委任されたアクセス許可は使用できませんし、継承が自動的に無効になっています。

Windows 2000 修正プログラムの情報

サポートされている修正プログラムは、マイクロソフトから入手可能です。ただし、この修正プログラムは、ここで説明する問題のみを修正することを目的としたものです。この問題が発生しているシステムにのみ適用してください。

修正プログラムをダウンロードできる場合は、このサポート技術情報の資料の上部に「修正プログラムのダウンロード」セクションがあります。このセクションが表示されていない場合は、マイクロソフト カスタマー サービス サポートにリクエストを送信し、修正プログラムを入手してください。

注: さらなる問題が発生した場合、またはトラブルシューティングが必要な場合には、別のサービス リクエストの作成が必要な場合があります。この修正プログラムの対象外の追加の質問および問題については、通常のサポート料金が適用されます。一覧マイクロソフト カスタマー サービス & サポートの電話番号または別のサービス リクエストを作成する、次のマイクロソフト Web サイトを参照してください。

http://support.microsoft.com/contactus/?ws=support注: [修正プログラムのダウンロード] フォームには、修正プログラムが提供されている言語が表示されます。お使いの言語が表示されない場合は、その言語の修正プログラムが利用できないためです。

Windows Server 2003 サービス パックの情報

この問題を解決するには、Windows Server 2003 の最新の service pack を入手します。詳細については、次の文書番号をクリックして、マイクロソフト サポート技術情報の資料をご参照ください。

889100 Windows Server 2003 の最新の service pack の入手方法

Windows Server 2003 の修正プログラム情報

サポートされている修正プログラムは、マイクロソフトから入手可能です。ただし、この修正プログラムは、ここで説明する問題のみを修正することを目的としたものです。この問題が発生しているシステムにのみ適用してください。この修正プログラムは、今後さらにテストを行う場合があります。したがって、この問題の影響が深刻でない場合は、この修正プログラムが含まれる次のソフトウェア更新プログラムがリリースされるまで待つことをお勧めします。

修正プログラムをダウンロードできる場合は、このサポート技術情報の資料の上部に「修正プログラムのダウンロード」セクションがあります。このセクションが表示されていない場合は、マイクロソフト カスタマー サービス サポートにお問い合わせのうえ、修正プログラムを入手してください。

注: さらなる問題が発生した場合、またはトラブルシューティングが必要な場合には、別のサービス リクエストの作成が必要な場合があります。この修正プログラムの対象外の追加の質問および問題については、通常のサポート料金が適用されます。一覧マイクロソフト カスタマー サービス & サポートの電話番号または別のサービス リクエストを作成する、次のマイクロソフト Web サイトを参照してください。

http://support.microsoft.com/contactus/?ws=support注: [修正プログラムのダウンロード] フォームには、修正プログラムが提供されている言語が表示されます。お使いの言語が表示されない場合は、その言語の修正プログラムが利用できないためです。この修正プログラムのの英語バージョンがファイル属性 (またはそれ以降のファイル属性) には次の表に記載されています。各ファイルの日付および時刻は、世界協定時刻 (UTC) で示されています。ファイル情報に表示される時刻は、ローカル時刻に変換されています。UTC とローカル時刻との差を検索するには、コントロール パネルの [日付と時刻] でタイム ゾーン] タブを使用します。

方法 1: のメンバーは、保護されたグループのメンバーではないことを確認します。

組織単位レベルで委任されたアクセス許可を使用する場合は、委任されたアクセス許可を必要とするすべてのユーザーが保護されたグループの 1 つのメンバーではないことを確認します。保護されたグループのメンバーだったユーザーは、継承フラグは自動的にリセットされません、ユーザーが保護されたグループから削除します。これを行うには、次のスクリプトを使用することができます。

注: このスクリプトは、AdminCount が 1 に設定されてすべてのユーザーの継承フラグをチェックします。継承が無効になっている場合 (既に有効に設定)、スクリプトは、継承を有効になります。継承が既に有効になっている場合、継承は常に有効です。また、AdminCount が 0 にリセットされます。AdminSDHolder スレッドがもう一度実行されると、継承を無効にされ、保護されたグループに残っているすべてのユーザーに対して、AdminCount を 1 に設定。したがって、AdminCount および継承について正しく設定されてすべてのユーザーが保護されたグループのメンバーではなくなります。

重要な:実行しているシステムからこのスクリプトを実行しているかどうかはWindows Vista およびそれ以上このスクリプトを実行し、管理者権限でコマンド プロンプトを開いてください。

スクリプトを実行するのにには、次のコマンドを使用します。

cscript /nologo resetaccountsadminsdholder.vbs

マイクロソフトでは解説することのみを目的としてプログラミング例を提供しています。暗示あるいは明示していることに対しての保証はしておりません。ここで言う保証とは、特定の目的に対する商品性や適合性の暗示的保証を含んでいますが、それに限定されるわけではありません。この資料では、例示されているプログラミング言語およびプロシージャの作成やデバッグに使用するツールにお客様が精通していることを前提としています。マイクロソフトのサポート エンジニアは、特定のプロシージャの機能を説明することができますが、機能の追加またはお客様固有の要件を満たすようにプロシージャを作成するこれらの例は変更されません。

'********************************************************************
'*
'* File:           ResetAccountsadminSDHolder.vbs 
'* Created:        November 2003
'* Version:        1.0
'*
'*  Main Function:  Resets all accounts that have adminCount = 1 back
'*to 0 and enables the inheritance flag
'*
'*  ResetAccountsadminSDHolder.vbs 
'*
'* Copyright (C) 2003 Microsoft Corporation
'*
'********************************************************************

Const SE_DACL_PROTECTED = 4096

On Error Resume Next

Dim sDomain
Dim sADsPath
Dim sPDC


Dim oCon 
Dim oCmd
Dim oRst
Set oRst = CreateObject("ADODB.Recordset")
Set oCmd = CreateObject("ADODB.Command")
Set oCon = CreateObject("ADODB.Connection")

Dim oRoot
Dim oDomain
Dim oADInfo
Dim oInfo
Set oADInfo = CreateObject("ADSystemInfo")
Set oInfo = CreateObject("WinNTSystemInfo")
sPDC = oInfo.PDC & "." & oADInfo.DomainDNSName

oCon.Provider = "ADSDSOObject"
oCon.Open "Active Directory Provider"

oCmd.ActiveConnection = oCon

Set oRoot = GetObject("LDAP://rootDSE")
sDomain = oRoot.Get("defaultNamingContext")
Set oDomain = GetObject("LDAP://" & sDomain)
sADsPath = "<" & oDomain.ADsPath & ">"

oCmd.CommandText = "SELECT ADsPath FROM 'LDAP://" & sPDC & "/" & sDomain & "' WHERE objectCategory='person' and objectClass = 'user' AND adminCount = 1"
Set oRst = oCmd.Execute

WScript.Echo "searching for objects with 'admin count = 1' in " & sDomain

If oRst.RecordCount = 0 Then
    WScript.Echo "no accounts found"
    WScript.Quit
End If

Do While Not oRst.EOF
    WScript.Echo  "found object " & oRst.Fields("ADsPath")
    If SetInheritanceFlag(oRst.Fields("ADsPath")) = 0 Then WScript.Echo "Inheritance flag set"
    If SetAdminCount(oRst.Fields("ADsPath"), 0) = 0 Then WScript.Echo "adminCount set to 0"
    WScript.Echo  "=========================================="
    oRst.MoveNext
Loop


Private Function SetInheritanceFlag(DSObjectPath)

    Dim oSD
    Dim oDACL
    Dim lFlag
    Dim oIADs

    Set oIADs = GetObject(DSObjectPath)

    Set oSD = oIADs.Get("nTSecurityDescriptor")

    If oSD.Control And SE_DACL_PROTECTED Then
        oSD.Control = oSD.Control - SE_DACL_PROTECTED
    End If

    oIADs.Put "nTSecurityDescriptor", oSD
    oIADs.SetInfo

    If Err.Number <> 0 Then
        SetInheritanceFlag = Err.Number
    Else
        SetInheritanceFlag = 0
    End If

End Function


Private Function SetAdminCount(DSObjectPath, AdminCount)

    Dim oIADs
    Dim iAdminCount

    Set oIADs = GetObject(DSObjectPath)

    iAdminCount = oIADs.Get("adminCount")

    If iAdminCount = 1 Then iAdminCount = 0

    oIADs.Put "adminCount", iAdminCount
    oIADs.SetInfo
    If Err.Number <> 0 Then
        SetAdminCount = Err.Number
    Else
        SetAdminCount = 0
    End If

End Function

ユーザーが悪影響を受ける操作のないようにするには、AdminCount が 1 に Ldifde.exe を使用して設定を持つユーザーを最初にダンプすることをお勧めします。これを行うには、コマンド プロンプトで次のコマンドを入力し、ENTER キーを押します。

ldifde-f Admincount 1.txt-d dc =ドメインr"(& (objectcategory=person)(objectclass=user)(admincount=1))」DACL を持つすべてのユーザーが保護ビットがオフであることを確認するのには出力ファイルに適切なアクセス許可を持つが、レビューには、アクセス制御エントリ (Ace) のみが継承されています。このメソッドは推奨であり、既存のセキュリティを弱めない。

方法 2: は、adminSDHolder コンテナーで継承を有効にします。

AdminSDHolder コンテナーで継承を有効にした場合、保護されたグループのすべてのメンバーが継承されたアクセス許可を有効にします。セキュリティ機能では、このメソッドは、前のサービス パック 4 の機能に戻る adminSDHolder コンテナーの動作を戻します。

方法 3: 継承を回避し、Acl の変更のみ

ユーザーの置かれているコンテナーのアクセス許可を継承する、保護されたグループのメンバーであるユーザーされないようにするには、ユーザー オブジェクトのセキュリティを変更するだけ場合は、adminSDHolder コンテナー ディレクトリのセキュリティを編集できます。このシナリオでは、adminSDHolder コンテナーで継承を有効にする必要はありません。だけがそのグループを追加または adminSDHolder コンテナーで既に定義されているセキュリティ グループのセキュリティを編集するにはあります。SDProp スレッドでは 1 時間後に保護されたグループのすべてのメンバーの adminSDHolder コンテナーの Acl への変更が適用されます。メンバー内に存在するコンテナーのセキュリティを継承しません。

たとえば、Self アカウントには、すべてのプロパティの読み取りを許可する権限が必要です。Self にこの権利を許可する、adminSDHolder コンテナーのセキュリティ設定を編集するアカウントです。Self に、この権利を許可、1 時間後に保護されたグループのメンバーであるすべてのユーザー アカウントです。継承フラグは変更されません。

次の例では、 adminSDHolderオブジェクトのみに変更を適用する方法を示します。次の使用例を次のアクセス許可を付与する、
adminSDHolderオブジェクト。

• 内容の一覧表示

• すべてのプロパティを読み取り

• すべてプロパティを書き込み

AdminSDHolderオブジェクトにこれらのアクセス許可を与えるには、以下の手順を実行します。

1. 、Active Directory ユーザーとコンピューターで次のようにクリックします。
   [表示] メニューの高度な機能です。

2. AdminSDHolderオブジェクトを探します。オブジェクトは、Active Directory フォレスト内のドメインごとに次の場所です。
   CN = adminSDHolder、CN = システムでは、DC = ドメイン、DC = comここは
   DC = ドメイン、DC = comは、ドメインの識別名です。

3. AdminSDHolder] を右クリックしをクリックしてください
   プロパティです。

4. [プロパティ] ダイアログ ボックスをクリックします
   セキュリティ] タブで、[詳細設定] をクリックします。
   

5. AdminSDHolder のアクセス制御の設定] ダイアログ ボックスで、[追加] をクリックします
   アクセス権] タブ。

6. [ユーザー、コンピューター、またはグループ] ダイアログ ボックスで、関連のアクセス許可を付与するアカウントをクリックでし、[ OK] をクリックします。

7. AdminSDHolder のアクセス許可エントリ] ダイアログ ボックスで [適用先] ボックスで、[このオブジェクトのみ] をクリックし、内容の一覧表示、すべてのプロパティの読み取り、およびすべてのプロパティの書き込みの権限] をクリックします。
   

8. AdminSDHolder のアクセス許可エントリ] ダイアログ ボックス、 adminSDHolder のアクセス制御の設定] ダイアログ ボックスと、[ adminSDHolder のプロパティ] ダイアログ ボックスを閉じます[ok]をクリックします。

1 時間以内に変更を反映するように保護されたグループに関連付けられているユーザー オブジェクトの ACL が更新されます。の詳細については、マイクロソフト サポート技術情報の記事を表示するのには次の資料番号をクリックします:

232199の説明と、Active Directory の adminSDHolder オブジェクトの更新

318180 AdminSDHolder スレッドに配布グループのメンバーが推移的な影響します。