Delegierte Berechtigungen sind nicht verfügbar und Vererbung wird automatisch deaktiviert.

Problembeschreibung

Nach der Aktualisierung auf Microsoft Windows Server 2003 können die folgenden Symptome auftreten:
  • Delegierte Berechtigungen sind nicht verfügbar für alle Benutzer in einer Organisationseinheit.
  • Vererbung ist für einige Benutzerkonten ungefähr einmal pro Stunde deaktiviert
  • Benutzer, die zuvor Berechtigungen delegiert hat lassen mehr.
Dieses Verhalten kann auch auftreten, nachdem Sie im Microsoft Knowledge Base-Artikel 327825 auf Microsoft Windows 2000 Server beschriebenen Hotfix anwenden oder nach der Installation von Windows 2000 Service Pack 4, Microsoft Windows 2000 Server. Weitere Informationen zu Windows 2000 327825 Hotfix klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
327825 neue Lösung für Probleme mit Kerberos-Authentifizierung, wenn Benutzer mehreren Gruppen angehören

Ursache

Beim Delegieren von Berechtigungen mithilfe der Assistent basieren Berechtigungen auf, die die Berechtigungen des übergeordneten Containers erbt. Mitglieder geschützter Gruppen erben keine Berechtigungen vom übergeordneten Container. Daher beim Festlegen von Berechtigungen mithilfe der Assistent diese Berechtigungen nicht Mitglieder geschützter Gruppen gelten.

Hinweis Die Mitgliedschaft in einer geschützten Gruppe ist als direkte Mitgliedschaft oder transitive Mitgliedschaft mindestens eine Sicherheits- oder Verteilergruppe Gruppen definiert. Verteilergruppen sind enthalten, da sie Sicherheitsgruppen konvertiert werden können.

In Windows Server 2003 und höher wurde die Anzahl der Gruppen, die geschützt sind zur Verbesserung der Sicherheit in Active Directory erhöht (siehe Abschnitt "Weitere Informationen"). Die Anzahl der Gruppen, die geschützt sind hinaus wenden Sie den Hotfix 327825 auf Windows 2000.

Problemlösung

Um dieses Problem zu beheben, können Sie einen Hotfix installieren. Sie müssen den Hotfix auf dem Domänencontroller installieren, die den primären Domänencontroller (PDC) Emulator in jeder Domäne Betriebsmasterfunktion. Darüber hinaus müssen Sie den Hotfix auf allen Domänencontrollern installieren, mit denen Sie möglicherweise diese Rolle übernimmt, wenn der aktuelle PDC-Emulator Halter der Betriebsmasterfunktion nicht verfügbar ist. Sie nicht der Domänencontroller kennen gewünschte Rolle übernehmen, sollten Sie erwägen, den Hotfix auf allen Domänencontrollern. Nimmt ein Domänencontroller ohne Hotfix die PDC-Emulator-Betriebsmasterfunktion werden die Berechtigungen des Benutzers wieder zurückgesetzt.

Windows 2000 Hotfix-Informationen

Ein unterstützter Hotfix ist von Microsoft erhältlich. Dieser Hotfix soll nur der Behebung des Problems dienen, das in diesem Artikel beschrieben wird. Verwenden Sie diesen Hotfix nur auf Systemen, bei denen dieses spezielle Problem auftritt.

Wenn der Hotfix zum Download zur Verfügung steht, gibt es einen Abschnitt "Hotfixdownload available" ("Hotfixdownload verfügbar"), am oberen Rand dieses Knowledge Base-Artikel. Wenn dieser Abschnitt nicht angezeigt wird, senden Sie eine Anforderung an Microsoft Customer Service and Support, um den Hotfix zu erhalten.

Hinweis Falls weitere Probleme auftreten oder andere Schritte zur Problembehandlung erforderlich sind, müssen Sie möglicherweise eine separate Serviceanfrage erstellen. Die normalen Supportkosten gelten für zusätzliche Supportfragen und Probleme, die nicht diesem speziellen Hotfix zugeordnet werden können. Eine vollständige Liste der Telefonnummern von Microsoft Customer Service and Support oder eine separate Serviceanfrage erstellen finden Sie auf der folgenden Microsoft-Website:Hinweis Das Formular "Hotfix download available" ("Hotfixdownload verfügbar") zeigt die Sprachen an, für die der Hotfix verfügbar ist. Wenn Ihre Sprache nicht angezeigt wird, ist dieser Hotfix für Ihre Sprache nicht verfügbar.

Neustartanforderung

Sie müssen den Computer neu starten, nachdem Sie diesen Hotfix anwenden.

Informationen zu ersetzten Hotfixes

Dieser Hotfix ersetzt keine anderen Hotfixes.

Dateiinformationen

Die englische Version dieses Hotfixes weist Dateiattribute (oder spätere Attribute), die in der folgenden Tabelle aufgelistet sind. Die Datums- und Uhrzeitangaben für diese Dateien sind in Coordinated Universal Time (UTC) aufgelistet. Wenn Sie die Dateiinformationen anzeigen, werden sie in die lokale Zeit konvertiert. Um die Differenz zwischen UTC und der Ortszeit zu finden, verwenden Sie die Registerkarte Zeitzone unter Datum und Uhrzeit in der Systemsteuerung.

Windows Server 2003 Service Pack-Informationen

Um dieses Problem zu beheben, beziehen Sie das neueste Servicepack für Windows Server 2003. Klicken Sie für weitere Informationen auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
889100 so erhalten Sie das neueste Servicepack für Windows Server 2003

Windows Server 2003 Hotfix-Informationen

Ein unterstützter Hotfix ist von Microsoft erhältlich. Dieser Hotfix soll nur der Behebung des Problems dienen, das in diesem Artikel beschrieben wird. Verwenden Sie diesen Hotfix nur auf Systemen, bei denen dieses spezielle Problem auftritt. Dieser Hotfix sollte weiteren Tests unterzogen werden. Wenn Ihr System durch dieses Problem nicht schwerwiegend beeinträchtigt ist, empfehlen wir sie, auf das nächste Softwareupdate zu warten, das diesen Hotfix enthält.

Wenn der Hotfix zum Download zur Verfügung steht, gibt es einen Abschnitt "Hotfixdownload available" ("Hotfixdownload verfügbar"), am oberen Rand dieses Knowledge Base-Artikel. Wenn dieser Abschnitt nicht angezeigt wird, wenden Sie sich an den Microsoft Customer Service and Support, um den Hotfix zu erhalten.

Hinweis Falls weitere Probleme auftreten oder andere Schritte zur Problembehandlung erforderlich sind, müssen Sie möglicherweise eine separate Serviceanfrage erstellen. Die normalen Supportkosten gelten für zusätzliche Supportfragen und Probleme, die nicht diesem speziellen Hotfix zugeordnet werden können. Eine vollständige Liste der Telefonnummern von Microsoft Customer Service and Support oder eine separate Serviceanfrage erstellen finden Sie auf der folgenden Microsoft-Website:Hinweis Das Formular "Hotfix download available" ("Hotfixdownload verfügbar") zeigt die Sprachen an, für die der Hotfix verfügbar ist. Wenn Ihre Sprache nicht angezeigt wird, ist dieser Hotfix für Ihre Sprache nicht verfügbar. Die englische Version dieses Hotfix Dateiattribute (oder höher) ist in der folgenden Tabelle aufgeführt. Die Datums- und Uhrzeitangaben für diese Dateien sind in Coordinated Universal Time (UTC) aufgelistet. Wenn Sie die Dateiinformationen anzeigen, werden sie in die lokale Zeit konvertiert. Um die Differenz zwischen UTC und der Ortszeit zu suchen, verwenden Sie die Registerkarte Zeitzone in dem Element im Bedienfeld.

Neustartanforderung

Sie müssen den Computer neu starten, nachdem Sie diesen Hotfix anwenden.

Informationen zu ersetzten Hotfixes

Dieser Hotfix ersetzt keine anderen Hotfixes.

Dateiinformationen

32-Bit-Editionen von Windows Server 2003
Windows Server 2003 64-Bit-Editionen
Nachdem Sie den Hotfix in Windows 2000 und Windows Server 2003 installieren, stellen Sie die Gesamtstruktur
DsHeuristic Flags zur Steuerung die Operator Gruppen durch das Objekt AdminSDHoldergeschützt sind. Mit dieser neuen Option können Sie einige oder alle eingetragenen vier geschützten Gruppen zurück zum ursprünglichen Windows 2000-Verhalten. Zeichenposition 16 wird als einen Hexadezimalwert interpretiert ist das äußerste linke Zeichen auf Position 1. Daher sind die einzigen gültigen Werte "0" bis "f". Jeder Operatorgruppe hat ein bestimmtes Bit:
  • Bit 0: Konten-Operatoren
  • Bit 1: Server-Operatoren
  • Bit 2: Druck-Operatoren
  • Bit 3: Sicherungsoperatoren
Z. B. Wert 0001 bedeutet Kontenoperatoren ausschließen. Wert 'c' würde Druckoperatoren (0100) und Sicherungsoperatoren (1000) ausschließen, da die binäre Summe 1100 Hexadezimalwert 0xC widerspiegelt.

Um die neue Funktionalität zu aktivieren, müssen Sie ein Objekt im Konfigurationscontainer ändern. Diese Einstellung ist gesamtstrukturübergreifend. Um das Objekt zu ändern, gehen Sie folgendermaßen vor:
  1. Suchen Sie das Objekt, das Sie ändern möchten.
    Weitere Informationen hierzu finden im folgenden Artikel der Microsoft Knowledge Base:

    326690 anonyme LDAP-Operationen in Active Directory sind in Windows Server 2003-Domänencontroller deaktiviert.

  2. Befehlszeile geben Sie ldp.exe, und drücken Sie das LDP-Dienstprogramm zu starten.
  3. Klicken Sie auf Verbindung
    Verbinden und klicken Sie dann auf OK.
  4. Klicken Sie auf Verbindung
    Binden, geben Sie den Benutzernamen und das Kennwort eines Administrators Stamm Gesamtstruktur und klicken Sie dann auf OK.
  5. Klicken Sie auf Ansichtund klicken Sie auf Struktur.
  6. Öffnen Sie die folgende Konfiguration CN mit View\Tree:
    CN = Directory Service, CN = Windows NT, CN = Dienste, CN = Configuration, DC =Stammdomäne
  7. Suchen Sie das Verzeichnisdienstobjekt, und doppelklicken Sie darauf.
  8. Überprüfen Sie das Objektattribut auf rechts, ob das Attribut DsHeuristics bereits festgelegt ist. Wenn er festgelegt ist, wird kopieren Sie den vorhandenen Wert in die Zwischenablage.
  9. Klicken Sie Verzeichnisdienst- Objekte auf der linken Seite und dann auf Ändern.
  10. Der Attributname eingeben
    DsHeuristics.
  11. Geben Sie als Wert 000000000100000f. Ersetzen Sie Nullen im ersten Teil des Werts durch in DsHeuristics haben kann. Stellen Sie sicher, dass die richtige Anzahl von Ziffern bis "f" Was bits festlegen möchten.

    Hinweis Um sicherzustellen, dass die richtigen Zeichen geändert werden, muss jedes zehnte Zeichen auf die Anzahl der Zeichen bis festgelegt werden, Punkt durch 10 dividiert. Beispielsweise das zehnte Zeichen muss 1 sein, 20. Zeichen muss 2 sein, 30. Zeichen muss 3 und so weiter.
  12. Wenn das Attribut bereits vorhanden ist, klicken Sie auf
    Im Feld Vorgang Ersetzen . Andernfalls klicken Sie auf Hinzufügen.
  13. Drücken SIE auf rechts, um die Gruppe von Vorgängen LDAP-Transaktion hinzufügen.
  14. Klicken Sie auf Ausführen , um die Änderung auf das Objekt anwenden. Nach dieser Änderung der PDC-Emulatoren in der Gesamtstruktur repliziert wird, schützt diesen Hotfix ausgeführt werden die nicht Benutzer, die Mitglieder der Gruppe der Operatoren, die Bits festgelegt haben.

PROBLEMUMGEHUNG

Um dieses Problem zu umgehen, verwenden Sie eine der folgenden Methoden.

Methode 1: Sicherstellen Sie, dass kein Mitglied einer geschützten Gruppe angehören

Verwenden Sie Berechtigungen, die auf der Ebene der Organisationseinheit delegiert werden, stellen Sie sicher, dass alle Benutzer, die delegierten Berechtigungen erfordern, nicht geschützten Gruppen gehören. Für Benutzer, die zuvor Mitglieder einer geschützten Gruppe ist das Vererbungsflag nicht automatisch zurückgesetzt, wenn der Benutzer aus einer geschützten Gruppe entfernt wird. Hierzu können Sie das folgende Skript verwenden.

Hinweis Dieses Skript überprüft das Vererbungsflag für alle Benutzer, deren AdminCount auf 1 festgelegt ist. Wenn Vererbung deaktiviert ist (SE_DACL_PROTECTED festgelegt), kann das Skript Vererbung. Wenn Vererbung bereits aktiviert ist, bleibt Vererbung aktiviert. Darüber hinaus werden AdminCount auf 0 zurückgesetzt. Beim Ausführen der AdminSDHolder Thread erneut Vererbung deaktiviert und für alle geschützten Gruppen bleiben AdminCount auf 1 festgelegt. Daher sind AdminCount und Vererbung für alle Benutzer eingestellt, die Mitglieder geschützter Gruppen sind.

Wichtig: Wenn Sie dieses Skript aus einem System arbeiten Windows Vista und höherbitte eine Cmd Prompt mit Administratorrechte zu öffnen , und führen Sie dieses Skript.

Verwenden Sie den folgenden Befehl zum Ausführen des Skripts:
cscript /nologo resetaccountsadminsdholder.vbs

Microsoft bietet Programmierbeispiele lediglich zur Veranschaulichung, ohne ausdrückliche oder konkludente Gewährleistung. Dies beinhaltet, ist jedoch nicht beschränkt auf, konkludente Gewährleistungen der Tauglichkeit oder Eignung für einen bestimmten Zweck. Dieser Artikel setzt voraus, dass Sie mit der von Beispielen verwendeten Programmiersprache und den Tools, die zum Erstellen und Debuggen von Prozeduren verwendet werden, vertraut sind. Microsoft-Supportmitarbeiter können bei der Erläuterung der Funktionalität bestimmter Prozeduren helfen, sie werden jedoch diese Beispiele nicht verändern um eine erweiterte Funktionalität aufzuzeigen oder Prozeduren entwickeln, die Ihren Anforderungen entsprechen.
'********************************************************************'*
'* File: ResetAccountsadminSDHolder.vbs
'* Created: November 2003
'* Version: 1.0
'*
'* Main Function: Resets all accounts that have adminCount = 1 back
'*to 0 and enables the inheritance flag
'*
'* ResetAccountsadminSDHolder.vbs
'*
'* Copyright (C) 2003 Microsoft Corporation
'*
'********************************************************************

Const SE_DACL_PROTECTED = 4096

On Error Resume Next

Dim sDomain
Dim sADsPath
Dim sPDC


Dim oCon
Dim oCmd
Dim oRst
Set oRst = CreateObject("ADODB.Recordset")
Set oCmd = CreateObject("ADODB.Command")
Set oCon = CreateObject("ADODB.Connection")

Dim oRoot
Dim oDomain
Dim oADInfo
Dim oInfo
Set oADInfo = CreateObject("ADSystemInfo")
Set oInfo = CreateObject("WinNTSystemInfo")
sPDC = oInfo.PDC & "." & oADInfo.DomainDNSName

oCon.Provider = "ADSDSOObject"
oCon.Open "Active Directory Provider"

oCmd.ActiveConnection = oCon

Set oRoot = GetObject("LDAP://rootDSE")
sDomain = oRoot.Get("defaultNamingContext")
Set oDomain = GetObject("LDAP://" & sDomain)
sADsPath = "<" & oDomain.ADsPath & ">"

oCmd.CommandText = "SELECT ADsPath FROM 'LDAP://" & sPDC & "/" & sDomain & "' WHERE objectCategory='person' and objectClass = 'user' AND adminCount = 1"
Set oRst = oCmd.Execute

WScript.Echo "searching for objects with 'admin count = 1' in " & sDomain

If oRst.RecordCount = 0 Then
WScript.Echo "no accounts found"
WScript.Quit
End If

Do While Not oRst.EOF
WScript.Echo "found object " & oRst.Fields("ADsPath")
If SetInheritanceFlag(oRst.Fields("ADsPath")) = 0 Then WScript.Echo "Inheritance flag set"
If SetAdminCount(oRst.Fields("ADsPath"), 0) = 0 Then WScript.Echo "adminCount set to 0"
WScript.Echo "=========================================="
oRst.MoveNext
Loop


Private Function SetInheritanceFlag(DSObjectPath)

Dim oSD
Dim oDACL
Dim lFlag
Dim oIADs

Set oIADs = GetObject(DSObjectPath)

Set oSD = oIADs.Get("nTSecurityDescriptor")

If oSD.Control And SE_DACL_PROTECTED Then
oSD.Control = oSD.Control - SE_DACL_PROTECTED
End If

oIADs.Put "nTSecurityDescriptor", oSD
oIADs.SetInfo

If Err.Number <> 0 Then
SetInheritanceFlag = Err.Number
Else
SetInheritanceFlag = 0
End If

End Function


Private Function SetAdminCount(DSObjectPath, AdminCount)

Dim oIADs
Dim iAdminCount

Set oIADs = GetObject(DSObjectPath)

iAdminCount = oIADs.Get("adminCount")

If iAdminCount = 1 Then iAdminCount = 0

oIADs.Put "adminCount", iAdminCount
oIADs.SetInfo
If Err.Number <> 0 Then
SetAdminCount = Err.Number
Else
SetAdminCount = 0
End If

End Function

Um sicherzustellen, dass Sie Benutzer nicht beeinträchtigt, sollten Sie zuerst Benutzer dump AdminCount Ldifde.exe mit 1 festgelegt haben. Dazu geben Sie folgenden Befehl an der Befehlszeile und dann die EINGABETASTE:
Ldifde – f Admincount 1.txt - d dc =Ihre Domäne - R "(& (objectcategory=person)(objectclass=user)(admincount=1))"
Prüfung müssen die Ausgabedatei zu bestätigen, dass alle Benutzer die DACL Bit deaktiviert geschützt mit Berechtigungen geerbt nur Zugriff gesteuert Einträge (ACEs). Diese Methode wird bevorzugt und nicht vorhandene Sicherheit Schwächen.

Methode 2: Aktivieren der Vererbung für AdminSDHolder-container

Aktivieren Sie Vererbung AdminSDHolder-Container haben alle Mitglieder geschützten Gruppen aktivierte Berechtigungen geerbt. Sicherheit-Funktionalität wird diese Methode das Verhalten der AdminSDHolder-Container, die Funktionalität vor Service Pack 4.

Aktivieren der Vererbung für AdminSDHolder-container

Aktivieren Sie Vererbung AdminSDHolder-Container ist eines der zwei Schutzmaßnahmen Zugriffssteuerungsliste Zugriffssteuerungsmechanismen deaktiviert. Berechtigungen werden angewendet. Allerdings erben alle Mitglieder geschützter Gruppen Berechtigungen der Organisationseinheit und alle übergeordneten Organisationseinheiten Wenn Vererbung Ebene Organisationseinheit aktiviert ist.

Vererbung von Schutzfunktionen für Administratoren verschieben Sie alle Administratoren (und andere Benutzer, die Vererbung Schutz) in ihrer eigenen Organisationseinheit. Entfernen Sie auf der Ebene der Organisationseinheit Vererbung, und legen Sie die Berechtigungen entsprechend der aktuellen ACLs für AdminSDHolder-Container. Da die Berechtigungen für den Container "AdminSDHolder" variieren (z. B. Microsoft Exchange Server fügt einige Berechtigungen oder die Berechtigungen geändert werden können), ein Mitglied einer geschützten Gruppe aktuellen Berechtigungen für den Container "AdminSDHolder" überprüfen. Beachten Sie, dass die Benutzeroberfläche (UI) nicht alle Berechtigungen auf den Container "AdminSDHolder" angezeigt. Verwenden Sie DSacls alle Berechtigungen auf den Container "AdminSDHolder" anzeigen.

Vererbung AdminSDHolder-Container können mithilfe von ADSI Edit oder Active Directory-Benutzer und-Computer. Pfad des AdminSDHolder-Containers ist CN = AdminSDHolder, CN = System, DC = < MeineDomäne >, DC = < Com >

Hinweis Wenn Sie Active Directory-Benutzer und-Computer verwenden, achten Sie
Erweiterte Funktionen wird im Menü Ansicht ausgewählt.

So aktivieren Sie Vererbung AdminSDHolder-Container
  1. Maustaste auf den Container und klicken Sie dann auf
    Eigenschaften.
  2. Klicken Sie auf die Registerkarte Sicherheit.
  3. Klicken Sie auf Erweitert.
  4. Aktivieren Sie das Kontrollkästchen Vererbbare Berechtigungen dieses Objekt und alle untergeordneten Objekte verbreiten .
  5. Klicken Sie auf OK, und klicken Sie dann auf
    Schließen.
Beim nächsten SDProp Thread ausgeführt wird, wird auf alle Mitglieder geschützter Gruppen Vererbungsflag festgelegt. Dieses Verfahren kann bis zu 60 Minuten dauern. Kann diese Änderung vom primären Domänencontroller (PDC) repliziert.

Methode 3: Vermeiden Sie Vererbung und nur ACLs

Wenn nicht möchten, dass Benutzer, die Mitglieder einer geschützt sind, befinden sich die Benutzer in, den Container Berechtigungen erben Sie die Sicherheit für die Benutzerobjekte ändern möchten, können Sie die Sicherheit für AdminSDHolder-Containerverzeichnis bearbeiten. In diesem Szenario müssen Sie keinen für AdminSDHolder-Container die Vererbung aktivieren. Sie müssen nur diese Gruppe hinzufügen oder Bearbeiten der Sicherheits von Sicherheitsgruppen, die bereits AdminSDHolder-Container definiert. Nach einer Stunde gelten SDProp Thread Zugriffskontrolllisten AdminSDHolder-Container alle Mitglieder geschützter Gruppen ändern. Member erben nicht die Sicherheit des Containers, die im befinden.

Beispielsweise selbst Konto erfordert das Recht an alle Eigenschaften lesen . Bearbeiten der AdminSDHolder-Container Sicherheit damit dieses Recht selbst können Konto. Nach einer Stunde dieses Recht kann selbst Konto für alle Benutzer, die Mitglieder geschützter Gruppen sind. Das Vererbungsflag wird nicht geändert.

Im folgenden Beispiel wird veranschaulicht, wie Änderungen auf AdminSDHolder -Objekt. Dieses Beispiel erteilt die folgenden Berechtigungen auf der
AdminSDHolder -Objekt:
  • Inhalt auflisten
  • Alle Eigenschaften lesen
  • Alle Eigenschaften schreiben
Gehen Sie folgendermaßen vor, um diese Berechtigungen für das Objekt AdminSDHolder :
  1. Klicken Sie in Active Directory-Benutzer und-Computer
    Erweiterte Funktionen im Menü Ansicht.
  2. Suchen Sie das Objekt AdminSDHolder . Das Objekt ist am folgenden Speicherort für jede Domäne in der Gesamtstruktur:
    CN = AdminSDHolder, CN = System,DC = Domain, DC = com Hier
    DC = Domain, DC = com der distinguished Name der Domäne.
  3. AdminSDHolderMaustaste, und klicken Sie dann auf
    Eigenschaften.
  4. Klicken Sie im Dialogfeld Eigenschaften auf der
    Sicherheit Registerkarte, und klicken Sie dann auf Erweitert.
  5. Klicken Sie im Dialogfeld Kennwort für AdminSDHolder Hinzufügen auf das
    Registerkarte " Berechtigungen ".
  6. Klicken Sie im Dialogfeld Benutzer, Computer oder Gruppeauf das Konto verknüpften Berechtigungen werden soll und klicken Sie dann auf OK.
  7. Klicken Sie im Dialogfeld Berechtigungseintrag für AdminSDHolderklicken Sie auf dieses Objekt im Feld Übernehmen und klicken Sie dann auf Inhalt auflisten Alle Eigenschaften lesenund Rechte alle Eigenschaften schreiben.
  8. Klicken Sie auf OK , um das Dialogfeld Berechtigungseintrag für AdminSDHolder im Dialogfeld Kennwort für AdminSDHolder und AdminSDHolder Eigenschaften -Dialogfeld schließen.
Innerhalb einer Stunde aktualisiert die ACL der Benutzerobjekte geschützten Gruppen entsprechend zugeordnet. Für Weitere Informationen klicken Sie auf die folgenden Artikelnummern klicken, um die Artikel der Microsoft Knowledge Base:

Beschreibung und Aktualisieren von Active Directory AdminSDHolder-Objekt 232199

318180 AdminSDHolder Thread wirkt sich auf transitiven Mitgliedern Verteilergruppe aus

Status

Microsoft hat bestätigt, dass es ein Problem bei den Microsoft-Produkten handelt, die im Abschnitt "Gilt für" aufgeführt sind. Dieses Problem wurde erstmals in Windows Server 2003 Service Pack 1.

Weitere Informationen

Active Directory verwendet einen Schutzmechanismus zu ACLs für Mitglieder vertrauliche Gruppen ordnungsgemäß festgelegt sind. Der Mechanismus wird einmal pro Stunde auf dem PDC-Betriebsmaster ausgeführt. Der Betriebsmaster vergleicht die ACL für die Benutzerkonten, die Mitglieder geschützter Gruppen mit der Zugriffssteuerungsliste für das folgende Objekt:
CN=adminSDHolder,CN=System,DC=<MyDomain>,DC=<Com>

Hinweis "DC =< MeineDomäne >, DC =< Com >" distinguished Name (DN) Ihrer Domäne darstellt.

Wenn die ACL unterscheidet, die ACL auf die Einstellung des AdminSDHolder-Objekts entsprechend überschrieben (und ACL-Vererbung deaktiviert). Dieser Vorgang verhindert, dass diese Konten durch nicht autorisierte Benutzer geändert werden, wenn die Konten an einen Container oder die Organisationseinheit verschoben werden, in dem ein böswilliger Benutzer delegierte administrative Anmeldeinformationen ändern Benutzerkonten wurde. Beachten Sie, dass wenn ein Benutzer aus der administrativen Gruppe entfernt wird, die nicht storniert und manuell geändert werden muss.

Hinweis Die Häufigkeit, mit der das Objekt AdminSDHolder Sicherheitsdeskriptoren aktualisiert, erstellen oder ändern den Eintrag AdminSDProtectFrequency im folgenden Registrierungsunterschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Wenn der AdminSDProtectFrequency-Registrierungseintrag nicht vorhanden ist, aktualisiert das Objekt AdminSDHolder Sicherheitsdeskriptoren 60 Minuten (3600 Sekunden). Dieser Registrierungseintrag können diese Frequenz auf jeden Fall 1 Minute (60 Sekunden) bis 2 Stunden (7200 Sekunden) festgelegten Wert in Sekunden eingeben. Jedoch empfohlen nicht, diesen Wert außer kurzzeitig testen ändern. Ändern diesen Wert erhöhen LSASS Verarbeitungsaufwand.

Die folgende Liste beschreibt die geschützten Gruppen in Windows 2000:
  • Administratoren
  • Domänen-Admins
  • Organisations-Admins
  • Schema-Admins

Die folgende Liste beschreibt die geschützten Gruppen in Windows Server 2003 und Windows 2000, nachdem Sie den Hotfix 327825 oder Installation von Windows 2000 Service Pack 4:
  • Konten-Operatoren
  • Administratoren
  • Sicherungsoperatoren
  • Zertifikat-Herausgeber
  • Domänen-Admins
  • Domäne-Controller *
  • Organisations-Admins
  • Druck-Operatoren
  • Replicator
  • Schema-Admins
  • Server-Operatoren
Darüber hinaus die folgenden Benutzer gelten als geschützt:
  • Administrator
  • KRBTGT

Die folgende Liste beschreibt die geschützten Gruppen in Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008:

  • Konten-Operatoren
  • Administratoren
  • Sicherungsoperatoren
  • Domänen-Admins
  • Domäne-Controller *
  • Organisations-Admins
  • Druck-Operatoren
  • Read-only Domain Controller *
  • Replicator
  • Schema-Admins
  • Server-Operatoren
Darüber hinaus die folgenden Benutzer gelten als geschützt:
  • Administrator
  • KRBTGT

* Nur geschützt, nicht die Elemente.

Beachten Sie, dass die Mitgliedschaft in Verteilergruppen ein Benutzertoken nicht aufgefüllt. Daher können Sie Tools wie "Whoami" um Gruppenmitgliedschaft zu bestimmen.

Weitere Informationen über delegierte Administration Whitepaper Best Practices for Delegating Active Directory Administration . Zu diesem Zweck besuchen Sie die folgende Microsoft-Website:
Eigenschaften

Artikelnummer: 817433 – Letzte Überarbeitung: 24.01.2017 – Revision: 2

Feedback