Description et mise à jour de l'objet AdminSDHolder dans Active Directory

Résumé

Les informations de cet article s'appliquent uniquement à une mise à niveau de Windows 2000 RC2 (ou versions antérieures) vers la version finale de Windows 2000. Une modification a été apportée dans Windows 2000 RC3 à la liste de contrôle d'accès (ACL) de l'objet Active Directory AdminSDHolder. Cet objet est utilisé pour contrôler les autorisations des comptes d'utilisateurs qui sont membres des groupes Administrateurs ou Administrateurs de domaines intégrés.

Chaque heure, le contrôleur de domaine Windows 2000 qui joue le rôle FSMO (Flexible Single Master Operation) du contrôleur principal de domaine compare la liste de contrôle d'accès sur toutes le entités de sécurité (comptes d'utilisateurs, de groupes et d'ordinateurs) présents pour son domaine dans Active Directory et qui se trouvent dans des groupes d'administration de la liste de contrôle d'accès sur l'objet suivant :
CN=AdminSDHolder,CN=System,DC=MyDomain,DC=Com

Remplacez "DC=MyDomain,DC=Com" dans ce chemin par le nom unique (DN) de votre domaine.
Si la liste de contrôle d'accès est différente, celle de l'objet utilisateur est remplacée pour refléter les paramètres de sécurité de l'objet AdminSDHolder (lequel désactive l'héritage de la liste de contrôle d'accès). Cela protège ces comptes d'administrateur contre toute modification par des utilisateurs non autorisés si les comptes sont déplacés vers un conteneur ou une unité d'organisation dans lesquels un utilisateur dispose de droits d'administration lui permettant de modifier les comptes d'utilisateur. Notez que lorsqu'un utilisateur est supprimé du groupe d'administration, le processus n'est pas inversé et il doit être modifié manuellement.

REMARQUE La procédure suivante n'est pas obligatoire si vous effectuez une mise à niveau de Microsoft Windows NT 4.0 vers la version finale de Windows 2000.

Plus d'informations

Pour corriger cette situation, utilisez cette procédure sur un contrôleur de domaine par domaine :
  1. Installez les outils de support de Windows 2000 à partir du CD-ROM Windows 2000 Professionnel ou Windows 2000 Server. Ces outils incluent un utilitaire Dsacls.exe que vous pouvez utiliser pour afficher, modifier ou supprimer des entrées de contrôle d'accès sur des objets d'Active Directory.
  2. Créez un fichier de commandes comportant le texte suivant, en remplaçant « DC=MyDomain,DC=Com » par le nom unique (DN) de votre domaine :
    dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\Everyone:CA;Change Password"
    dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\Pre-Windows 2000 Compatible Access:RP;Remote Access Information"
    dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\Pre-Windows 2000 Compatible Access:RP;General Information"
    dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\Pre-Windows 2000 Compatible Access:RP;Group Membership"
    dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\Pre-Windows 2000 Compatible Access:RP;Logon 7Information"
    dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\Pre-Windows 2000 Compatible Access:RP;Account Restrictions"
  3. Exécutez le fichier de commandes sur le contrôleur de domaine. Celui-ci ajoute les entrées de contrôle d'accès (ACE, Access Control Entries) pour les groupes Tout le monde et Accès compatible pré-Windows 2000.
  4. À une invite de commandes, tapez dsacls cn=adminsdholder,cn=system,dc=mydomain,dc=com, en remplaçant « DC=MyDomain,DC=Com » par le nom unique (DN) de votre domaine. Comparez-le à la sortie suivante :

    Access list:
    {This object is protected from inheriting permissions from the parent}
    Effective Permissions on this object are:
    Allow NT AUTHORITY\Authenticated Users SPECIAL ACCESS
    READ PERMISSONS
    LIST CONTENTS
    READ PROPERTY
    LIST OBJECT
    Allow BUILTIN\Administrators SPECIAL ACCESS
    DELETE
    READ PERMISSONS
    WRITE PERMISSIONS
    CHANGE OWNERSHIP
    CREATE CHILD
    DELETE CHILD
    LIST CONTENTS
    WRITE SELF
    WRITE PROPERTY
    READ PROPERTY
    LIST OBJECT
    CONTROL ACCESS
    Allow IFRPILOT\Enterprise Admins SPECIAL ACCESS
    READ PERMISSONS
    WRITE PERMISSIONS
    CHANGE OWNERSHIP
    CREATE CHILD
    DELETE CHILD
    LIST CONTENTS
    WRITE SELF
    WRITE PROPERTY
    READ PROPERTY
    LIST OBJECT
    CONTROL ACCESS
    Allow FAA\Domain Admins SPECIAL ACCESS
    READ PERMISSONS
    WRITE PERMISSIONS
    CHANGE OWNERSHIP
    CREATE CHILD
    DELETE CHILD
    LIST CONTENTS
    WRITE SELF
    WRITE PROPERTY
    READ PROPERTY
    LIST OBJECT
    CONTROL ACCESS
    Allow NT AUTHORITY\SYSTEM FULL CONTROL
    Allow BUILTIN\Pre-Windows 2000 Compatible Access SPECIAL ACCESS
    READ PERMISSONS
    LIST CONTENTS
    READ PROPERTY
    LIST OBJECT
    Allow BUILTIN\Pre-Windows 2000 Compatible Access SPECIAL ACCESS for Remote Access Information
    READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access SPECIAL ACCESS for General Information
    READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access SPECIAL ACCESS for Group Membership
    READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access SPECIAL ACCESS for Account Restrictions
    READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access SPECIAL ACCESS for Logon Information
    READ PROPERTY
    Allow Everyone Change Password
Propriétés

ID d'article : 232199 - Dernière mise à jour : 15 juin 2007 - Révision : 1

Commentaires