Descrizione e aggiornamento dell'oggetto AdminSDHolder Active Directory

Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell’utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell’utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.

Clicca qui per visualizzare la versione originale in inglese dell’articolo: 232199
Questo articolo è stato archiviato. L’articolo, quindi, viene offerto “così come è” e non verrà più aggiornato.
Sommario
Le informazioni contenute in questo articolo si applicano solo all'aggiornamento da Windows 2000 RC2 (o versioni precedenti) alla versione finale di Windows 2000. In Windows 2000 RC3 è stata apportata una modifica all'elenco di controllo di accesso (ACL) dell'oggetto AdminSDHolder di Active Directory. Questo oggetto viene utilizzato per controllare le autorizzazioni di account utente membri dei gruppi Administrators o Domain Administrators incorporati.

Ogni ora, il controller di dominio di Windows 2000 che contiene che il ruolo FSMO (Flexible Single Master operazione) del controller (PDC, primary domain controller) primario di dominio confronta l'ACL per tutte le identità di protezione (utenti, gruppi e account computer) presenti per il dominio in Active Directory e che appartengono a gruppi amministrativi con l'ACL sul seguente oggetto:
CN = AdminSDHolder, CN = System, DC = MyDomain, DC = Com

Sostituire "DC = MyDomain, DC = Com" in questo percorso con il nome distinto (DN) del dominio.
Se l'ACL è diverso, l'ACL per l'oggetto utente viene sovrascritto per riflettere le impostazioni di protezione dell'oggetto AdminSDHolder (che include l'eredità ACL di disattivazione). Questo impedisce che questi account amministrativi venga modificato da utenti non autorizzati se gli account vengono spostati in un contenitore o unità organizzativa in cui un utente è stato delegato privilegi amministrativi per la modifica di account utente. Si noti che quando un utente viene rimosso dal gruppo amministrativo, il processo non viene annullato e deve essere modificato manualmente.

Nota : tramite la procedura riportata di seguito non è necessario se si sono l'aggiornamento di Microsoft Windows NT 4.0 alla versione di Windows 2000.
Informazioni
Per risolvere questo problema, utilizzare questa procedura su un controller di dominio per dominio:
  1. Installare gli strumenti di supporto di Windows 2000 dai Windows 2000 Professional o dal CD di server. Tali strumenti includono un'utilità denominata DSACLS.exe, che è possibile utilizzare per visualizzare, modificare o rimuovere voci di controllo di accesso per gli oggetti in Active Directory.
  2. Creare un file batch con il testo seguente, sostituire "DC = MyDomain, DC = Com" con il nome distinto (DN) del dominio):
    DSACLS "cn = adminsdholder, cn = system, dc = mydomain, dc = com" /G "\Everyone:CA;Change password"
    DSACLS "cn = adminsdholder, cn = system, dc = mydomain, dc = com"/G"\Pre-Windows 2000 Compatible Access: RP; informazioni di accesso remoto"
    DSACLS "cn = adminsdholder, cn = system, dc = mydomain, dc = com"/G"\Pre-Windows 2000 Compatible Access: RP; informazioni generali"
    DSACLS "cn = adminsdholder, cn = system, dc = mydomain, dc = com"/G"\Pre-Windows 2000 Compatible Access: RP; gruppi"
    DSACLS "cn = adminsdholder, cn = system, dc = mydomain, dc = com"/G"\Pre-Windows 2000 Compatible Access: RP; informazioni di accesso"
    DSACLS "cn = adminsdholder, cn = system, dc = mydomain, dc = com"/G"\Pre-Windows 2000 Compatible Access: RP; limitazioni account"
  3. Eseguire il file batch sul controller di dominio. Aggiunge le voci di controllo di accesso (ACE) specificate per Everyone e i gruppi di precedenti a Windows 2000 Compatible Access.
  4. A un prompt dei comandi, digitare dsacls cn = adminsdholder, cn = system, dc = mydomain, dc = com, sostituire "DC = MyDomain, DC = Com" con il nome distinto (DN) del dominio). Confronto con il seguente output:
    Access list:{This object is protected from inheriting permissions from the parent}Effective Permissions on this object are:Allow NT AUTHORITY\Authenticated Users            SPECIAL ACCESS                                                  READ PERMISSONS                                                  LIST CONTENTS                                                  READ PROPERTY                                                  LIST OBJECTAllow BUILTIN\Administrators                      SPECIAL ACCESS                                                  DELETE                                                  READ PERMISSONS                                                  WRITE PERMISSIONS                                                  CHANGE OWNERSHIP                                                  CREATE CHILD                                                  DELETE CHILD                                                  LIST CONTENTS                                                  WRITE SELF                                                  WRITE PROPERTY                                                  READ PROPERTY                                                  LIST OBJECT                                                  CONTROL ACCESSAllow IFRPILOT\Enterprise Admins                  SPECIAL ACCESS                                                  READ PERMISSONS                                                  WRITE PERMISSIONS                                                  CHANGE OWNERSHIP                                                  CREATE CHILD                                                  DELETE CHILD                                                  LIST CONTENTS                                                  WRITE SELF                                                  WRITE PROPERTY                                                  READ PROPERTY                                                  LIST OBJECT                                                  CONTROL ACCESSAllow FAA\Domain Admins                           SPECIAL ACCESS                                                  READ PERMISSONS                                                  WRITE PERMISSIONS                                                  CHANGE OWNERSHIP                                                  CREATE CHILD                                                  DELETE CHILD                                                  LIST CONTENTS                                                  WRITE SELF                                                  WRITE PROPERTY                                                  READ PROPERTY                                                  LIST OBJECT                                                  CONTROL ACCESSAllow NT AUTHORITY\SYSTEM                         FULL CONTROLAllow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS                                                  READ PERMISSONS                                                  LIST CONTENTS                                                  READ PROPERTY                                                  LIST OBJECTAllow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Remote Access Information                                                  READ PROPERTYAllow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for General Information                                                  READ PROPERTYAllow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Group Membership                                                  READ PROPERTYAllow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Account Restrictions                                                  READ PROPERTYAllow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Logon Information                                                  READ PROPERTYAllow Everyone                                    Change Password					

Avviso: questo articolo è stato tradotto automaticamente

Proprietà

ID articolo: 232199 - Ultima revisione: 12/05/2015 14:36:02 - Revisione: 3.3

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbnosurvey kbarchive kbmt kbenv kbinfo KB232199 KbMtit
Feedback