Los permisos delegados no están disponibles y la herencia está deshabilitada automáticamente

Se aplica a: Microsoft Windows Server 2003 Datacenter Edition for Itanium-Based SystemsMicrosoft Windows Server 2003 Enterprise Edition for Itanium-based SystemsMicrosoft Windows Server 2003 Datacenter Edition (32-bit x86)

Síntomas


Después de actualizar a Microsoft Windows Server 2003, puede experimentar los síntomas siguientes:
  • Los permisos delegados no están disponibles para todos los usuarios en una unidad organizativa.
  • La herencia está deshabilitada automáticamente en algunas cuentas de usuario aproximadamente una vez cada hora
  • Los usuarios que anteriormente habían delegado permisos, ya no tenerlos.
Este comportamiento también puede producirse después de aplicar la revisión descrita en el artículo de Microsoft Knowledge Base 327825 a Microsoft Windows 2000 Server o después de instalar Windows 2000 Service Pack 4 en Microsoft Windows 2000 Server. Para obtener más información acerca de la revisión 327825 de Windows 2000, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
327825 nueva solución de problemas con la autenticación Kerberos cuando los usuarios pertenecen a muchos grupos

Causa


Al delegar permisos mediante el Asistente para delegación de Control, estos permisos se basan en el objeto de usuario que hereda los permisos del contenedor primario. Miembros de grupos protegidos no heredan permisos del contenedor primario. Por lo tanto, si establece permisos mediante el Asistente para delegación de Control, estos permisos no se aplican a los miembros de grupos protegidos.

Nota: Pertenencia a un grupo protegido se define como pertenencia directa o pertenencia transitiva mediante uno o más grupos de seguridad o de distribución. Grupos de distribución se incluyen porque se pueden convertir en grupos de seguridad.

En Windows Server 2003 y versiones posteriores, se ha aumentado el número de grupos que están protegidos para mejorar la seguridad en Active Directory (consulte la sección "Más información"). También aumenta el número de grupos que están protegidos si aplica la revisión 327825 a Windows 2000.

Solución


Para resolver este problema, puede instalar una revisión. Debe instalar la revisión en el controlador de dominio que desempeña la función de maestro de operaciones de dominio principal (PDC) del controlador emulador en cada dominio. Además, debe instalar la revisión en todos los controladores de dominio que se pueden utilizar para asumir esta función si el titular de la función de maestro de operaciones de emulador PDC actual no está disponible. Si no está seguro del controlador de dominio que se utilizaría para asumir la función, se recomienda que considere la posibilidad de instalar la revisión en todos los controladores de dominio. Si un controlador de dominio sin el hotfix asume la función de maestro de operaciones de emulador PDC, se restablecerán a los permisos del usuario.

Información sobre hotfix de Windows 2000

Existe un hotfix disponible desde Microsoft. Sin embargo, esta revisión se diseñó para corregir únicamente el problema que se describe en este artículo. Aplíquela sólo a sistemas que experimenten este problema específico.

Si la revisión está disponible para su descarga, hay una sección de "Descarga de revisión disponible" en la parte superior de este artículo de Knowledge Base. Si esta sección no aparece, envíe una solicitud al servicio de atención al cliente y soporte técnico para obtener la revisión.

Nota: Si se producen problemas adicionales o si se requiere cualquier otra solución, será necesario crear una solicitud de revisión independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no califican para esta revisión específica. Para obtener una lista completa de los números de teléfono de servicio al cliente de Microsoft o para crear una solicitud de servicio independiente, visite el siguiente sitio Web de Microsoft:Nota: El formulario de "Descarga de Hotfix disponible" muestra los idiomas para los que el Hotfix está disponible. Si no ve su idioma, es porque no hay una revisión para ese idioma.

Requisito de reinicio

Debe reiniciar el equipo después de aplicar este hotfix.

Información de reemplazo de revisión

Este hotfix no sustituye a otras revisiones.

Información de archivo

La versión en inglés de esta revisión tiene los atributos de archivo (o atributos del archivo más reciente) mostrados en la tabla siguiente. Las fechas y horas de estos archivos se muestran en la hora Universal coordinada (UTC). Al ver la información del archivo, se convierte en hora local. Para encontrar la diferencia entre la hora UTC y la hora local, utilice la ficha Zona horaria en el elemento de Fecha y hora del Panel de control.

Información de service pack de Windows Server 2003

Para resolver este problema, obtenga el service pack más reciente para Windows Server 2003. Para obtener más información, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:
889100 cómo obtener el service pack más reciente para Windows Server 2003

Información de hotfix de Windows Server 2003

Existe un hotfix disponible desde Microsoft. Sin embargo, esta revisión se diseñó para corregir únicamente el problema que se describe en este artículo. Aplíquela sólo a sistemas que experimenten este problema específico. Esta revisión podría ser sometida a comprobaciones adicionales. Por lo tanto, si no se ve muy afectado por este problema, recomendamos que espere a la próxima actualización de software que contenga este hotfix.

Si la revisión está disponible para su descarga, hay una sección de "Descarga de revisión disponible" en la parte superior de este artículo de Knowledge Base. Si esta sección no aparece, póngase en contacto con el servicio al cliente de Microsoft y soporte técnico para obtener la revisión.

Nota: Si se producen problemas adicionales o si se requiere cualquier otra solución, será necesario crear una solicitud de revisión independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no califican para esta revisión específica. Para obtener una lista completa de los números de teléfono de servicio al cliente de Microsoft o para crear una solicitud de servicio independiente, visite el siguiente sitio Web de Microsoft:Nota: El formulario de "Descarga de Hotfix disponible" muestra los idiomas para los que el Hotfix está disponible. Si no ve su idioma, es porque no hay una revisión para ese idioma. Versión del inglés de esta revisión tiene los atributos de archivo (o atributos de último archivo) mostrados en la tabla siguiente. Las fechas y horas de estos archivos se muestran en la hora Universal coordinada (UTC). Al ver la información del archivo, se convierte en hora local. Para encontrar la diferencia entre la hora UTC y la hora local, utilice la ficha zona horaria en el elemento fecha y hora del Panel de Control.

Requisito de reinicio

Debe reiniciar el equipo después de aplicar este hotfix.

Información de reemplazo de revisión

Este hotfix no sustituye a otras revisiones.

Información de archivo

Windows Server 2003, ediciones de 32 bits
Windows Server 2003, ediciones de 64 bits
Después de instalar el hotfix en Windows 2000 y en Windows Server 2003, puede establecer para todo el bosque
indicadores dsHeuristic para controlar qué grupos de operadores están protegidos por adminSDHolder. Con esta nueva opción, puede establecer algunos o todos los inscrito cuatro grupos protegidos al comportamiento de Windows 2000 original. Posición del carácter 16 se interpreta como un valor hexadecimal, donde el carácter del extremo izquierdo ocupa la posición 1. Por lo tanto, los únicos valores válidos son "0" a "f". Cada grupo de operador tiene un bit específico como sigue:
  • Bit 0: Opers.
  • Bit 1: Opers.
  • Bit 2: Operadores de impresión
  • Bit 3: Operadores de copia
Por ejemplo, un valor de 0001 significa excluir operadores de cuentas. 'C' el valor excluiría (0100) de operadores de impresión y operadores de copia de seguridad (1000) porque la suma binaria 1100 refleja un valor hexadecimal de 0xC.

Para habilitar la nueva funcionalidad, debe modificar un objeto en el contenedor de configuración. Esta configuración es todo el bosque. Para modificar el objeto, siga estos pasos:
  1. Busque el objeto que desea modificar.
    Para obtener más información acerca de cómo hacerlo, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

    326690 las operaciones LDAP anónimas en Active Directory están deshabilitadas en los controladores de dominio de Windows Server 2003

  2. En el símbolo del sistema, escriba ldp.exey, a continuación, presione ENTRAR para iniciar la utilidad LDP.
  3. Haga clic en conexión, haga clic en
    Conectar y, a continuación, haga clic en Aceptar.
  4. Haga clic en conexión, haga clic en
    Enlazar, escriba el nombre de usuario y la contraseña de un administrador de raíz de bosque y, a continuación, haga clic en Aceptar.
  5. Haga clic en Ver, haga clic en árboly, a continuación, haga clic en Aceptar.
  6. Con View\Tree, abra el NC de configuración siguiente:
    CN = Directory Service, CN = Windows NT, CN = Servicios, CN = Configuration, DC =dominio raíz del bosque
  7. Buscar el objeto servicio de directorio y, a continuación, haga doble clic en él.
  8. Compruebe el atributo de objeto de lista a la derecha para determinar si ya se ha establecido el atributo dsHeuristics . Si se establece, copie el valor existente en el Portapapeles.
  9. Haga clic en los objetos de Servicio de directorio en el lado izquierdo y, a continuación, haga clic en Modificar.
  10. Como el nombre del atributo, escriba
    dsHeuristics.
  11. Como un valor, escriba 000000000100000f. Sustituya los ceros en la primera parte del valor por lo que ya tenga en dsHeuristics. Asegúrese de que tiene el formato correcto recuento de dígitos hasta la "f" o lo que sea de bits desea establecer.

    Nota: Para comprobar que se están modificando los caracteres correctos, cada décimo carácter debe establecerse en el número de caracteres hasta que punto se divide por 10. Por ejemplo, el décimo carácter debe ser 1, el carácter xx debe ser 2, el trigésimo carácter debe ser 3, y así sucesivamente.
  12. Si el atributo ya existe, haga clic en
    Reemplazar en el cuadro de la operación . De lo contrario, haga clic en Agregar.
  13. Presione ENTRAR en la derecha al grupo de operación para agregarlo a la transacción de LDAP.
  14. Haga clic en Ejecutar para aplicar el cambio al objeto. Después de este cambio se replica en los emuladores PDC en el bosque, los que se ejecutan esta revisión no protegerá a los usuarios que son miembros del grupo de operadores que haya establecido los bits para.

Solución alternativa


Para evitar este problema, utilice uno de los métodos siguientes.

Método 1: Asegúrese de que los miembros no son miembros de un grupo protegido

Si utiliza los permisos que se delegan en el nivel de unidad organizativa, asegúrese de que todos los usuarios que requieren los permisos delegados no son miembros de uno de los grupos protegidos. Para los usuarios que anteriormente eran miembros de un grupo protegido, el indicador de herencia no se restablece automáticamente cuando se quita el usuario de un grupo protegido. Para ello, puede utilizar la siguiente secuencia de comandos.

Nota: Esta secuencia de comandos comprueba el indicador de herencia para todos los usuarios cuyo AdminCount se establece en 1. Si está deshabilitada la herencia (SE_DACL_PROTECTED está establecido), la secuencia de comandos permitirá la herencia. Si ya está habilitada la herencia, herencia permanecerá habilitada. Además, se restablecerán AdminCount en 0. Cuando se ejecuta de nuevo el subproceso adminSDHolder, se deshabilita la herencia y establezca AdminCount en 1 para todos los usuarios que permanecen en grupos protegidos. Por lo tanto, AdminCount y la herencia se establecen correctamente para todos los usuarios que no son miembros de grupos protegidos.

Importante: Si está ejecutando esta secuencia de comandos desde un sistema que ejecuta Windows Vista y superior, abra un símbolo del sistema con privilegios administrativos y, a continuación, ejecutar esta secuencia de comandos.

Utilice el siguiente comando para ejecutar la secuencia de comandos:
cscript /nologo resetaccountsadminsdholder.vbs

Microsoft proporciona ejemplos de programación únicamente con fines ilustrativos, sin ninguna garantía expresa o implícita. Esto incluye, pero no se limita, a las garantías implícitas de comerciabilidad o idoneidad para un propósito particular. Este artículo asume que está familiarizado con el lenguaje de programación que se muestra y con las herramientas que se utilizan para crear y depurar procedimientos. Los ingenieros de soporte técnico de Microsoft pueden explicarle la funcionalidad de un determinado procedimiento, pero no modificarán estos ejemplos para ofrecer mayor funcionalidad ni crearán procedimientos que cumplan sus requisitos específicos.
'********************************************************************
'*
'* File: ResetAccountsadminSDHolder.vbs
'* Created: November 2003
'* Version: 1.0
'*
'* Main Function: Resets all accounts that have adminCount = 1 back
'*to 0 and enables the inheritance flag
'*
'* ResetAccountsadminSDHolder.vbs
'*
'* Copyright (C) 2003 Microsoft Corporation
'*
'********************************************************************

Const SE_DACL_PROTECTED = 4096

On Error Resume Next

Dim sDomain
Dim sADsPath
Dim sPDC


Dim oCon
Dim oCmd
Dim oRst
Set oRst = CreateObject("ADODB.Recordset")
Set oCmd = CreateObject("ADODB.Command")
Set oCon = CreateObject("ADODB.Connection")

Dim oRoot
Dim oDomain
Dim oADInfo
Dim oInfo
Set oADInfo = CreateObject("ADSystemInfo")
Set oInfo = CreateObject("WinNTSystemInfo")
sPDC = oInfo.PDC & "." & oADInfo.DomainDNSName

oCon.Provider = "ADSDSOObject"
oCon.Open "Active Directory Provider"

oCmd.ActiveConnection = oCon

Set oRoot = GetObject("LDAP://rootDSE")
sDomain = oRoot.Get("defaultNamingContext")
Set oDomain = GetObject("LDAP://" & sDomain)
sADsPath = "<" & oDomain.ADsPath & ">"

oCmd.CommandText = "SELECT ADsPath FROM 'LDAP://" & sPDC & "/" & sDomain & "' WHERE objectCategory='person' and objectClass = 'user' AND adminCount = 1"
Set oRst = oCmd.Execute

WScript.Echo "searching for objects with 'admin count = 1' in " & sDomain

If oRst.RecordCount = 0 Then
WScript.Echo "no accounts found"
WScript.Quit
End If

Do While Not oRst.EOF
WScript.Echo "found object " & oRst.Fields("ADsPath")
If SetInheritanceFlag(oRst.Fields("ADsPath")) = 0 Then WScript.Echo "Inheritance flag set"
If SetAdminCount(oRst.Fields("ADsPath"), 0) = 0 Then WScript.Echo "adminCount set to 0"
WScript.Echo "=========================================="
oRst.MoveNext
Loop


Private Function SetInheritanceFlag(DSObjectPath)

Dim oSD
Dim oDACL
Dim lFlag
Dim oIADs

Set oIADs = GetObject(DSObjectPath)

Set oSD = oIADs.Get("nTSecurityDescriptor")

If oSD.Control And SE_DACL_PROTECTED Then
oSD.Control = oSD.Control - SE_DACL_PROTECTED
End If

oIADs.Put "nTSecurityDescriptor", oSD
oIADs.SetInfo

If Err.Number <> 0 Then
SetInheritanceFlag = Err.Number
Else
SetInheritanceFlag = 0
End If

End Function


Private Function SetAdminCount(DSObjectPath, AdminCount)

Dim oIADs
Dim iAdminCount

Set oIADs = GetObject(DSObjectPath)

iAdminCount = oIADs.Get("adminCount")

If iAdminCount = 1 Then iAdminCount = 0

oIADs.Put "adminCount", iAdminCount
oIADs.SetInfo
If Err.Number <> 0 Then
SetAdminCount = Err.Number
Else
SetAdminCount = 0
End If

End Function
Para asegurarse de que no afectan negativamente los usuarios, se recomienda que primero volcar los usuarios que tienen AdminCount establecer 1 utilizando Ldifde.exe. Para ello, escriba el comando siguiente en un símbolo del sistema y, a continuación, presione ENTRAR:
ldifde -f Admincount-1.txt - d dc =su dominio - r "(& (objectcategory=person)(objectclass=user)(admincount=1))"
Revisar el archivo de salida para confirmar que todos los usuarios que tendrán la DACL protección bits desactivada tendrá los permisos correctos con hereda entradas (ACE) de acceso controlado sólo. Este método es preferible y no debilite la seguridad existente.

Método 2: Habilitar la herencia en el contenedor adminSDHolder

Si habilita la herencia en el contenedor adminSDHolder, todos los miembros de los grupos protegidos han heredado permisos habilitados. En términos de funcionalidad de seguridad, este método cambia el comportamiento del contenedor adminSDHolder a la funcionalidad de anteriores al Service Pack 4.

Habilitar la herencia en el contenedor adminSDHolder

Si habilita la herencia en el contenedor adminSDHolder, uno de los dos mecanismos de lista (ACL) de control de acceso de protección está deshabilitada. Se aplican los permisos predeterminados. Sin embargo, todos los miembros de grupos protegidos heredan permisos de la unidad organizativa y en cualquier unidad organizativa primaria si la herencia está habilitada en el nivel de unidad organizativa.

Para proporcionar protección de herencia para usuarios administrativos, mueva todos los usuarios administrativos (y a otros usuarios que requieren protección de herencia) para su propia unidad organizativa. En el nivel de unidad organizativa, quitar la herencia y, a continuación, establezca los permisos para que coincida con las ACL en el contenedor adminSDHolder. Dado que los permisos en el contenedor adminSDHolder pueden variar (por ejemplo, Microsoft Exchange Server agrega algunos permisos o los permisos pueden haberse modificados), revise un miembro de un grupo protegido para los permisos actuales sobre el adminSDHolder contenedor. Tenga en cuenta que la interfaz de usuario (IU) no muestra todos los permisos en el contenedor adminSDHolder. Utilizar DSacls para ver todos los permisos en el contenedor adminSDHolder.

Puede habilitar la herencia en el contenedor adminSDHolder mediante ADSI Edit o usuarios de Active Directory y equipos. La ruta de acceso del contenedor adminSDHolder es CN = adminSDHolder, CN = System, DC = < midominio >, DC = < Com >

Nota: Si utiliza Active Directory Users and Computers, asegúrese de
Características avanzadas está seleccionado en el menú Ver .

Para habilitar la herencia en el contenedor adminSDHolder:
  1. Haga clic en el contenedor y, a continuación, haga clic en
    Propiedades.
  2. Haga clic en la pestaña Seguridad .
  3. Haga clic en Avanzadas.
  4. Haga clic para activar la casilla de verificación de los permisos heredables se propaguen a este objeto y todos los objetos secundarios .
  5. Haga clic en Aceptary, a continuación, haga clic en
    Cerrar.
La próxima vez que se ejecuta el subproceso SDProp, se establece el indicador de herencia en todos los miembros de grupos protegidos. Este procedimiento puede tardar hasta 60 minutos. Permitir tiempo suficiente para que este cambio se replique desde el controlador de dominio principal (PDC).

Método 3: Evite una herencia y sólo cambiar las ACL

Si no desea que los usuarios que son miembros de grupos protegidos para heredar los permisos del contenedor que los usuarios residen en y desea cambiar la seguridad en los objetos de usuario, puede editar la seguridad en el directorio de contenedor adminSDHolder. En este escenario, no es necesario habilitar la herencia en el contenedor adminSDHolder. Sólo tienes que agregar ese grupo o modificar la seguridad de los grupos de seguridad que ya están definidos en el contenedor adminSDHolder. Después de una hora, el subproceso SDProp aplicará el cambio realizado en las ACL del contenedor adminSDHolder a todos los miembros de grupos protegidos. Los miembros no heredará la seguridad de que residen en el contenedor.

Por ejemplo, el Self cuenta requiere el derecho de Permitir para leer todas las propiedades . Editar la configuración de seguridad del contenedor adminSDHolder para permitir que este derecho de uno mismo cuenta. Después de una hora, este derecho se permitirá el Self cuenta para todos los usuarios que son miembros de grupos protegidos. No se cambia el indicador de herencia.

En el ejemplo siguiente se muestra cómo aplicar cambios en el objeto adminSDHolder . Este ejemplo otorga los siguientes permisos en la
objeto adminSDHolder :
  • Mostrar el contenido
  • Leer todas las propiedades
  • Escribir todas las propiedades
Para conceder estos permisos en el objeto adminSDHolder , siga estos pasos:
  1. Usuarios de Active Directory y equipos, haga clic en
    Características avanzadas en el menú Ver.
  2. Busque el objeto adminSDHolder . El objeto está en la siguiente ubicación para cada dominio del bosque de Active Directory:
    CN = adminSDHolder, CN = System,DC = dominio, DC = com Aquí,
    DC = dominio, DC = com es el nombre completo del dominio.
  3. Haga clic derecho en adminSDHoldery, a continuación, haga clic en
    Propiedades.
  4. En el cuadro de diálogo Propiedades , haga clic en el
    Seguridad ficha y, a continuación, haga clic en Avanzadas.
  5. En el cuadro de diálogo Configuración de Control de acceso para adminSDHolder , haga clic en Agregar en el
    Ficha permisos .
  6. En el cuadro de diálogo Seleccionar usuario, equipo o grupo, haga clic en la cuenta a la que desea conceder permisos relacionados y, a continuación, haga clic en Aceptar.
  7. En el cuadro de diálogo Entrada de permiso para adminSDHolder, haga clic en sólo este objeto en el cuadro Aplicar en y, a continuación, haga clic en Mostrar contenido, Leer todas las propiedadesy derechos de escribir todas las propiedades.
  8. Haga clic en Aceptar para cerrar el cuadro de diálogo Entrada de permiso para adminSDHolder , el cuadro de diálogo Configuración de Control de acceso para adminSDHolder y el cuadro de diálogo Propiedades de adminSDHolder .
Dentro de una hora, se actualizará la lista ACL en los objetos de usuario asociados con los grupos protegidos para reflejar los cambios. Para obtener más información, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:

232199 descripción y actualización del objeto adminSDHolder de Active Directory

318180 el subproceso AdminSDHolder afecta a los miembros transitivos de los grupos de distribución

Estado


Microsoft ha confirmado que se trata de un problema de los productos de Microsoft que se enumeran en la sección "Aplicable a". Este problema se corrigió primero en Windows Server 2003 Service Pack 1.

Más información


Active Directory utiliza un mecanismo de protección para asegurarse de que las listas ACL estén correctamente configuradas para los miembros de los grupos importantes. El mecanismo ejecuta una vez cada hora en el maestro de operaciones de PDC. El maestro de operaciones compara la ACL en las cuentas de usuario que son miembros de grupos protegidos contra la ACL en el objeto siguiente:
CN=adminSDHolder,CN=System,DC=<MyDomain>,DC=<Com>

Nota: "DC =< midominio >, DC =< Com >" representa el nombre distintivo (DN) de su dominio.

Si la ACL es diferente, se sobrescribe la ACL en el objeto de usuario para reflejar la configuración de seguridad del objeto adminSDHolder (y está deshabilitada la herencia de LCA). Este proceso protege estas cuentas contra modificaciones por usuarios no autorizados si las cuentas se mueven a un contenedor o unidad organizativa donde un usuario malintencionado ha sido delegadas credenciales administrativas para modificar cuentas de usuario. Tenga en cuenta que cuando se quita un usuario del grupo administrativo, el proceso no se invierte y debe cambiarse manualmente.

Nota: Para controlar la frecuencia a la que el objeto adminSDHolder actualiza descriptores de seguridad, crear o modificar la entrada AdminSDProtectFrequency en la siguiente subclave del registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Cuando la entrada del registro AdminSDProtectFrequency no está presente, el objeto adminSDHolder actualiza descriptores de seguridad cada 60 minutos (3600 segundos). Puede utilizar esta entrada del registro para establecer esta frecuencia a cualquier velocidad entre 1 minuto (60 segundos) y 2 horas (7200 segundos), escriba el valor en segundos. Sin embargo, recomendamos que modifique este valor excepto durante períodos de pruebas breves. Modificar este valor puede aumentar la sobrecarga de procesamiento de LSASS.

La lista siguiente describen los grupos protegidos en Windows 2000:
  • Administradores
  • Administradores de dominio
  • Administradores de empresa
  • Administradores de esquema

La lista siguiente describen los grupos protegidos en Windows Server 2003 y en Windows 2000 después de aplicar la revisión 327825 o instalar Windows 2000 Service Pack 4:
  • Operadores de cuentas
  • Administradores
  • Operadores de copia de seguridad
  • Publicadores de certificados
  • Administradores de dominio
  • Controladores de dominio *.
  • Administradores de empresa
  • Operadores de impresión
  • Replicator
  • Administradores de esquema
  • Operadores de servidores
Además los usuarios siguientes también se consideran protegidos:
  • Administrador de
  • Krbtgt

La lista siguiente describen los grupos protegidos en Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008:

  • Operadores de cuentas
  • Administradores
  • Operadores de copia de seguridad
  • Administradores de dominio
  • Controladores de dominio *.
  • Administradores de empresa
  • Operadores de impresión
  • Controladores de dominio de sólo lectura *
  • Replicator
  • Administradores de esquema
  • Operadores de servidores
Además los usuarios siguientes también se consideran protegidos:
  • Administrador de
  • Krbtgt

* Grupo sólo está protegida, no los miembros.

Tenga en cuenta que la pertenencia a grupos de distribución no llena un token de usuario. Por lo tanto, no puede utilizar herramientas como "whoami" para determinar correctamente la pertenencia a grupo.

Para obtener más información acerca de la administración delegada, descargue las notas del producto Best Practices for Delegating Active Directory Administration . Para ello, visite el siguiente sitio web de Microsoft: