatoren
  • Replicator Serveroperatoren
  • Konten-Operatoren
  • Druck-Operatoren
Ist ein Benutzerkonto Mitglied einer administrativen Gruppe wegen seiner Mitgliedschaft eine Verteilergruppe, wird das Benutzerkonto ACL überprüft, wenn der Thread ausgeführt wird und kann entsprechend die ACL AdminSDHolder Thread zurückgesetzt werden. Verwenden Sie den Befehl Repadmin AD Benutzernamen das Benutzerkonto anzeigen, sehen Sie, dass das Attribut " NtSecurityDescriptor " innerhalb einer Stunde nach der letzten der ACL für das Benutzerkonto Änderung festgelegt ist. Das Benutzerkonto enthält auch AdminCount Attribut.

Dieser Artikel beschreibt, wie der AdminSDHolder Thread transitive Mitgliedern von Verteilergruppe auswirkt.
Weitere Informationen zu AdminSDHolder Thread klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

Beschreibung und Aktualisieren von Active Directory AdminSDHolder-Objekt 232199

Weitere Informationen

Mitglieder einer Verteilergruppe muss normalerweise nicht Sicherheit Bedeutung. Beispielsweise ist Wenn UserA Mitglied der Verteilerliste AuswahlgruppeEin ist Verteilung AuswahlgruppeEin ein Mitglied der Gruppe Domänen-Admins ist, BenutzerA nicht Mitglied der Gruppe Domänen-Admins der Benutzer am Computer angemeldet ist. Die Verteilergruppe blockiert Sicherheitsgruppen-Mitgliedschaft. Allerdings Enumeration-Algorithmus, der AdminSDHolder Thread ist schnell und einfach und darüber BenutzerA während transitive Iteration der Gruppe der Domänenadministratoren.

Sie können Gruppen aus einer Sicherheitsgruppe eine Verteilergruppe zu ändern. Enumeration-Algorithmus, der AdminSDHolder Thread gewährleistet, dass alle transitive Mitgliedern in beiden Fällen behandelt werden. Machen Sie Verteilung Gruppen als Mitglieder von Sicherheitsgruppen, falls möglich. Unerwartetes Verhalten tritt nicht auf, nachdem die Gruppe aus einer Verteilergruppe zu einer Sicherheitsgruppe geändert werden, wenn Sie nicht Verteilung Gruppen Mitglieder von Sicherheitsgruppen. Benutzer, der vom Algorithmus Enumeration abgedeckt wird, mit dem AdminSDHolder Thread hat AdminCount Attribut mit einem Wert, der größer oder gleich 1ist.
Eigenschaften

Artikelnummer: 318180 – Letzte Überarbeitung: 16.01.2017 – Revision: 1

Feedback