Descrição e atualização do objeto AdminSDHolder do Active Directory

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 232199
Este artigo foi arquivado. É oferecido "como está" e não será mais atualizado.
Sumário
As informações neste artigo se aplicam somente a atualização do Windows 2000 RC2 (ou compilações anteriores) para a versão lançada do Windows 2000. Foi feita uma alteração no Windows 2000 RC3 à lista de controle de acesso (ACL) do objeto AdminSDHolder Active Directory. Esse objeto é usado para controlar as permissões de contas de usuário que são membros dos grupos Administradores ou administradores de domínio internos.

Cada hora, o controlador de domínio do Windows 2000 que contém que a função de FSMO (Flexible Single Master Operation) do domínio primário PDC (controlador) compara a ACL em todos os objetos de segurança (usuários, grupos e contas de computador) presentes para seu domínio no Active Directory e que estão em grupos administrativos contra a ACL no seguinte objeto:
CN = AdminSDHolder, CN = System, DC = MyDomain, DC = Com

Substituir "DC = MyDomain, DC = Com" neste caminho com o nome distinto (DN) do seu domínio.
Se a ACL é diferente, a ACL no objeto de usuário é substituída para refletir as configurações de segurança do objeto AdminSDHolder (que inclui Desativar herança da ACL). Isso protege essas contas administrativas de que está sendo modificado por usuários não autorizados se as contas são movidas para um recipiente ou unidade organizacional em que um usuário foi delegada privilégio administrativo para a modificação de contas de usuário. Observe que quando um usuário é removido do grupo administrativo, o processo não é revertido e deve ser alterado manualmente.

Observação : usar o procedimento a seguir não é necessário se você estiver atualizando o Microsoft Windows NT 4.0 para a versão lançada do Windows 2000.
Mais Informações
Para corrigir essa situação, use este procedimento em um controlador de domínio por domínio:
  1. Instale as ferramentas de suporte do Windows 2000 do Windows 2000 Professional ou Server CD-ROM. Essas ferramentas incluem um utilitário chamado Dsacls.exe, que você pode usar para exibir, modificar ou remover as entradas de controle de acesso em objetos do Active Directory.
  2. Criar um arquivo em lotes com o texto a seguir, substituindo "DC = MyDomain, DC = Com" com o nome distinto (DN) do seu domínio):
    DSACLS "cn = adminsdholder, cn = system, dc = mydomain, dc = com" /G "\Everyone:CA;Change senha"
    DSACLS "cn = adminsdholder, cn = system, dc = mydomain, dc = com"/G"\Pre-Windows 2000 Compatible Access: RP; informações de acesso remoto"
    DSACLS "cn = adminsdholder, cn = system, dc = mydomain, dc = com"/G"\Pre-Windows 2000 Compatible Access: RP; informações gerais"
    DSACLS "cn = adminsdholder, cn = system, dc = mydomain, dc = com"/G"\Pre-Windows 2000 Compatible Access: RP; membro do grupo"
    DSACLS "cn = adminsdholder, cn = system, dc = mydomain, dc = com"/G"\Pre-Windows 2000 Compatible Access: RP; informações de logon"
    DSACLS "cn = adminsdholder, cn = system, dc = mydomain, dc = com"/G"\Pre-Windows 2000 Compatible Access: RP; restrições de conta"
  3. Execute o arquivo em lotes no controlador de domínio. Ele adiciona as entradas de controle de acesso (ACEs) especificadas para todos e Pre-Windows 2000 Compatible Access grupos.
  4. Em um prompt de comando, digite dsacls cn = adminsdholder, cn = system, dc = mydomain, dc = com, substituir "DC = MyDomain, DC = Com" com o nome distinto (DN) do seu domínio). Compará-lo com a seguinte saída:
    Access list:{This object is protected from inheriting permissions from the parent}Effective Permissions on this object are:Allow NT AUTHORITY\Authenticated Users            SPECIAL ACCESS                                                  READ PERMISSONS                                                  LIST CONTENTS                                                  READ PROPERTY                                                  LIST OBJECTAllow BUILTIN\Administrators                      SPECIAL ACCESS                                                  DELETE                                                  READ PERMISSONS                                                  WRITE PERMISSIONS                                                  CHANGE OWNERSHIP                                                  CREATE CHILD                                                  DELETE CHILD                                                  LIST CONTENTS                                                  WRITE SELF                                                  WRITE PROPERTY                                                  READ PROPERTY                                                  LIST OBJECT                                                  CONTROL ACCESSAllow IFRPILOT\Enterprise Admins                  SPECIAL ACCESS                                                  READ PERMISSONS                                                  WRITE PERMISSIONS                                                  CHANGE OWNERSHIP                                                  CREATE CHILD                                                  DELETE CHILD                                                  LIST CONTENTS                                                  WRITE SELF                                                  WRITE PROPERTY                                                  READ PROPERTY                                                  LIST OBJECT                                                  CONTROL ACCESSAllow FAA\Domain Admins                           SPECIAL ACCESS                                                  READ PERMISSONS                                                  WRITE PERMISSIONS                                                  CHANGE OWNERSHIP                                                  CREATE CHILD                                                  DELETE CHILD                                                  LIST CONTENTS                                                  WRITE SELF                                                  WRITE PROPERTY                                                  READ PROPERTY                                                  LIST OBJECT                                                  CONTROL ACCESSAllow NT AUTHORITY\SYSTEM                         FULL CONTROLAllow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS                                                  READ PERMISSONS                                                  LIST CONTENTS                                                  READ PROPERTY                                                  LIST OBJECTAllow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Remote Access Information                                                  READ PROPERTYAllow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for General Information                                                  READ PROPERTYAllow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Group Membership                                                  READ PROPERTYAllow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Account Restrictions                                                  READ PROPERTYAllow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Logon Information                                                  READ PROPERTYAllow Everyone                                    Change Password					

Aviso: este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 232199 - Última Revisão: 12/05/2015 14:36:04 - Revisão: 3.3

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbnosurvey kbarchive kbmt kbenv kbinfo KB232199 KbMtpt
Comentários