Autorizzazioni delegate non sono disponibili e l'ereditarietà viene disattivata automaticamente

Sintomi

Dopo l'aggiornamento a Microsoft Windows Server 2003, possono verificarsi i seguenti sintomi:
  • Autorizzazioni delegate non sono disponibili a tutti gli utenti in un'unità organizzativa.
  • Ereditarietà viene disattivata automaticamente alcuni degli account utente circa una volta un'ora
  • Gli utenti che precedentemente avevano delegato le autorizzazioni, non più di essi.
Questo comportamento può verificarsi anche dopo avere applicato l'hotfix descritto nell'articolo della Microsoft Knowledge Base 327825 a Microsoft Windows 2000 Server o dopo l'installazione di Windows 2000 Service Pack 4 per Microsoft Windows 2000 Server. Per ulteriori informazioni sull'hotfix 327825 di Windows 2000, fare clic sul numero riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
327825 nuova risoluzione dei problemi con l'autenticazione Kerberos quando gli utenti appartengono a molti gruppi

Causa

Quando si delegano le autorizzazioni utilizzando la Delega guidata del controllo, queste autorizzazioni si basano sull'oggetto utente eredita le autorizzazioni dal contenitore padre. Membri di gruppi protetti non ereditano le autorizzazioni dal contenitore padre. Pertanto, se si impostano le autorizzazioni utilizzando la Delega guidata del controllo, queste autorizzazioni non vengono applicate ai membri di gruppi protetti.

Nota: Appartenenza a un gruppo protetto viene definito come l'appartenenza diretta o tramite uno o più gruppi di protezione o distribuzione di appartenenza transitiva. Gruppi di distribuzione sono inclusi in quanto possono essere convertiti in gruppi di protezione.

In Windows Server 2003 e versioni successive, è stato aumentato il numero di gruppi protetti per migliorare la protezione in Active Directory (vedere la sezione "Informazioni"). Il numero di gruppi protetti aumenta anche se l'applicazione dell'hotfix 327825 a Windows 2000.

Risoluzione

Per risolvere questo problema, è possibile installare un hotfix. È necessario installare l'hotfix sul controller di dominio che detiene il ruolo master operazioni di dominio primario PDC (controller) emulatore in ciascun dominio. Inoltre, è necessario installare l'hotfix su tutti i controller di dominio che è possibile utilizzare per assumere questo ruolo, se il titolare del ruolo di master operazioni emulatore PDC corrente non è più disponibile. Se non siete sicuri del controller di dominio che consente di assumere il ruolo, si consiglia di considerare l'ipotesi di installare l'aggiornamento rapido in tutti i controller di dominio. Se un controller di dominio senza l'aggiornamento rapido si assume il ruolo di master operazioni emulatore PDC, verranno reimpostate nuovamente le autorizzazioni dell'utente.

Informazioni sull'hotfix per Windows 2000

Un hotfix supportato è disponibile da Microsoft. Tuttavia, questo hotfix è destinato esclusivamente alla correzione del problema descritto in questo articolo. Applicare questo hotfix solo ai sistemi in cui si verificano questo problema specifico.

Se l'hotfix è disponibile per il download, è presente una sezione "Hotfix disponibile per il download" all'inizio di questo articolo della Knowledge Base. Se non viene visualizzato in questa sezione, inviare una richiesta al servizio clienti Microsoft e supporto tecnico per ottenere l'hotfix.

Nota: Se si verificano ulteriori problemi o se è necessaria attività di risoluzione aggiuntiva, potrebbe essere necessario creare una richiesta di assistenza separata. I costi di supporto normale verranno applicati per eventuali ulteriori domande e problemi che non dovessero rientrare specifico hotfix in questione. Per un elenco completo dei numeri di telefono del servizio clienti Microsoft e supporto tecnico o per creare una richiesta di assistenza separata, visitare il seguente sito Web Microsoft:Nota: Il modulo "Hotfix disponibile per il download" Visualizza le lingue per cui è disponibile l'hotfix. Se non viene visualizzata la lingua, è perché un aggiornamento rapido non è disponibile per tale lingua.

Richiesta di riavvio

Dopo avere applicato questo hotfix, è necessario riavviare il computer.

Informazioni sulla sostituzione dell'aggiornamento rapido

Questo hotfix non sostituisce eventuali altri aggiornamenti rapidi.

Informazioni sui file

La versione inglese di questo hotfix presenta gli attributi di file (o attributi successivi) elencati nella tabella riportata di seguito. Le date e ore dei file sono elencate in base al formato UTC (Coordinated Universal Time Coordinated). Quando si visualizzano le informazioni sul file, viene convertito in ora locale. Per calcolare la differenza tra ora UTC e ora locale, utilizzare la scheda fuso orario nell'elemento di Data e ora nel Pannello di controllo.

Informazioni sul service pack di Windows Server 2003

Per risolvere questo problema, procurarsi il service pack più recente per Windows Server 2003. Per ulteriori informazioni, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:

Informazioni sull'hotfix per Windows Server 2003

Un hotfix supportato è disponibile da Microsoft. Tuttavia, questo hotfix è destinato esclusivamente alla correzione del problema descritto in questo articolo. Applicare questo hotfix solo ai sistemi in cui si verificano questo problema specifico. Questo hotfix potrebbe essere sottoposto ad ulteriori test. Se il problema non causa gravi difficoltà, si consiglia di attendere il successivo aggiornamento software contenente tale hotfix.

Se l'hotfix è disponibile per il download, è presente una sezione "Hotfix disponibile per il download" all'inizio di questo articolo della Knowledge Base. Se questa sezione non viene visualizzata, contattare il servizio clienti Microsoft e supporto tecnico per ottenere l'hotfix.

Nota: Se si verificano ulteriori problemi o se è necessaria attività di risoluzione aggiuntiva, potrebbe essere necessario creare una richiesta di assistenza separata. I costi di supporto normale verranno applicati per eventuali ulteriori domande e problemi che non dovessero rientrare specifico hotfix in questione. Per un elenco completo dei numeri di telefono del servizio clienti Microsoft e supporto tecnico o per creare una richiesta di assistenza separata, visitare il seguente sito Web Microsoft:Nota: Il modulo "Hotfix disponibile per il download" Visualizza le lingue per cui è disponibile l'hotfix. Se non viene visualizzata la lingua, è perché un aggiornamento rapido non è disponibile per tale lingua. Versione inglese di di questo hotfix presenta gli attributi di file (o attributi successivi) elencati nella tabella riportata di seguito. Le date e ore dei file sono elencate in base al formato UTC (Coordinated Universal Time Coordinated). Quando si visualizzano le informazioni sul file, viene convertito in ora locale. Per calcolare la differenza tra ora UTC e ora locale, utilizzare la scheda fuso orario nell'elemento di data e ora nel Pannello di controllo.

Richiesta di riavvio

Dopo avere applicato questo hotfix, è necessario riavviare il computer.

Informazioni sulla sostituzione dell'aggiornamento rapido

Questo hotfix non sostituisce eventuali altri aggiornamenti rapidi.

Informazioni sui file

Windows Server 2003, versioni a 32 bit
Windows Server 2003, versioni a 64 bit
Dopo aver installato l'aggiornamento rapido in Windows 2000 e Windows Server 2003, è possibile impostare a livello di insieme di strutture
flag dsHeuristic per controllare i gruppi operatore sono protetti da adminSDHolder. Utilizzando questa nuova opzione, è possibile impostare alcuni o tutti gli integrata quattro gruppi protetti di Windows 2000 originale, in. 16 la posizione del carattere viene interpretato come valore esadecimale, dove il carattere a sinistra corrisponde alla posizione 1. Pertanto, gli unici valori validi sono "0" e "f". Ogni gruppo operatore ha uno specifico bit nel modo seguente:
  • Bit 0: Account Operators
  • Bit 1: Server Operators
  • Bit 2: Operatori di stampa
  • Bit 3: Backup Operators
Ad esempio, un valore 0001 mezzi escludere Account Operators. Un valore di "c" esclusione di Print Operators (0100) e Backup Operators (1000) perché la somma binaria 1100 riflette un valore esadecimale di 0xC.

Per attivare la nuova funzionalità, è necessario modificare un oggetto nel contenitore della configurazione. Questa impostazione è ampio insieme di strutture. Per modificare l'oggetto, attenersi alla seguente procedura:
  1. Individuare l'oggetto che si desidera modificare.
    Per ulteriori informazioni su come effettuare questa operazione, fare clic sul numero riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base riportato di seguito:

    326690 le operazioni LDAP anonime in Active Directory sono disabilitate sui controller di dominio Windows Server 2003

  2. Al prompt dei comandi, digitare ldp.exee quindi premere INVIO per avviare l'utilità LDP.
  3. Fare clic su connessione, fare clic su
    connettersi e quindi fare clic su OK.
  4. Fare clic su connessione, fare clic su
    Associare, digitare il nome utente e la password di un amministratore principale della foresta e quindi fare clic su OK.
  5. Fare clic su Visualizza, fare clic su strutturae quindi fare clic su OK.
  6. Visualizzare la struttura di aprire la seguente configurazione CN:
    CN = Directory Service, CN = Windows NT, CN = Services, CN = Configuration, DC =dominio radice della foresta
  7. Individuare l'oggetto servizio Directory e quindi fare doppio clic su esso.
  8. Controllare l'elenco sul lato destro per determinare se l'attributo dsHeuristics è già impostato l'attributo dell'oggetto. Se è impostato, copiare il valore esistente negli Appunti.
  9. Gli oggetti Servizio Directory sul lato destro e quindi fare clic su Modifica.
  10. Come nome dell'attributo, digitare
    dsHeuristics.
  11. Come valore, digitare 000000000100000f. Sostituire gli zeri nella prima parte del valore con quella già installata in dsHeuristics. Assicurarsi di avere il corretto numero di cifre fino a "f" o qualsiasi bit si desidera impostare.

    Nota: Per verificare che vengono modificati i caratteri corretti, ogni decimo carattere deve impostare il numero di caratteri fino a che punto diviso per 10. Ad esempio, al decimo carattere deve essere 1, il carattere ventesimo deve essere 2, il trentesimo carattere deve essere 3, e così via.
  12. Se l'attributo è già esistente, fare clic su
    Sostituire nella casella operazione . In caso contrario, fare clic su Aggiungi.
  13. Premere INVIO sulla destra per il gruppo di operazioni per aggiungerlo alla transazione di LDAP.
  14. Fare clic su Esegui per applicare le modifiche all'oggetto. Dopo questa modifica viene replicata per gli emulatori PDC nell'insieme di strutture, quelli che eseguono questo hotfix non proteggerà gli utenti membri del gruppo di operatori che è stato impostato il bit di.

Soluzione alternativa

Per risolvere questo problema, utilizzare uno dei metodi descritti di seguito.

Metodo 1: Verificare che i membri non sono membri di un gruppo protetto

Se si utilizzano autorizzazioni delegate al livello di unità organizzativa, assicurarsi che tutti gli utenti che richiedono le autorizzazioni delegate non sono membri di uno dei gruppi protetti. Per gli utenti che in precedenza erano membri di un gruppo protetto, il flag di ereditarietà non viene reimpostato automaticamente quando l'utente viene rimosso da un gruppo protetto. A tale scopo, è possibile utilizzare lo script seguente.

Nota: Questo script controlla il flag di ereditarietà per tutti gli utenti il cui AdminCount è impostato su 1. Se l'ereditarietà è disabilitata (SE_DACL_PROTECTED è impostata), lo script consentirà di ereditarietà. Se l'ereditarietà è già attivato, ereditarietà rimarrà attivato. Inoltre, AdminCount verrà reimpostato su 0. Quando il thread adminSDHolder viene eseguito nuovamente, verrà disabilita l'ereditarietà e impostare AdminCount su 1 per tutti gli utenti che restano in gruppi protetti. Di conseguenza, AdminCount e l'ereditarietà siano impostate correttamente per tutti gli utenti che non sono più membri di gruppi protetti.

Importante: Se si esegue questo script da un sistema che esegue Windows Vista e versioni successive, aprire un prompt dei comandi con privilegi amministrativi e quindi eseguire lo script.

Per eseguire lo script, utilizzare il comando seguente:
cscript /nologo resetaccountsadminsdholder.vbs

Microsoft fornisce esempi di programmazione a scopo puramente illustrativo, senza alcuna garanzia espressa o implicita. Ciò include, ma non limitato a, le garanzie implicite di commerciabilità o idoneità per uno scopo particolare. In questo articolo si presuppone che si abbia familiarità con il linguaggio di programmazione in questione e gli strumenti utilizzati per creare ed eseguire la procedura di debug. I tecnici del supporto Microsoft possono spiegare la funzionalità di una particolare procedura, ma in nessun caso possono modificare questi esempi per fornire funzionalità aggiuntive o creare procedure atte a soddisfare specifiche esigenze.
'********************************************************************'*
'* File: ResetAccountsadminSDHolder.vbs
'* Created: November 2003
'* Version: 1.0
'*
'* Main Function: Resets all accounts that have adminCount = 1 back
'*to 0 and enables the inheritance flag
'*
'* ResetAccountsadminSDHolder.vbs
'*
'* Copyright (C) 2003 Microsoft Corporation
'*
'********************************************************************

Const SE_DACL_PROTECTED = 4096

On Error Resume Next

Dim sDomain
Dim sADsPath
Dim sPDC


Dim oCon
Dim oCmd
Dim oRst
Set oRst = CreateObject("ADODB.Recordset")
Set oCmd = CreateObject("ADODB.Command")
Set oCon = CreateObject("ADODB.Connection")

Dim oRoot
Dim oDomain
Dim oADInfo
Dim oInfo
Set oADInfo = CreateObject("ADSystemInfo")
Set oInfo = CreateObject("WinNTSystemInfo")
sPDC = oInfo.PDC & "." & oADInfo.DomainDNSName

oCon.Provider = "ADSDSOObject"
oCon.Open "Active Directory Provider"

oCmd.ActiveConnection = oCon

Set oRoot = GetObject("LDAP://rootDSE")
sDomain = oRoot.Get("defaultNamingContext")
Set oDomain = GetObject("LDAP://" & sDomain)
sADsPath = "<" & oDomain.ADsPath & ">"

oCmd.CommandText = "SELECT ADsPath FROM 'LDAP://" & sPDC & "/" & sDomain & "' WHERE objectCategory='person' and objectClass = 'user' AND adminCount = 1"
Set oRst = oCmd.Execute

WScript.Echo "searching for objects with 'admin count = 1' in " & sDomain

If oRst.RecordCount = 0 Then
WScript.Echo "no accounts found"
WScript.Quit
End If

Do While Not oRst.EOF
WScript.Echo "found object " & oRst.Fields("ADsPath")
If SetInheritanceFlag(oRst.Fields("ADsPath")) = 0 Then WScript.Echo "Inheritance flag set"
If SetAdminCount(oRst.Fields("ADsPath"), 0) = 0 Then WScript.Echo "adminCount set to 0"
WScript.Echo "=========================================="
oRst.MoveNext
Loop


Private Function SetInheritanceFlag(DSObjectPath)

Dim oSD
Dim oDACL
Dim lFlag
Dim oIADs

Set oIADs = GetObject(DSObjectPath)

Set oSD = oIADs.Get("nTSecurityDescriptor")

If oSD.Control And SE_DACL_PROTECTED Then
oSD.Control = oSD.Control - SE_DACL_PROTECTED
End If

oIADs.Put "nTSecurityDescriptor", oSD
oIADs.SetInfo

If Err.Number <> 0 Then
SetInheritanceFlag = Err.Number
Else
SetInheritanceFlag = 0
End If

End Function


Private Function SetAdminCount(DSObjectPath, AdminCount)

Dim oIADs
Dim iAdminCount

Set oIADs = GetObject(DSObjectPath)

iAdminCount = oIADs.Get("adminCount")

If iAdminCount = 1 Then iAdminCount = 0

oIADs.Put "adminCount", iAdminCount
oIADs.SetInfo
If Err.Number <> 0 Then
SetAdminCount = Err.Number
Else
SetAdminCount = 0
End If

End Function

Per assicurarsi che non incidano negativamente gli utenti, è consigliabile che si scarica innanzitutto gli utenti che hanno impostato su 1 utilizzando Ldifde.exe AdminCount. A tale scopo, digitare il seguente comando al prompt dei comandi e quindi premere INVIO:
ldifde -f Admincount-1.txt - d dc =dominio - r "(& (objectcategory=person)(objectclass=user)(admincount=1))"
Revisione di file di output per confermare che tutti gli utenti che avranno il DACL protetto bit cancellato disporrà delle autorizzazioni corrette con ereditato accesso controllato solo i movimenti (ACE). Questo metodo è preferibile e non ridurre il livello di sicurezza esistente.

Metodo 2: Abilitare l'ereditarietà per il contenitore adminSDHolder

Se si attiva l'ereditarietà per il contenitore adminSDHolder, tutti i membri dei gruppi protetti hanno ereditato le autorizzazioni abilitate. In termini di funzionalità di protezione, questo metodo consente di ripristinare il comportamento del contenitore adminSDHolder indietro alla funzionalità pre-Service Pack 4.

Abilitazione dell'ereditarietà sul contenitore adminSDHolder

Se si attiva l'ereditarietà per il contenitore adminSDHolder, uno dei due meccanismi di ACL protezione accesso controllo è disattivato. Vengono applicate le autorizzazioni predefinite. Tuttavia, tutti i membri di gruppi protetti ereditano le autorizzazioni all'unità organizzativa e qualsiasi unità organizzativa padre se l'ereditarietà è abilitata a livello di unità organizzativa.

Per fornire protezione dall'ereditarietà per gli utenti amministrativi, spostare la propria unità organizzativa tutti gli utenti amministrativi (e altri utenti che necessitano di protezione dall'ereditarietà). Livello di unità organizzativa, rimuovere l'ereditarietà e quindi impostare le autorizzazioni per la corrispondenza di elenchi ACL attualmente sul contenitore adminSDHolder. Poiché le autorizzazioni sul contenitore adminSDHolder possono variare (ad esempio, Microsoft Exchange Server aggiunge alcune autorizzazioni o le autorizzazioni siano state modificate), esaminare un membro di un gruppo protetto per le autorizzazioni sul contenitore adminSDHolder corrente. Si tenga presente che l'interfaccia utente (UI) non visualizza tutte le autorizzazioni sul contenitore adminSDHolder. Utilizzare lo strumento DSacls per visualizzare tutte le autorizzazioni sul contenitore adminSDHolder.

È possibile attivare l'ereditarietà per il contenitore adminSDHolder utilizzando ADSI Edit o Active Directory Users e computer. Il percorso del contenitore adminSDHolder è CN = adminSDHolder, CN = System, DC = < MyDomain >, DC = < Com >

Nota: Se si utilizza Active Directory Users and Computers, assicurarsi che
È selezionato Caratteristiche avanzate dal menu Visualizza .

Per attivare l'ereditarietà per il contenitore adminSDHolder:
  1. Il pulsante destro del contenitore e quindi fare clic su
    Le proprietà.
  2. Fare clic sulla scheda protezione .
  3. Fare clic su Avanzate.
  4. Fare clic per selezionare la casella di controllo Consenti autorizzazioni ereditabili di propagare a questo oggetto e tutti gli oggetti figlio .
  5. Fare clic su OKe quindi fare clic su
    Chiudi.
La prossima volta che viene eseguito il thread SDProp, il flag di ereditarietà è impostato su tutti i membri di gruppi protetti. Questa procedura può richiedere fino a 60 minuti. Concedere tempo a sufficienza per questa modifica venga replicata dal controller di dominio primario (PDC).

Metodo 3: Evitare ereditarietà e di modificare gli ACL

Se non si desidera gli utenti che sono membri di gruppi protetti per ereditare le autorizzazioni dal contenitore che gli utenti si trovano in e si desidera modificare la protezione per gli oggetti utente, è possibile modificare la protezione per la directory contenitore adminSDHolder. In questo scenario, non è necessario attivare l'ereditarietà per il contenitore adminSDHolder. È sufficiente aggiungere il gruppo o modificare la protezione dei gruppi di protezione già definiti per il contenitore adminSDHolder. Dopo un'ora, il thread SDProp verrà applicate le modifiche apportate agli ACL del contenitore adminSDHolder a tutti i membri di gruppi protetti. I membri non ereditano la protezione del contenitore che in cui risiedono.

Ad esempio, Self account deve disporre del diritto Consenti a tutte le proprietà di lettura . Modificare le impostazioni di protezione del contenitore adminSDHolder per consentire questo diritto in Self account. Dopo un'ora, questo diritto potranno Self account per tutti gli utenti che sono membri di gruppi protetti. Il flag di ereditarietà non viene modificato.

Nell'esempio riportato di seguito viene illustrato come applicare le modifiche al solo oggetto adminSDHolder . In questo esempio vengono concesse le autorizzazioni seguenti nel
oggetto adminSDHolder :
  • Contenuto dell'elenco
  • Leggi tutte le proprietà
  • Scrivi tutte le proprietà
Per concedere le autorizzazioni sull'oggetto adminSDHolder , attenersi alla seguente procedura:
  1. In Active Directory Users and Computers, fare clic su
    Caratteristiche avanzate dal menu Visualizza.
  2. Individuare l'oggetto adminSDHolder . L'oggetto è nel seguente percorso per ciascun dominio dell'insieme di strutture di Active Directory:
    CN = adminSDHolder, CN = System,DC = domain, DC = com Qui,
    DC = domain, DC = com è il nome distinto del dominio.
  3. Il pulsante destro adminSDHoldere quindi fare clic su
    Le proprietà.
  4. Nella finestra di dialogo proprietà , fare clic su di
    Protezione della scheda e quindi fare clic su Avanzate.
  5. Nella finestra di dialogo Impostazioni controllo di accesso per adminSDHolder , fare clic su Aggiungi sul
    Scheda autorizzazioni .
  6. Nella finestra di dialogo Seleziona utenti, Computer o gruppo, fare clic sull'account a cui si desidera concedere le autorizzazioni correlate e quindi fare clic su OK.
  7. Nella finestra di dialogo Voce autorizzazione per adminSDHolder, scegliere solo l'oggetto specificato nella casella Applica a , quindi Elenca contenuto, Leggi tutte le proprietàe i diritti di scrivere tutte le proprietà.
  8. Fare clic su OK per chiudere la finestra di dialogo Voce autorizzazione per adminSDHolder , la finestra di dialogo Impostazioni controllo di accesso per adminSDHolder e la finestra di dialogo proprietà adminSDHolder .
All'interno di un'ora, ACL verrà aggiornato sugli oggetti utente associati ai gruppi protetti in modo da riflettere le modifiche. Per ulteriori informazioni, fare clic sui numeri per visualizzare gli articoli della Microsoft Knowledge Base riportato di seguito:

Descrizione e l'aggiornamento dell'oggetto adminSDHolder di Active Directory 232199

318180 il thread AdminSDHolder influisce sui membri transitivi dei gruppi di distribuzione

Stato

Microsoft ha confermato che si tratta di un problema nei prodotti Microsoft elencati nella sezione "Si applica a". Il problema è stato risolto in Windows Server 2003 Service Pack 1.

Ulteriori informazioni

Active Directory utilizza un meccanismo di protezione per assicurarsi che gli ACL siano impostati correttamente per i membri dei gruppi riservati. Il meccanismo viene eseguito una volta un'ora sul master operazioni PDC. Il master operazioni Confronta l'ACL per gli account utente che sono membri di gruppi protetti contro l'ACL per il seguente oggetto:
CN=adminSDHolder,CN=System,DC=<MyDomain>,DC=<Com>

Nota: "DC =< MyDomain >, DC =< Com >" rappresenta il nome distinto (DN) del dominio.

Se l'ACL è diverso, viene sovrascritto l'ACL sull'oggetto utente in base alle impostazioni di protezione dell'oggetto adminSDHolder e ACL ereditarietà viene disattivata. Questo processo consente di proteggere questi account venga modificato da utenti non autorizzati, se i conti vengono spostati in un contenitore o unità organizzativa in cui un utente malintenzionato non è state delegate credenziali amministrative per modificare gli account utente. Si tenga presente che quando un utente viene rimosso dal gruppo amministrativo, il processo non viene invertito e deve essere modificato manualmente.

Nota: Per controllare la frequenza con cui l'oggetto adminSDHolder Aggiorna i descrittori di protezione, creare o modificare la voce AdminSDProtectFrequency nella seguente sottochiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Quando la voce del Registro di sistema AdminSDProtectFrequency non è presente, l'oggetto adminSDHolder Aggiorna descrittori di protezione ogni 60 minuti (3600 secondi). È possibile utilizzare questa voce del Registro di sistema per impostare questa frequenza a qualsiasi velocità tra 1 minuto (60 secondi) e 2 ore (7200 secondi) immettendo il valore in secondi. Tuttavia, si consiglia di non modificare questo valore, ad eccezione di brevi periodi di prova. Modifica questo valore può aumentare LSASS overhead di elaborazione.

Nell'elenco seguente vengono descritti i gruppi protetti in Windows 2000:
  • Amministratori
  • Domain Admins
  • Enterprise Admins
  • Schema Admins

Nell'elenco seguente vengono descritti i gruppi protetti in Windows Server 2003 e Windows 2000 dopo l'applicazione dell'hotfix 327825 o si installa Windows 2000 Service Pack 4:
  • Operatori di account
  • Amministratori
  • Operatori di backup
  • Cert Publishers
  • Domain Admins
  • Il controller di dominio *
  • Enterprise Admins
  • Operatori di stampa
  • Replicatore
  • Schema Admins
  • Operatori di server
Inoltre i seguenti utenti sono inoltre considerati protetti:
  • Amministratore
  • Krbtgt

Nell'elenco seguente vengono descritti i gruppi protetti in Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008:

  • Operatori di account
  • Amministratori
  • Operatori di backup
  • Domain Admins
  • Il controller di dominio *
  • Enterprise Admins
  • Operatori di stampa
  • Il controller di dominio di sola lettura *
  • Replicatore
  • Schema Admins
  • Operatori di server
Inoltre i seguenti utenti sono inoltre considerati protetti:
  • Amministratore
  • Krbtgt

* Solo gruppo è protetto, non i membri.

Tenere presente tale appartenenza a gruppi di distribuzione non viene popolato un token dell'utente. Pertanto, è possibile utilizzare strumenti quali "whoami" per determinare correttamente l'appartenenza al gruppo.

Per ulteriori informazioni sulla delega dell'amministrazione, scaricare il white paper Procedure consigliate per delega di amministrazione di Active Directory . A tale scopo, visitare il seguente sito Web Microsoft:
Proprietà

ID articolo: 817433 - Ultima revisione: 30 gen 2017 - Revisione: 1

Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Small Business Server 2003 Premium Edition, Microsoft Windows Small Business Server 2003 Standard Edition, Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2012 Essentials, Windows Server 2012 Standard, Windows Server 2012 Standard, Windows Server 2012 Standard, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows Server 2012 Datacenter, Windows Server 2012 Datacenter, Windows Server 2012 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Datacenter

Feedback