現象
Microsoft Windows Server 2003 にアップグレードすると、次の現象が発生する可能性があります。
-
委任されたアクセス許可は、組織単位内のすべてのユーザーにご利用いただけません。
-
継承が自動的に無効に一部のユーザー アカウントに 1 時間あたり約 1 時間
-
不要になった以前が委任されたアクセス許可、ユーザーがあること。
Microsoft Windows 2000 Server には、マイクロソフト サポート技術情報番号 327825 に記載されている修正プログラムを適用した後、または Microsoft Windows 2000 Server を Windows 2000 Service Pack 4 をインストールした後、この現象を発生も可能性があります。Windows 2000 番号 327825年修正プログラムの詳細については、マイクロソフト サポート技術情報の記事を表示するのには次の資料番号をクリックして:
ユーザーが多数のグループに属している場合に Kerberos 認証に関する問題の新しい解決を番号 327825
原因
オブジェクト制御の委任ウィザードを使用してアクセス許可を委任する場合、これらのアクセス許可は親コンテナーからアクセス許可を継承するユーザー オブジェクトに依存しています。保護されたグループのメンバーは、親コンテナーからアクセス許可を継承しません。したがって、オブジェクト制御の委任ウィザードを使用してアクセス許可を設定した場合、保護されたグループのメンバーにはこれらのアクセス許可は適用されません。
注: 保護されたグループのメンバーシップは、メンバーシップまたは推移性のメンバーシップが 1 つまたは複数のセキュリティまたは配布グループを使用するのいずれかとして定義されます。セキュリティ グループに変換できるため、配布グループが含まれます。
Active Directory のセキュリティを強化するために保護されているグループの数が増えたと、後で Windows Server 2003 で (「関連情報」セクションを参照してください)。保護されるグループの数は、Windows 2000 に 327825 修正プログラムを適用する場合にも増加します。
解決策
この問題を解決するには、修正プログラムをインストールすることができます。各ドメインのプライマリ ドメイン コント ローラー (PDC) エミュレーター操作マスターの役割を保持しているドメイン コント ローラー上で修正プログラムをインストールする必要があります。さらに、すべてのドメイン コント ローラーを使用すると、現在の PDC エミュレーター操作マスターの役割所有者が使用できなくなった場合に、この役割を果たすこと、修正プログラムをインストールする必要があります。使用して、役割を果たすドメイン コント ローラーのことを確認していない場合は、すべてのドメイン コント ローラーに修正プログラムをインストールするかを検討することをお勧めします。修正プログラム以外のドメイン コント ローラーは、PDC エミュレーター操作マスターの役割を引き受けると、ユーザーのアクセス許可が再度リセットされます。
Windows 2000 修正プログラムの情報
サポートされている修正プログラムは、マイクロソフトから入手可能です。ただし、この修正プログラムは、ここで説明する問題のみを修正することを目的としたものです。この問題が発生しているシステムにのみ適用してください。
修正プログラムをダウンロードできる場合は、このサポート技術情報の資料の上部に「修正プログラムのダウンロード」セクションがあります。このセクションが表示されていない場合は、マイクロソフト カスタマー サービス サポートにリクエストを送信し、修正プログラムを入手してください。
注: さらなる問題が発生した場合、またはトラブルシューティングが必要な場合には、別のサービス リクエストの作成が必要な場合があります。この修正プログラムの対象外の追加の質問および問題については、通常のサポート料金が適用されます。一覧マイクロソフト カスタマー サービス & サポートの電話番号または別のサービス リクエストを作成する、次のマイクロソフト Web サイトを参照してください。
http://support.microsoft.com/contactus/?ws=support注: [修正プログラムのダウンロード] フォームには、修正プログラムが提供されている言語が表示されます。お使いの言語が表示されない場合は、その言語の修正プログラムが利用できないためです。
再起動の必要性
この修正プログラムの適用後、コンピューターを再起動する必要があります。
修正プログラムの置き換えに関する情報
この修正プログラムによって他の修正プログラムが置き換わることはありません。
ファイル情報
修正プログラム (英語版) のファイル属性は次表のとおりです。ただし、これより新しい修正プログラムがリリースされている可能性もあります。各ファイルの日付および時刻は、世界協定時刻 (UTC) で示されています。ファイル情報に表示される時刻は、ローカル時刻に変換されています。UTC とローカル時刻との時差を確認するには、コントロール パネルの [日付と時刻] の [タイム ゾーン] タブを使用してください。
Windows Server 2003 サービス パックの情報
この問題を解決するには、Windows Server 2003 の最新の service pack を入手します。詳細については、次の文書番号をクリックして、マイクロソフト サポート技術情報の資料をご参照ください。
889100 Windows Server 2003 の最新の service pack の入手方法
Windows Server 2003 の修正プログラム情報
サポートされている修正プログラムは、マイクロソフトから入手可能です。ただし、この修正プログラムは、ここで説明する問題のみを修正することを目的としたものです。この問題が発生しているシステムにのみ適用してください。この修正プログラムは、今後さらにテストを行う場合があります。したがって、この問題の影響が深刻でない場合は、この修正プログラムが含まれる次のソフトウェア更新プログラムがリリースされるまで待つことをお勧めします。
修正プログラムをダウンロードできる場合は、このサポート技術情報の資料の上部に「修正プログラムのダウンロード」セクションがあります。このセクションが表示されていない場合は、マイクロソフト カスタマー サービス サポートにお問い合わせのうえ、修正プログラムを入手してください。
注: さらなる問題が発生した場合、またはトラブルシューティングが必要な場合には、別のサービス リクエストの作成が必要な場合があります。この修正プログラムの対象外の追加の質問および問題については、通常のサポート料金が適用されます。一覧マイクロソフト カスタマー サービス & サポートの電話番号または別のサービス リクエストを作成する、次のマイクロソフト Web サイトを参照してください。
http://support.microsoft.com/contactus/?ws=support注: [修正プログラムのダウンロード] フォームには、修正プログラムが提供されている言語が表示されます。お使いの言語が表示されない場合は、その言語の修正プログラムが利用できないためです。この修正プログラムのの英語バージョンがファイル属性 (またはそれ以降のファイル属性) には次の表に記載されています。各ファイルの日付および時刻は、世界協定時刻 (UTC) で示されています。ファイル情報に表示される時刻は、ローカル時刻に変換されています。UTC とローカル時刻との差を検索するには、コントロール パネルの [日付と時刻] でタイム ゾーン] タブを使用します。
再起動の必要性
この修正プログラムの適用後、コンピューターを再起動する必要があります。
修正プログラムの置き換えに関する情報
この修正プログラムによって他の修正プログラムが置き換わることはありません。
ファイル情報
Windows Server 2003 32 ビット版
Windows Server 2003 64 ビット 版
Windows 2000 および Windows Server 2003 の修正プログラムをインストールすると後、は、フォレスト全体を設定します。
どのオペレーターのグループを制御するためのdsHeuristicフラグは、 adminSDHolderで保護されています。この新しいオプションを使用すると、いくつかを設定することができますか、すべて参加している 4 つ保護されたグループが元の Windows 2000 の動作に戻します。文字位置 16 は、一番左の文字が 1 の位置を 16 進値として解釈されます。したがって、唯一の有効な値は、「0」から"f"。各オペレーター グループでは、特定のビットを次のようには。
-
ビット 0: アカウント オペレーター
-
ビット 1: サーバー オペレーター
-
ビット 2: 印刷オペレーター
-
ビット 3: バックアップ オペレーター
0001 の値は、アカウント オペレーターを除外することを意味します。'C' の値は、バイナリの合計 1100 0 xc の 16 進数の値を反映するため Print Operators (0100) および Backup Operators (1000) を除外するとします。
新しい機能を有効にするには、構成コンテナー内のオブジェクトを変更する必要があります。この設定は、フォレスト全体です。オブジェクトを変更するには、次の手順を実行します。
-
変更するオブジェクトを探します。
これを行う方法については、マイクロソフト サポート技術情報の記事を表示するのには次の資料番号をクリックします。326690 Windows Server 2003 ドメイン コント ローラーの Active Directory への匿名 LDAP 操作が無効になって
-
コマンド プロンプトでldp.exeと入力し、LDP ユーティリティを起動するのには ENTER キーを押します。
-
[接続] をクリックしてください
接続し、[ OK] をクリックします。 -
[接続] をクリックしてください
バインドを、フォレスト ルート管理者のパスワードとユーザー名を入力し、し、[ OK] をクリックします。 -
ビュー] をクリックして、[ツリー] をクリックし、[ OK] をクリックします。
-
ツリー ビューで使用すると、次の構成 CN を開きます。
CN = ディレクトリ サービス、CN = Windows NT、CN = サービス、CN = 構成、DC =ルート ドメインのフォレスト
-
ディレクトリ サービスのオブジェクトを検索し、それをダブルクリックします。
-
DsHeuristics属性が既に設定されているかどうかを判断するのには右側にあるリスト オブジェクトの属性を確認します。設定されている場合は、既存の値をクリップボードにコピーします。
-
左側にある、ディレクトリ サービスオブジェクトを右クリックし、[変更] をクリックします。
-
属性の名前として次のように入力します。
dsHeuristics。 -
値として000000000100000fを入力します。DsHeuristics で既にどのような値の最初の部分にゼロに置き換えます。適切であるかどうかを確認、"f"またはビットまでの数字の数を設定します。
注: 正しい文字を修正していることを確認するに 10 番目の文字はすべて必要がありますに設定する文字数までポイントが 10 で割った値します。10 番目の文字は 1 である必要があります、20 番目の文字は 2 である必要があります、30 文字は、3 をする必要がありますというようにします。 -
属性が既に存在していた場合は、次のをクリックします。
[操作] ボックスで置換をします。それ以外の場合、[追加を] をクリックします。 -
LDAP トランザクションに追加する操作のグループを右上には、enter キーを押します。
-
オブジェクトに変更を適用する実行をクリックします。フォレスト内の PDC エミュレーターに、この変更がレプリケートされた後、この修正プログラムを実行しているサーバーでは、ビットを設定したオペレーター グループのメンバーであるユーザーは保護されなくなります。
回避策
この問題を回避するには、次の方法のいずれかを使用します。
方法 1: のメンバーは、保護されたグループのメンバーではないことを確認します。
組織単位レベルで委任されたアクセス許可を使用する場合は、委任されたアクセス許可を必要とするすべてのユーザーが保護されたグループの 1 つのメンバーではないことを確認します。保護されたグループのメンバーだったユーザーは、継承フラグは自動的にリセットされません、ユーザーが保護されたグループから削除します。これを行うには、次のスクリプトを使用することができます。
注: このスクリプトは、AdminCount が 1 に設定されてすべてのユーザーの継承フラグをチェックします。継承が無効になっている場合 (既に有効に設定)、スクリプトは、継承を有効になります。継承が既に有効になっている場合、継承は常に有効です。また、AdminCount が 0 にリセットされます。AdminSDHolder スレッドがもう一度実行されると、継承を無効にされ、保護されたグループに残っているすべてのユーザーに対して、AdminCount を 1 に設定。したがって、AdminCount および継承について正しく設定されてすべてのユーザーが保護されたグループのメンバーではなくなります。
重要な:実行しているシステムからこのスクリプトを実行しているかどうかはWindows Vista およびそれ以上このスクリプトを実行し、管理者権限でコマンド プロンプトを開いてください。
スクリプトを実行するのにには、次のコマンドを使用します。
cscript /nologo resetaccountsadminsdholder.vbs
マイクロソフトでは解説することのみを目的としてプログラミング例を提供しています。暗示あるいは明示していることに対しての保証はしておりません。ここで言う保証とは、特定の目的に対する商品性や適合性の暗示的保証を含んでいますが、それに限定されるわけではありません。この資料では、例示されているプログラミング言語およびプロシージャの作成やデバッグに使用するツールにお客様が精通していることを前提としています。マイクロソフトのサポート エンジニアは、特定のプロシージャの機能を説明することができますが、機能の追加またはお客様固有の要件を満たすようにプロシージャを作成するこれらの例は変更されません。
'********************************************************************
'*
'* File: ResetAccountsadminSDHolder.vbs
'* Created: November 2003
'* Version: 1.0
'*
'* Main Function: Resets all accounts that have adminCount = 1 back
'*to 0 and enables the inheritance flag
'*
'* ResetAccountsadminSDHolder.vbs
'*
'* Copyright (C) 2003 Microsoft Corporation
'*
'********************************************************************
Const SE_DACL_PROTECTED = 4096
On Error Resume Next
Dim sDomain
Dim sADsPath
Dim sPDC
Dim oCon
Dim oCmd
Dim oRst
Set oRst = CreateObject("ADODB.Recordset")
Set oCmd = CreateObject("ADODB.Command")
Set oCon = CreateObject("ADODB.Connection")
Dim oRoot
Dim oDomain
Dim oADInfo
Dim oInfo
Set oADInfo = CreateObject("ADSystemInfo")
Set oInfo = CreateObject("WinNTSystemInfo")
sPDC = oInfo.PDC & "." & oADInfo.DomainDNSName
oCon.Provider = "ADSDSOObject"
oCon.Open "Active Directory Provider"
oCmd.ActiveConnection = oCon
Set oRoot = GetObject("LDAP://rootDSE")
sDomain = oRoot.Get("defaultNamingContext")
Set oDomain = GetObject("LDAP://" & sDomain)
sADsPath = "<" & oDomain.ADsPath & ">"
oCmd.CommandText = "SELECT ADsPath FROM 'LDAP://" & sPDC & "/" & sDomain & "' WHERE objectCategory='person' and objectClass = 'user' AND adminCount = 1"
Set oRst = oCmd.Execute
WScript.Echo "searching for objects with 'admin count = 1' in " & sDomain
If oRst.RecordCount = 0 Then
WScript.Echo "no accounts found"
WScript.Quit
End If
Do While Not oRst.EOF
WScript.Echo "found object " & oRst.Fields("ADsPath")
If SetInheritanceFlag(oRst.Fields("ADsPath")) = 0 Then WScript.Echo "Inheritance flag set"
If SetAdminCount(oRst.Fields("ADsPath"), 0) = 0 Then WScript.Echo "adminCount set to 0"
WScript.Echo "=========================================="
oRst.MoveNext
Loop
Private Function SetInheritanceFlag(DSObjectPath)
Dim oSD
Dim oDACL
Dim lFlag
Dim oIADs
Set oIADs = GetObject(DSObjectPath)
Set oSD = oIADs.Get("nTSecurityDescriptor")
If oSD.Control And SE_DACL_PROTECTED Then
oSD.Control = oSD.Control - SE_DACL_PROTECTED
End If
oIADs.Put "nTSecurityDescriptor", oSD
oIADs.SetInfo
If Err.Number <> 0 Then
SetInheritanceFlag = Err.Number
Else
SetInheritanceFlag = 0
End If
End Function
Private Function SetAdminCount(DSObjectPath, AdminCount)
Dim oIADs
Dim iAdminCount
Set oIADs = GetObject(DSObjectPath)
iAdminCount = oIADs.Get("adminCount")
If iAdminCount = 1 Then iAdminCount = 0
oIADs.Put "adminCount", iAdminCount
oIADs.SetInfo
If Err.Number <> 0 Then
SetAdminCount = Err.Number
Else
SetAdminCount = 0
End If
End Function
ユーザーが悪影響を受ける操作のないようにするには、AdminCount が 1 に Ldifde.exe を使用して設定を持つユーザーを最初にダンプすることをお勧めします。これを行うには、コマンド プロンプトで次のコマンドを入力し、ENTER キーを押します。
ldifde-f Admincount 1.txt-d dc =ドメインr"(& (objectcategory=person)(objectclass=user)(admincount=1))」DACL を持つすべてのユーザーが保護ビットがオフであることを確認するのには出力ファイルに適切なアクセス許可を持つが、レビューには、アクセス制御エントリ (Ace) のみが継承されています。このメソッドは推奨であり、既存のセキュリティを弱めない。
方法 2: は、adminSDHolder コンテナーで継承を有効にします。
AdminSDHolder コンテナーで継承を有効にした場合、保護されたグループのすべてのメンバーが継承されたアクセス許可を有効にします。セキュリティ機能では、このメソッドは、前のサービス パック 4 の機能に戻る adminSDHolder コンテナーの動作を戻します。
AdminSDHolder コンテナーで継承を有効にします。
AdminSDHolder コンテナーで継承を有効にすると、2 つの保護アクセス制御リスト (ACL) メカニズムの 1 つが無効になります。既定のアクセス許可が適用されます。ただし、保護されたグループのすべてのメンバーは、組織単位レベルで継承が有効になっている場合、組織単位およびすべての親組織単位からアクセス許可を継承します。
管理者のユーザーに対して継承を保護を提供するには、独自の組織単位にすべての管理ユーザー (および継承の保護を必要とする他のユーザー) を移動します。組織単位レベルでは、継承を削除して、adminSDHolder コンテナーの現在の Acl に一致するアクセス許可を設定します。AdminSDHolder コンテナーのアクセス許可が異なる場合がありますので (Microsoft Exchange Server を追加するなどいくつかのアクセス許可またはアクセス許可が変更された)、現在、adminSDHolder のアクセス許可の保護されたグループのメンバーを確認コンテナーです。AdminSDHolder コンテナーでのすべてのアクセス許可をユーザー インターフェイス (UI) が表示されないことに注意します。AdminSDHolder コンテナーのすべてのアクセス許可を表示するのにには、DSacls を使用します。
AdminSDHolder コンテナーで継承を有効にするには、ADSI Edit または Active Directory ユーザーとコンピューターを使用します。AdminSDHolder コンテナーのパスは、CN = adminSDHolder、CN = システム、DC = < MyDomain >、DC = < Com >
注: Active Directory ユーザーとコンピューターを使用する場合、以下のことを確認します。
[表示] メニューには、高度な機能が選択されます。
AdminSDHolder コンテナーで継承を有効にするには。
-
コンテナーを右クリックし、をクリックしてください
プロパティです。 -
[セキュリティ] タブをクリックします。
-
[詳細設定] をクリックします。
-
このオブジェクトと子オブジェクトすべてに伝達するを許可する継承可能なアクセス許可] チェック ボックスをオンにします。
-
[Ok]をクリックし、クリックしてください
閉じる。
SDProp スレッドが実行されると、次に保護されたグループのすべてのメンバーに継承フラグが設定されています。このプロシージャは、最大 60 分までにかかる場合があります。プライマリ ドメイン コント ローラー (PDC) から複製するには、この変更に十分な時間を許可します。
方法 3: 継承を回避し、Acl の変更のみ
ユーザーの置かれているコンテナーのアクセス許可を継承する、保護されたグループのメンバーであるユーザーされないようにするには、ユーザー オブジェクトのセキュリティを変更するだけ場合は、adminSDHolder コンテナー ディレクトリのセキュリティを編集できます。このシナリオでは、adminSDHolder コンテナーで継承を有効にする必要はありません。だけがそのグループを追加または adminSDHolder コンテナーで既に定義されているセキュリティ グループのセキュリティを編集するにはあります。SDProp スレッドでは 1 時間後に保護されたグループのすべてのメンバーの adminSDHolder コンテナーの Acl への変更が適用されます。メンバー内に存在するコンテナーのセキュリティを継承しません。
たとえば、Self アカウントには、すべてのプロパティの読み取りを許可する権限が必要です。Self にこの権利を許可する、adminSDHolder コンテナーのセキュリティ設定を編集するアカウントです。Self に、この権利を許可、1 時間後に保護されたグループのメンバーであるすべてのユーザー アカウントです。継承フラグは変更されません。
次の例では、 adminSDHolderオブジェクトのみに変更を適用する方法を示します。次の使用例を次のアクセス許可を付与する、
adminSDHolderオブジェクト。
-
内容の一覧表示
-
すべてのプロパティを読み取り
-
すべてプロパティを書き込み
AdminSDHolderオブジェクトにこれらのアクセス許可を与えるには、以下の手順を実行します。
-
、Active Directory ユーザーとコンピューターで次のようにクリックします。
[表示] メニューの高度な機能です。 -
AdminSDHolderオブジェクトを探します。オブジェクトは、Active Directory フォレスト内のドメインごとに次の場所です。
CN = adminSDHolder、CN = システムでは、DC = ドメイン、DC = comここは
DC = ドメイン、DC = comは、ドメインの識別名です。 -
AdminSDHolder] を右クリックしをクリックしてください
プロパティです。 -
[プロパティ] ダイアログ ボックスをクリックします
セキュリティ] タブで、[詳細設定] をクリックします。 -
AdminSDHolder のアクセス制御の設定] ダイアログ ボックスで、[追加] をクリックします
アクセス権] タブ。 -
[ユーザー、コンピューター、またはグループ] ダイアログ ボックスで、関連のアクセス許可を付与するアカウントをクリックでし、[ OK] をクリックします。
-
AdminSDHolder のアクセス許可エントリ] ダイアログ ボックスで [適用先] ボックスで、[このオブジェクトのみ] をクリックし、内容の一覧表示、すべてのプロパティの読み取り、およびすべてのプロパティの書き込みの権限] をクリックします。
-
AdminSDHolder のアクセス許可エントリ] ダイアログ ボックス、 adminSDHolder のアクセス制御の設定] ダイアログ ボックスと、[ adminSDHolder のプロパティ] ダイアログ ボックスを閉じます[ok]をクリックします。
1 時間以内に変更を反映するように保護されたグループに関連付けられているユーザー オブジェクトの ACL が更新されます。の詳細については、マイクロソフト サポート技術情報の記事を表示するのには次の資料番号をクリックします:
232199の説明と、Active Directory の adminSDHolder オブジェクトの更新
318180 AdminSDHolder スレッドに配布グループのメンバーが推移的な影響します。
状況
マイクロソフトでは、対象セクションに記載されているマイクロソフト製品の問題があること確認しています。この問題は、Windows Server 2003 Service Pack 1 で最初に修正されました。
詳細
Active Directory は、機密性の高いグループのメンバーの Acl が正しく設定されているかどうかを確認するのには、保護メカニズムを使用します。メカニズムでは、PDC 操作マスターで、1 時間に 1 回を実行します。操作マスターは、次のオブジェクトの ACL に対して、保護されたグループのメンバーであるユーザー アカウントの ACL を比較します。
CN=adminSDHolder,CN=System,DC=<MyDomain>,DC=<Com>
注: "DC =
