Description et mise à jour de l'objet AdminSDHolder dans Active Directory

Cet article a été archivé. Il est proposé « en l'état » et ne sera plus mis à jour.
Résumé
Les informations de cet article s'appliquent uniquement à une mise à niveau de Windows 2000 RC2 (ou versions antérieures) vers la version finale de Windows 2000. Une modification a été apportée dans Windows 2000 RC3 à la liste de contrôle d'accès (ACL) de l'objet Active Directory AdminSDHolder. Cet objet est utilisé pour contrôler les autorisations des comptes d'utilisateurs qui sont membres des groupes Administrateurs ou Administrateurs de domaines intégrés.

Chaque heure, le contrôleur de domaine Windows 2000 qui joue le rôle FSMO (Flexible Single Master Operation) du contrôleur principal de domaine compare la liste de contrôle d'accès sur toutes le entités de sécurité (comptes d'utilisateurs, de groupes et d'ordinateurs) présents pour son domaine dans Active Directory et qui se trouvent dans des groupes d'administration de la liste de contrôle d'accès sur l'objet suivant :
CN=AdminSDHolder,CN=System,DC=MyDomain,DC=Com

Remplacez "DC=MyDomain,DC=Com" dans ce chemin par le nom unique (DN) de votre domaine.
Si la liste de contrôle d'accès est différente, celle de l'objet utilisateur est remplacée pour refléter les paramètres de sécurité de l'objet AdminSDHolder (lequel désactive l'héritage de la liste de contrôle d'accès). Cela protège ces comptes d'administrateur contre toute modification par des utilisateurs non autorisés si les comptes sont déplacés vers un conteneur ou une unité d'organisation dans lesquels un utilisateur dispose de droits d'administration lui permettant de modifier les comptes d'utilisateur. Notez que lorsqu'un utilisateur est supprimé du groupe d'administration, le processus n'est pas inversé et il doit être modifié manuellement.

REMARQUE La procédure suivante n'est pas obligatoire si vous effectuez une mise à niveau de Microsoft Windows NT 4.0 vers la version finale de Windows 2000.
Plus d'informations
Pour corriger cette situation, utilisez cette procédure sur un contrôleur de domaine par domaine :
  1. Installez les outils de support de Windows 2000 à partir du CD-ROM Windows 2000 Professionnel ou Windows 2000 Server. Ces outils incluent un utilitaire Dsacls.exe que vous pouvez utiliser pour afficher, modifier ou supprimer des entrées de contrôle d'accès sur des objets d'Active Directory.
  2. Créez un fichier de commandes comportant le texte suivant, en remplaçant « DC=MyDomain,DC=Com » par le nom unique (DN) de votre domaine :
    dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\Everyone:CA;Change Password"
    dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\Pre-Windows 2000 Compatible Access:RP;Remote Access Information"
    dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\Pre-Windows 2000 Compatible Access:RP;General Information"
    dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\Pre-Windows 2000 Compatible Access:RP;Group Membership"
    dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\Pre-Windows 2000 Compatible Access:RP;Logon 7Information"
    dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\Pre-Windows 2000 Compatible Access:RP;Account Restrictions"
  3. Exécutez le fichier de commandes sur le contrôleur de domaine. Celui-ci ajoute les entrées de contrôle d'accès (ACE, Access Control Entries) pour les groupes Tout le monde et Accès compatible pré-Windows 2000.
  4. À une invite de commandes, tapez dsacls cn=adminsdholder,cn=system,dc=mydomain,dc=com, en remplaçant « DC=MyDomain,DC=Com » par le nom unique (DN) de votre domaine. Comparez-le à la sortie suivante :
    Access list:{This object is protected from inheriting permissions from the parent}Effective Permissions on this object are:Allow NT AUTHORITY\Authenticated Users            SPECIAL ACCESS                                                  READ PERMISSONS                                                  LIST CONTENTS                                                  READ PROPERTY                                                  LIST OBJECTAllow BUILTIN\Administrators                      SPECIAL ACCESS                                                  DELETE                                                  READ PERMISSONS                                                  WRITE PERMISSIONS                                                  CHANGE OWNERSHIP                                                  CREATE CHILD                                                  DELETE CHILD                                                  LIST CONTENTS                                                  WRITE SELF                                                  WRITE PROPERTY                                                  READ PROPERTY                                                  LIST OBJECT                                                  CONTROL ACCESSAllow IFRPILOT\Enterprise Admins                  SPECIAL ACCESS                                                  READ PERMISSONS                                                  WRITE PERMISSIONS                                                  CHANGE OWNERSHIP                                                  CREATE CHILD                                                  DELETE CHILD                                                  LIST CONTENTS                                                  WRITE SELF                                                  WRITE PROPERTY                                                  READ PROPERTY                                                  LIST OBJECT                                                  CONTROL ACCESSAllow FAA\Domain Admins                           SPECIAL ACCESS                                                  READ PERMISSONS                                                  WRITE PERMISSIONS                                                  CHANGE OWNERSHIP                                                  CREATE CHILD                                                  DELETE CHILD                                                  LIST CONTENTS                                                  WRITE SELF                                                  WRITE PROPERTY                                                  READ PROPERTY                                                  LIST OBJECT                                                  CONTROL ACCESSAllow NT AUTHORITY\SYSTEM                         FULL CONTROLAllow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS                                                  READ PERMISSONS                                                  LIST CONTENTS                                                  READ PROPERTY                                                  LIST OBJECTAllow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Remote Access Information                                                  READ PROPERTYAllow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for General Information                                                  READ PROPERTYAllow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Group Membership                                                  READ PROPERTYAllow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Account Restrictions                                                  READ PROPERTYAllow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Logon Information                                                  READ PROPERTYAllow Everyone                                    Change Password					
Propriétés

ID d'article : 232199 - Dernière mise à jour : 12/05/2015 14:36:00 - Révision : 3.3

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbnosurvey kbarchive kbenv kbinfo KB232199
Commentaires