AdminSDHolder スレッドに配布グループのメンバーが推移的な影響を与えます

概要

プライマリ ドメイン コント ローラー (PDC) 操作マスターの役割 (フレキシブル シングル マスター操作の役割または FSMO の役割とも呼ばれます) を保持している Active Directory ドメイン コント ローラーは、次のグループとすべてのこれらのグループのメンバー オブジェクトのアクセス制御リスト (Acl) を確認するのには 1 時間ごとのスレッドを実行します。
  • エンタープライズ管理者
  • Schema Admins
  • Domain Admins
  • Administrators
  • ドメイン コント ローラー
  • 証明書の発行元
  • バックアップ オペレーター
  • レプリケーター サーバー オペレーター
  • アカウント オペレーター
  • プリント オペレーター
ユーザー アカウントでは、これらの管理グループのいずれかのメンバーを配布グループのメンバーであるため、スレッドが実行され、AdminSDHolder スレッドの ACL に一致するようにリセットする場合があるときにユーザー アカウントの ACL がチェックされます。ユーザー アカウントを表示するユーザーの識別名の repadmin/showmetaコマンドを使用する場合はユーザー アカウントの ACL を変更した後 1 時間以内、 nt セキュリティ記述子の属性が設定されているを参照してください。ユーザー アカウントには、 AdminCount属性も含まれています。

この資料では、AdminSDHolder スレッドが、配布グループのメンバーを推移的にどのように影響するかについて説明します。
AdminSDHolder スレッドに関する詳細については、マイクロソフト サポート技術情報の記事を表示するのには次の資料番号をクリックします。

232199の説明と Active Directory の AdminSDHolder オブジェクトの更新

詳細

配布グループのメンバーシップには通常、任意のセキュリティの重要性がありません。たとえば、UserA は配布グループ a のメンバーであり、配布グループは、Domain Admins グループのメンバー、ユーザー a Domain Admins グループのメンバー場合は、ユーザーがコンピューターにログオンします。配布グループはセキュリティ グループのメンバーシップをブロックします。ただし、AdminSDHolder スレッドで使用される列挙アルゴリズムは、高速かつ簡単な Domain Admins グループの推移的な反復処理中にユーザー a が含まれています。

配布グループはセキュリティ グループの中からグループを変更することができます。したがって、AdminSDHolder スレッドで使用される列挙アルゴリズムは、どちらの場合も、すべての推移的なメンバーが扱われているようにします。ように配布グループをセキュリティ グループのメンバー可能であれば。グループを変更する配布グループからセキュリティ グループにする場合しない配布グループをセキュリティ グループのメンバーの後に、予期しない動作は発生しません。AdminSDHolder スレッドで使用される列挙アルゴリズムに含まれるユーザーは、 AdminCount1以上の値を持つ属性を持ちます。
プロパティ

文書番号:318180 - 最終更新日: 2017/02/01 - リビジョン: 1

フィードバック