Предоставление разрешения "Репликация изменений каталога" для учетной записи службы ADMA служб метакаталогов Майкрософт

  • Статья

В этой статье описывается, как предоставить разрешение "Репликация изменений каталога" для учетной записи службы ADMA служб Метакаталогов Майкрософт.

Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 303972

Сводка

При обнаружении объектов в Active Directory с помощью агента управления Active Directory (ADMA) учетная запись, указанная для подключения к Active Directory, должна иметь разрешения администратора домена, принадлежать к группе администраторов домена или явно предоставлять разрешения на репликацию изменений каталога для каждого домена леса, к которому обращается этот агент управления. В этой статье описывается, как явно предоставить учетной записи пользователя разрешения на репликацию изменений каталога в домене.

Примечание.

В Windows Server 2003 имя этого разрешения изменилось на "Репликация изменений каталога".

Дополнительная информация

Разрешение "Репликация изменений каталога", известное как разрешение "Репликация изменений каталога" в Windows Server 2003, представляет собой контроль доступа запись (ACE) для каждого контекста именования домена. Это разрешение можно назначить с помощью редактора ACL или средства поддержки Adsiedit в Windows 2000.

Настройка разрешений с помощью редактора ACL

  1. Открытие оснастки Пользователи и компьютеры Active Directory
  2. В меню Вид выберите пункт Дополнительные параметры.
  3. Щелкните правой кнопкой мыши объект домена, например "company.com", и выберите пункт Свойства.
  4. На вкладке Безопасность , если нужной учетной записи пользователя нет в списке, нажмите кнопку Добавить; Если указана требуемая учетная запись пользователя, перейдите к шагу 7.
  5. В диалоговом окне Выбор пользователей, компьютеров или групп выберите нужную учетную запись пользователя и нажмите кнопку Добавить.
  6. Нажмите кнопку ОК , чтобы вернуться в диалоговое окно Свойства .
  7. Щелкните нужную учетную запись пользователя.
  8. Щелкните, чтобы выбрать в списке проверка реплицирование изменений каталога.
  9. Чтобы выполнить поиск абонентской группы для пользователя в поле Абонентская группа (телефонный контекст), нажмите кнопку Обзор.
  10. Закройте оснастку.

Настройка разрешений с помощью Adsiedit

Предупреждение

Неправильное использование Adsiedit может привести к серьезным проблемам, которые могут потребовать переустановки операционной системы. Корпорация Майкрософт не может гарантировать, что проблемы, возникающие в результате неправильного использования Adsiedit, могут быть решены. Используйте Adsiedit на свой страх и риск.

  1. Установите средства поддержки Windows 2000, если они еще не установлены.
  2. Запустите Adsiedit.msc от имени администратора домена. Разверните узел Контекст именования домена (NC домена). Этот узел содержит объект, начинающийся с "DC=" и отражающий правильное доменное имя. Щелкните этот объект правой кнопкой мыши и выберите пункт Свойства.
  3. Щелкните вкладку Безопасность.
  4. Если нужной учетной записи пользователя нет в списке, нажмите кнопку Добавить, в противном случае перейдите к шагу 8.
  5. В диалоговом окне Выбор пользователей, компьютеров или групп выберите нужную учетную запись пользователя и нажмите кнопку Добавить.
  6. Нажмите кнопку ОК , чтобы вернуться в диалоговое окно Свойства .
  7. Чтобы выполнить поиск абонентской группы для пользователя в поле Абонентская группа (телефонный контекст), нажмите кнопку Обзор.
  8. Выберите нужную учетную запись пользователя.
  9. Щелкните, чтобы выбрать поле Репликация изменений каталога проверка.
  10. Чтобы выполнить поиск абонентской группы для пользователя в поле Абонентская группа (телефонный контекст), нажмите кнопку Обзор.
  11. Закройте оснастку.

Примечание.

При использовании любого из этих методов установка разрешения Репликация изменений каталога для каждого домена в лесу позволяет обнаружить объекты в домене в лесу Active Directory. Однако включение обнаружения подключенного каталога не означает, что могут выполняться другие операции.

Для создания, изменения и удаления объектов в Active Directory с помощью учетной записи, не являющейся административной, может потребоваться добавить дополнительные разрешения соответствующим образом. Например, для microsoft Metadirectory Services (MMS) для создания новых объектов пользователей в подразделении или контейнере используемой учетной записи необходимо явно предоставить разрешение На создание всех дочерних объектов, так как разрешения Репликация изменений каталога недостаточно, чтобы разрешить создание объектов.

Аналогичным образом для удаления объектов требуется разрешение Удалить все дочерние объекты.

Возможно, существуют ограничения на другие операции, такие как поток атрибутов, в зависимости от конкретных параметров безопасности, назначенных соответствующему объекту, и от того, является ли наследование фактором.