Descrizione e aggiornamento dell'oggetto AdminSDHolder di Active Directory

Riepilogo

Le informazioni contenute in questo articolo si applicano solo per l'aggiornamento da Windows 2000 RC2 (o compilazioni precedenti) alla versione definitiva di Windows 2000. In Windows 2000 RC3 è stata apportata una modifica all'elenco di controllo accesso (ACL) dell'oggetto AdminSDHolder di Active Directory. Questo oggetto viene utilizzato per controllare le autorizzazioni dell'account utente che sono membri dei gruppi Administrators o Domain Administrators incorporati.

Ogni ora, il controller di dominio di Windows 2000 che svolge il ruolo di Master operazione FSMO (Flexible Single) (PDC) di controller di dominio primario Confronta l'ACL per tutte le identità di protezione (utenti, gruppi e account computer) presenti per il dominio in Active Directory e che sono in gruppi amministrativi con l'ACL del seguente oggetto:
CN=AdminSDHolder,CN=System,DC=MyDomain,DC=Com

Sostituire "DC =MioDominio, DC =Com" in questo percorso con il nome distinto (DN) del dominio.
Se l'ACL è diverso, l'ACL sull'oggetto utente viene sovrascritto in base alle impostazioni di protezione dell'oggetto AdminSDHolder (che include la disabilitazione dell'ereditarietà ACL). Consente di proteggere questi account amministrativi venga modificato da utenti non autorizzati, se i conti vengono spostati in un contenitore o unità organizzativa in cui un utente è stato delegato privilegi amministrativi per la modifica degli account utente. Si noti che quando un utente viene rimosso dal gruppo amministrativo, il processo non viene invertito e deve essere modificato manualmente.

NOTA: utilizzando la procedura seguente è necessario se si esegue l'aggiornamento a Microsoft Windows NT 4.0 alla versione definitiva di Windows 2000.

Ulteriori informazioni

Per risolvere questo problema, utilizzare questa procedura su un controller di dominio per ciascun dominio:
  1. Installare gli strumenti di supporto di Windows 2000 dal CD di Server o Windows 2000 Professional. Questi strumenti includono un'utilità denominata Dsacls.exe, che è possibile utilizzare per visualizzare, modificare o rimuovere voci di controllo di accesso per gli oggetti in Active Directory.
  2. Creare un file batch con il testo seguente, sostituendo "DC =MioDominio, DC =Com" con il nome distinto (DN) del dominio):
    DSACLS "cn = adminsdholder, cn = system, dc =MioDominio, dc =com" /G "\Everyone:CA; Modifica Password"
    DSACLS "cn = adminsdholder, cn = system, dc =MioDominio, dc =com" /G "RP \Pre-Windows 2000 compatibile accesso:; Informazioni di accesso remoto"
    DSACLS "cn = adminsdholder, cn = system, dc =MioDominio, dc =com" /G "RP \Pre-Windows 2000 compatibile accesso:; Informazioni generali"
    DSACLS "cn = adminsdholder, cn = system, dc =MioDominio, dc =com" /G "RP \Pre-Windows 2000 compatibile accesso:; Appartenenza al gruppo"
    DSACLS "cn = adminsdholder, cn = system, dc =MioDominio, dc =com" /G "RP \Pre-Windows 2000 compatibile accesso:; Informazioni di accesso"
    DSACLS "cn = adminsdholder, cn = system, dc =MioDominio, dc =com" /G "RP \Pre-Windows 2000 compatibile accesso:; Limitazioni account"
  3. Eseguire il file batch sul controller di dominio. Aggiunge le voci di controllo di accesso (ACE) specificate per il tutti gli utenti e gruppi di accesso compatibile precedente a Windows 2000.
  4. Al prompt dei comandi, digitare dsacls cn = adminsdholder, cn = system, dc =MioDominio, dc =com, sostituire "DC =MioDominio, DC =Com" con il nome distinto (DN) del dominio). Confrontarlo con il seguente output:
    Access list:
    {This object is protected from inheriting permissions from the parent}
    Effective Permissions on this object are:
    Allow NT AUTHORITY\Authenticated Users SPECIAL ACCESS
    READ PERMISSONS
    LIST CONTENTS
    READ PROPERTY
    LIST OBJECT
    Allow BUILTIN\Administrators SPECIAL ACCESS
    DELETE
    READ PERMISSONS
    WRITE PERMISSIONS
    CHANGE OWNERSHIP
    CREATE CHILD
    DELETE CHILD
    LIST CONTENTS
    WRITE SELF
    WRITE PROPERTY
    READ PROPERTY
    LIST OBJECT
    CONTROL ACCESS
    Allow IFRPILOT\Enterprise Admins SPECIAL ACCESS
    READ PERMISSONS
    WRITE PERMISSIONS
    CHANGE OWNERSHIP
    CREATE CHILD
    DELETE CHILD
    LIST CONTENTS
    WRITE SELF
    WRITE PROPERTY
    READ PROPERTY
    LIST OBJECT
    CONTROL ACCESS
    Allow FAA\Domain Admins SPECIAL ACCESS
    READ PERMISSONS
    WRITE PERMISSIONS
    CHANGE OWNERSHIP
    CREATE CHILD
    DELETE CHILD
    LIST CONTENTS
    WRITE SELF
    WRITE PROPERTY
    READ PROPERTY
    LIST OBJECT
    CONTROL ACCESS
    Allow NT AUTHORITY\SYSTEM FULL CONTROL
    Allow BUILTIN\Pre-Windows 2000 Compatible Access SPECIAL ACCESS
    READ PERMISSONS
    LIST CONTENTS
    READ PROPERTY
    LIST OBJECT
    Allow BUILTIN\Pre-Windows 2000 Compatible Access SPECIAL ACCESS for Remote Access Information
    READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access SPECIAL ACCESS for General Information
    READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access SPECIAL ACCESS for Group Membership
    READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access SPECIAL ACCESS for Account Restrictions
    READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access SPECIAL ACCESS for Logon Information
    READ PROPERTY
    Allow Everyone Change Password

Proprietà

ID articolo: 232199 - Ultima revisione: 12 gen 2017 - Revisione: 1

Feedback