Subproceso AdminSDHolder afecta a los miembros transitivos de los grupos de distribución

Resumen

Un controlador de dominio de Active Directory que desempeña la función principal del controlador (PDC) de dominio principal del operaciones (también conocido como la función de operaciones de maestro único flexible o la función de FSMO) ejecuta un subproceso cada hora para comprobar que el control de acceso (ACL) enumera en los siguientes grupos y todos los objetos de miembro de estos grupos:
  • Administradores de empresa
  • Administradores de esquema
  • Administradores de dominio
  • Administradores
  • Controladores de dominio
  • Publicadores de certificados
  • Operadores de copia de seguridad
  • Operadores de servidores de Replicator
  • Operadores de cuentas
  • Operadores de impresión
Si una cuenta de usuario es un miembro de uno de estos grupos administrativos debido a su pertenencia a un grupo de distribución, la ACL de la cuenta de usuario se comprueba cuando el subproceso se ejecuta y puede restablecerse para que coincida con la ACL del subproceso AdminSDHolder. Si utiliza el comando repadmin /showmeta nombre completo del usuario para ver la cuenta de usuario, verá que se establece el atributo ntSecurityDescriptor dentro de una hora desde la última vez que se cambia la ACL de la cuenta de usuario. La cuenta de usuario también contiene el atributo AdminCount .

Este artículo describe cómo el subproceso AdminSDHolder afecta a los miembros transitivos de los grupos de distribución.
Para obtener información adicional sobre el subproceso AdminSDHolder, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

232199 descripción y actualización del objeto AdminSDHolder de Active Directory

Más información

Pertenencia a un grupo de distribución no tiene normalmente una importancia de la seguridad. Por ejemplo, si UserA es un miembro de grupo de distribución y distribución GroupA es un miembro del grupo Administradores de dominio, UserA no es un miembro del grupo Administradores de dominio si el usuario ha iniciado sesión en el equipo. El grupo de distribución bloquea la pertenencia a grupos de seguridad. Sin embargo, el algoritmo de enumeración es utilizado por el subproceso AdminSDHolder es rápido y sencillo e incluye UserA durante la iteración transitiva del grupo Administradores de dominio.

Puede cambiar los grupos de ser un grupo de distribución a un grupo de seguridad; por lo tanto, el algoritmo de enumeración es utilizado por el subproceso AdminSDHolder garantiza que todos los miembros transitivos se tratan en ambos casos. No realice distribución grupos como integrantes de grupos de seguridad, si es posible. Experimenta un comportamiento inesperado después de cambiar el grupo de un grupo de distribución a un grupo de seguridad si no hace distribución grupos como integrantes de grupos de seguridad. Un usuario que esté cubierto por el algoritmo de enumeración es utilizado por el subproceso AdminSDHolder tiene un atributo AdminCount que tiene un valor que es mayor o igual a 1.
Propiedades

Id. de artículo: 318180 - Última revisión: 17 ene. 2017 - Revisión: 1

Comentarios