Como conceder a permissão "Replicando alterações de diretório" para a conta de serviço do Microsoft Metadirectory Services ADMA

  • Artigo

Este artigo descreve como conceder a permissão "Replicando alterações de diretório" para a conta de serviço do Microsoft Metadirectory Services ADMA.

Aplica-se a: Windows Server 2012 R2
Número de KB original: 303972

Resumo

Ao descobrir objetos no Active Directory usando o agente de gerenciamento do Active Directory (ADMA), a conta especificada para se conectar ao Active Directory deve ter permissões administrativas de domínio, pertencer ao grupo Administradores de Domínio ou receber explicitamente permissões replicando alterações de diretório para cada domínio da floresta acessada por esse agente de gerenciamento. Este artigo descreve como conceder explicitamente a uma conta de usuário as permissões Replicando Alterações de Diretório em um domínio.

Observação

No Windows Server 2003, o nome dessa permissão foi alterado para "Replicar alterações de diretório".

Mais informações

A permissão Replicando Alterações de Diretório, conhecida como permissão Replicar Alterações de Diretório no Windows Server 2003, é uma ACE (Entrada de Controle de Acesso) em cada contexto de nomenclatura de domínio. Você pode atribuir essa permissão usando o editor acl ou a ferramenta de suporte Adsiedit no Windows 2000.

Configurando permissões usando o editor da ACL

  1. Abra o snap-in Usuários e Computadores do Active Directory
  2. No menu Exibir, clique em Recursos Avançados.
  3. Clique com o botão direito do mouse no objeto de domínio, como "company.com", e clique em Propriedades.
  4. Na guia Segurança , se a conta de usuário desejada não estiver listada, clique em Adicionar; se a conta de usuário desejada estiver listada, vá para a etapa 7.
  5. Na caixa de diálogo Selecionar Usuários, Computadores ou Grupos , selecione a conta de usuário desejada e clique em Adicionar.
  6. Clique em OK para retornar à caixa de diálogo Propriedades .
  7. Clique na conta de usuário desejada.
  8. Clique para selecionar a caixa Replicando Alterações de Diretório marcar na lista.
  9. Na caixa Plano de discagem (Contexto de telefone), clique em Procurar para localizar o plano de discagem do usuário.
  10. Feche o snap-in.

Configurando permissões usando o Adsiedit

Aviso

Usar o Adsiedit incorretamente pode causar sérios problemas que podem exigir que você reinstale seu sistema operacional. A Microsoft não pode garantir que problemas resultantes do uso incorreto do Adsiedit possam ser resolvidos. Use Adsiedit por sua conta e risco.

  1. Instale as ferramentas de suporte do Windows 2000 se elas ainda não tiverem sido instaladas.
  2. Execute Adsiedit.msc como administrador do domínio. Expanda o nó Contexto de Nomenclatura de Domínio (NC de Domínio). Esse nó contém um objeto que começa com "DC=" e reflete o nome de domínio correto. Clique com o botão direito do mouse neste objeto e clique em Propriedades.
  3. Clique na guia Segurança.
  4. Se a conta de usuário desejada não estiver listada, clique em Adicionar, caso contrário, prossiga para a etapa 8.
  5. Na caixa de diálogo Selecionar Usuários, Computadores ou Grupos , selecione a conta de usuário desejada e clique em Adicionar.
  6. Clique em OK para retornar à caixa de diálogo Propriedades .
  7. Na caixa Plano de discagem (Contexto de telefone), clique em Procurar para localizar o plano de discagem do usuário.
  8. Selecione a conta de usuário desejada
  9. Clique para selecionar a caixa Replicando Alterações de Diretório marcar.
  10. Na caixa Plano de discagem (Contexto de telefone), clique em Procurar para localizar o plano de discagem do usuário.
  11. Feche o snap-in.

Observação

Usando qualquer método, definir a permissão Replicando Alterações de Diretório para cada domínio em sua floresta permite a descoberta de objetos no domínio dentro da floresta do Active Directory. No entanto, habilitar a descoberta do diretório conectado não implica que outras operações possam ser executadas.

Para criar, modificar e excluir objetos no Active Directory usando uma conta não administrativa, talvez seja necessário adicionar permissões adicionais conforme apropriado. Por exemplo, para que o MMS (Microsoft Metadirectory Services) crie novos objetos de usuário em uma OU (Unidade Organizacional) ou contêiner, a conta que está sendo usada deve receber explicitamente a permissão Create All Child Objects, pois a permissão Replicando Alterações de Diretório não é suficiente para permitir a criação de objetos.

De maneira semelhante, a exclusão de objetos requer a permissão Excluir Todos os Objetos Filho.

É possível que haja limitações em outras operações, como fluxo de atributo, dependendo das configurações de segurança específicas atribuídas ao objeto em questão e se a herança é ou não um fator.