「アクセス許可の変更を保存できません」のアクセス許可を適用する場合

現象

など、組織単位 (OU)、グループ、ユーザー、または Active Directory 内のコンピューター オブジェクトに対するアクセス許可を伝達した場合、次のエラー メッセージが表示される可能性があります。

オブジェクトのアクセス許可の変更を保存できません。制約違反が発生しました。

30 分ごとにドメイン コント ローラー上のディレクトリ サービス ログに次のイベントが表示されます。

イベントの種類: エラー
イベント ソース: NTDS SDPROP
イベント カテゴリ: 内部処理
イベント ID: 1450
NT AUTHORITY\ANONYMOUS ログオンのユーザー。
コンピューター:コンピューター名
説明:
セキュリティ記述子の伝達タスクは、次のオブジェクトの新しいセキュリティ記述子を計算できませんでした。
 
オブジェクト:
オブジェクトの識別名 (DN)
 
この操作は後でもう一度実行されます。
 
ユーザーの操作
この状態が継続する場合は、このオブジェクトの状態を表示し、セキュリティ記述子を手動で変更をみます。
 
追加データ
エラー値:
1340、継承されたアクセス制御リスト (ACL) またはアクセス制御エントリ (ACE) を構築できませんでした。


ログに次のイベントを確認することもできます。

イベントの種類: エラー
イベント ソース: NTDS SDPROP
イベント カテゴリ: 内部処理
イベント ID: 1450
NT AUTHORITY\ANONYMOUS ログオンのユーザー。
Computer: Computer Name
説明:
セキュリティ記述子の伝達タスクは、次のオブジェクトの新しいセキュリティ記述子を計算できませんでした。
 
オブジェクト:
オブジェクトの識別名 (DN)
 
この操作は後でもう一度実行されます。
 
ユーザーの操作
この状態が継続する場合は、このオブジェクトの状態を表示し、セキュリティ記述子を手動で変更をみます。
 
追加データ
エラー値:
53c %3

原因

この問題は、64 KB または Ace のサイズによって約 1,820 のアクセス制御エントリ (Ace) のオブジェクトのアクセス制御リスト (ACL) のサイズを超えているために発生します。

解決策

この問題を解決するには、ACL のサイズを小さくしてからエントリを削除します。ACL のサイズに関する問題の結果がエラーであるかどうかを決定するオブジェクトの Ace をダンプするには、次のコマンドを実行することができます。

dsacls DistinguishedNameOfTheProblematicObject

Dsacls ツールの詳細については、次のマイクロソフト サポート技術情報資料を参照してください。

281146 Windows 2000 と Windows Server 2003 の Dsacls.exe を使用する方法

セキュリティ記述子とそのサイズを表示するのには、LDP ツールを使用することができますもします。LDP は、Windows 2000 Server および Windows Server 2003 サポート ツールで使用できます。使用可能になるで、リモート サーバー管理ツール (RSAT) Windows Server 2008 と Windows Server 2008 R2 の役割の管理ツールに使用するAD DS および AD LDS ツールがインストールされている場合。詳細については、次の資料を参照してください。

941314Windows Vista Service Pack 1 の Windows Server 2008 のリモート サーバー管理ツールの説明

LDP ツールを使用してセキュリティ記述子のサイズを表示します。

  1. LDP.exe を起動します。

  2. [接続] メニューの「接続」を選択し、、オブジェクトの識別名 (DN)が存在するドメイン コント ローラー名前を入力し、します。

  3. 管理者の資格情報を使用してログオンするのには [接続] メニューからは、バインドを選択します。現在ログオン中のユーザーに管理者権限がある場合は、空白にしておきます、資格情報。

  4. セキュリティを [参照] メニューから選択し、セキュリティを選択します.

  5. オブジェクトの識別名 (DN) を入力、テキスト ダンプを選択し、[ OK] をクリックします。セキュリティ記述子は、右側のウィンドウに表示されます。

セキュリティ記述子が長い場合は、スクロール可能性があります。エース[ACE の #]タイプのエントリは、ACL 内のエントリの数を表示します。ACE エントリの合計数を確認するのには表示されている最後のエントリに 1 を追加します。それ以外の場合、行のための十分な数を構成する LDP を使用する、完全にセキュリティ記述子を表示することができます。

LDP の右側のウィンドウ内の行の数を増やす。

  1. Choose General from the Options menu.

  2. バッファー サイズ] セクション内の行の数が必要に応じて 2048 などの行または値の数値を入力します。

  3. セキュリティ記述子を表示するのには前の手順で、手順 4-5 を繰り返します。

このような出力が表示されます。

セキュリティ記述子:
セキュリティ記述子: SD リビジョン: 1
SD コントロール: 0x8c04
  SE_DACL_PRESENT
  SE_DACL_AUTO_INHERITED
  SE_SACL_AUTO_INHERITED
  SE_SELF_RELATIVE
所有者: Contoso\AdminGuy [S-1-5-21-2127521184-1604012920-1887927527-25455]
Contoso\Domain ユーザーのグループ: [S-1-5-21-2127521184-1604012920-1887927527-513]
DACL。
リビジョン 4
サイズ: 12236 バイト
# Ace: 210
 Ace[0]
Ace の種類: 0x5 - ACCESS_ALLOWED_OBJECT_ACE_TYPE
Ace のサイズ: 56 バイト

ここで示すようにサイズ エントリには、セキュリティ記述子のサイズが表示されます。

詳細

セキュリティ記述子の詳細については、次のマイクロソフト web サイトを参照してください。

セキュリティ記述子とアクセス制御リストの動作方法

ヘルプを表示

スキルを磨く
トレーニングの探索
新機能を最初に入手
Microsoft Insider に参加する

この情報は役に立ちましたか?

フィードバックをお送りいただきありがとうございます!

フィードバックをお寄せいただき、ありがとうございます。Office サポートの担当者におつなぎいたします。

×