Şu anda çevrimdışısınız; İnternet'in yeniden bağlanması bekleniyor

Temsilci olarak atanan izinler kullanılamıyor ve devralma otomatik olarak devre dışı bırakılmıyor (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)

Windows Server 2003 desteği 14 Temmuz 2015'te sona erdi

Microsoft, Windows Server 2003 desteğini 14 Temmuz 2015'te sona erdirdi. Bu değişiklik yazılım güncelleştirmelerinizi ve güvenlik seçeneklerinizi etkiledi. Bunun sizin için ne anlama geldiğini ve korunmaya nasıl devam edebileceğinizi öğrenin.

ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.

Makalenin İngilizcesi aşağıdaki gibidir:817433
Belirtiler
Microsoft Windows Server 2003'e yükselttikten sonra aşağıdaki belirtilerle karşılaşabilirsiniz:
  • Temsilciye verilen izinleri, bir kuruluş birimindeki tüm kullanıcıları için kullanılamaz.
  • Devralma otomatik olarak yaklaşık bir saat süresi bazı kullanıcı hesaplarını dışıdır
  • Izinler, artık temsilci önceden kullanıcılar bunları sahiptir.
Bu sorun, Microsoft Windows 2000 Server'a 327825 Microsoft Bilgi Bankası makalesinde açıklanan düzeltmeyi uyguladıktan sonra veya Microsoft Windows 2000 Server için Windows 2000 Service Pack 4 yüklendikten sonra ortaya çıkabilir.Windows 2000 327825 düzeltme hakkında daha fazla bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
327825Kullanıcılar çok gruba ait olduğunda Kerberos kimlik doğrulaması ile ilgili sorunlar için yeni çözümleme
Neden
Denetim Temsilcisi Sihirbazı'nı kullanarak izinlere temsilci seçmek için bu izinler üst kapsayıcıdan izinleri devralan bir kullanıcı nesnesi yararlanır. Korumalı gruplarının üyeleri, üst kapsayıcıdan izin devralmaz. Bu nedenle, bu izinleri, Denetim Temsilcisi Sihirbazı'nı kullanarak izinler, korumalı gruplarının üyelerine uygulanmaz.

Not Korumalı bir çalışma grubunda üyeliği doğrudan üyelik ya da bir veya daha fazla güvenlik veya dağıtım grupları'nı kullanarak, geçişli üyelik olarak tanımlanır. Dağıtım grupları, güvenlik gruplarına dönüştürülebilir olmadığından dahil edilir.

Windows Server 2003'te, Active Directory'de güvenliğini artırmak için korunan gruplarının sayısını artırılmıştır ("Daha fazla bilgi" bölümüne bakın). Windows 2000'e 327825 düzeltme uygularsanız, korunan bir grup sayısı da artar.
Çözüm
Bu sorunu gidermek için <a0></a0>, bir düzeltme yükleyin. Her etki alanındaki birincil etki alanı denetleyicisi (PDC) öykünücüsü işlem yöneticisi rolünü üstlenen etki alanı denetleyicisinde düzeltmeyi yüklemeniz gerekir. Ayrıca, geçerli PDC öykünücüsü işlem yöneticisi rol sahibi kullanılamaz duruma gelirse, bu rolün almak için kullandığınız tüm etki alanı denetleyicilerinde düzeltmeyi yüklemeniz gerekir. Rolü almak için kullanacağı etki alanı denetleyicisinin emin değilseniz, etki alanı denetleyicilerine tüm düzeltme yükleme ele almanızı öneririz. Bir etki alanı denetleyicisi düzeltmeyi içermeyen PDC öykünücüsü işlem yöneticisi rolünü varsayar, kullanıcının izinlerine yeniden sıfırlayacak.

Windows 2000 Düzeltme Bilgileri

Desteklenen bir düzeltme Microsoft'tan edinilebilir. Ancak bu düzeltmenin, yalnızca bu makalede anlatılan sorunu gidermesi amaçlanmıştır. Bu düzeltmeyi yalnızca bu sorunla karşılaşan sistemlere uygulayın.

Düzeltme karşıdan yüklenebilir ise bu Bilgi Bankası makalesinin başında "Düzeltme karşıdan yüklenebilir" bölümü bulunur. Bu bölüm görünmüyorsa, düzeltmeyi edinmek üzere Microsoft Müşteri Hizmetleri ve Destek ekibine bir istekte bulunun.

Not Ek sorunlar oluşursa veya tüm sorun giderme işlemi gerekmiyorsa, ayrı bir hizmet isteği oluşturmanız gerekebilir. Ek destek sorularına ve bu düzeltme için geçerli olmayan sorunlara normal destek ücretleri uygulanır. Microsoft Müşteri Hizmetleri ve Destek telefon numaralarının tam listesi veya ayrı bir hizmet isteği oluşturmak için, aşağıdaki Microsoft Web sitesini ziyaret edin: Not "Düzeltme karşıdan yüklenebilir" formunda, düzeltmenin kullanılabilir olduğu diller görüntülenir. Kendi dilinizi görmüyorsanız, bunun nedeni bu düzeltme, seçtiğiniz dil için kullanılamaz.

Yeniden başlatma gereksinimi

Bu düzeltmeyi yükledikten sonra bilgisayarı yeniden başlatmanız gerekir.

Düzeltme Değiştirme Bilgileri

Bu düzeltme başka bir düzeltmenin yerini almaz.

DOSYA BİLGİLERİ

Bu düzeltmenin İngilizce sürümü, aşağıdaki tabloda listelenen dosya özniteliklerine (veya daha yeni dosya özniteliklerine) sahiptir. Bu dosyaların tarihleri ve saatleri Koordinatlı Evrensel Saat'e (UTC) göre listelenir. Dosya bilgilerini görüntülediğinizde yerel saate dönüştürülür. UTC ve yerel saat arasındaki farkı bulmak için <a0></a0>, Denetim Masası'ndaki tarih ve saat öğesinde saat dilimi sekmesini kullanın.
   Date         Time   Version             Size  File name   ----------------------------------------------------------   24-Mar-2004  02:17  5.0.2195.6876    388,368  Advapi32.dll        24-Mar-2004  02:17  5.0.2195.6866     69,904  Browser.dll         24-Mar-2004  02:17  5.0.2195.6824    134,928  Dnsapi.dll          24-Mar-2004  02:17  5.0.2195.6876     92,432  Dnsrslvr.dll        24-Mar-2004  02:17  5.0.2195.6883     47,888  Eventlog.dll        24-Mar-2004  02:17  5.0.2195.6890    143,632  Kdcsvc.dll          11-Mar-2004  02:37  5.0.2195.6903    210,192  Kerberos.dll        21-Sep-2003  00:32  5.0.2195.6824     71,888  Ksecdd.sys   11-Mar-2004  02:37  5.0.2195.6902    520,976  Lsasrv.dll          25-Feb-2004  23:59  5.0.2195.6902     33,552  Lsass.exe           19-Jun-2003  20:05  5.0.2195.6680    117,520  Msv1_0.dll          24-Mar-2004  02:17  5.0.2195.6897    312,592  Netapi32.dll        19-Jun-2003  20:05  5.0.2195.6695    371,984  Netlogon.dll        10-Aug-2004  00:17  5.0.2195.6966    933,648  Ntdsa.dll           24-Mar-2004  02:17  5.0.2195.6897    388,368  Samsrv.dll          24-Mar-2004  02:17  5.0.2195.6893    111,376  Scecli.dll          24-Mar-2004  02:17  5.0.2195.6903    253,200  Scesrv.dll          04-Jun-2004  23:13  5.0.2195.6935  5,887,488  Sp3res.dll          24-Mar-2004  02:17  5.0.2195.6824     50,960  W32time.dll         21-Sep-2003  00:32  5.0.2195.6824     57,104  W32tm.exe

Windows Server 2003 hizmet paketi bilgileri

Bu sorunu gidermek için <a0></a0>, Windows Server 2003 için en son hizmet paketini edinin. Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
889100En son Windows Server 2003 hizmet paketi nasıl elde edilir

Windows Server 2003 düzeltme bilgileri

Desteklenen bir düzeltme Microsoft'tan edinilebilir. Ancak bu düzeltmenin, yalnızca bu makalede anlatılan sorunu gidermesi amaçlanmıştır. Bu düzeltmeyi yalnızca bu sorunla karşılaşan sistemlere uygulayın. Bu düzeltme ek sınamaya tabi olabilir. Bu nedenle, bu sorun nedeniyle önemli ölçüde etkilenmediyseniz, bu düzeltmeyi içeren bir sonraki yazılım güncelleştirmesini beklemeniz önerilir.

Düzeltme karşıdan yüklenebilir ise bu Bilgi Bankası makalesinin başında "Düzeltme karşıdan yüklenebilir" bölümü bulunur. Bu bölüm görünmüyorsa, düzeltmeyi edinmek üzere Microsoft Müşteri Hizmetleri ve Destek ekibine başvurun.

Not Ek sorunlar oluşursa veya tüm sorun giderme işlemi gerekmiyorsa, ayrı bir hizmet isteği oluşturmanız gerekebilir. Ek destek sorularına ve bu düzeltme için geçerli olmayan sorunlara normal destek ücretleri uygulanır. Microsoft Müşteri Hizmetleri ve Destek telefon numaralarının tam listesi veya ayrı bir hizmet isteği oluşturmak için, aşağıdaki Microsoft Web sitesini ziyaret edin: Not "Düzeltme karşıdan yüklenebilir" formunda, düzeltmenin kullanılabilir olduğu diller görüntülenir. Kendi dilinizi görmüyorsanız, bunun nedeni bu düzeltme, seçtiğiniz dil için kullanılamaz.Bu düzeltmenin İngilizce sürümü, aşağıdaki tabloda listelenen dosya özniteliklerine (veya daha yeni dosya özniteliklerine) sahiptir. Bu dosyaların tarihleri ve saatleri Koordinatlı Evrensel Saat'e (UTC) göre listelenir. Dosya bilgilerini görüntülediğinizde yerel saate dönüştürülür. UTC ve yerel saat arasındaki farkı bulmak için <a0></a0>, Denetim Masası'ndaki Tarih ve saat öğesinde saat dilimi sekmesini kullanın.

Yeniden başlatma gereksinimi

Bu düzeltmeyi yükledikten sonra bilgisayarı yeniden başlatmanız gerekir.

Düzeltme Değiştirme Bilgileri

Bu düzeltme başka bir düzeltmenin yerini almaz.

DOSYA BİLGİLERİ

Windows Server 2003'ün 32-bit sürümleri
   Date         Time   Version            Size  File name   --------------------------------------------------------   02-Nov-2004  01:26  5.2.3790.229  1,532,416  Ntdsa.dll   02-Nov-2004  01:26  5.2.3790.212     32,768  Ntdsatq.dll   19-Sep-2004  11:41  5.2.3790.212     59,392  Ws03res.dll
Windows Server 2003 64-bit sürümleri
   Date         Time   Version            Size  File name     Platform   -------------------------------------------------------------------   02-Nov-2004  01:21  5.2.3790.229  4,057,088  Ntdsa.dll     IA-64   02-Nov-2004  01:21  5.2.3790.212     82,432  Ntdsatq.dll   IA-64   19-Sep-2004  09:43  5.2.3790.212     58,880  Ws03res.dll   IA-64   19-Sep-2004  11:41  5.2.3790.212     59,392  Wws03res.dll    x86
Windows 2000 ve Windows Server 2003'te Düzeltme yüklendikten sonra orman genelinde dsHeuristic bayraklarını hangi işletmen grupları tarafından adminSDHolder korumalı denetlemek için ayarlayabilirsiniz. Bu yeni seçeneğini kullanarak, tüm kayıtlı dört korumalı grupları özgün Windows 2000 davranışa geri veya bazı ayarlayabilirsiniz. 16 Karakter konumu en sol karakteri konumu olduğu bir onaltılık değer yorumlanır 1. Bu nedenle, yalnızca "0" üzerinden "f" değerlerdir. Her bir işletmen grubu, belirli bir bit gibi vardır:
  • Bit 0: Account Operators
  • Bit 1: Sunucu işletmenleri
  • Bit 2: Print Operators
  • Bit 3: Yedekleme işletmenleri
Örneğin 0001 değeri anlamına gelir, Account Operators hariç tut. Ikili toplamı 1100 0xC onaltılı değeri gösteren için 'c' değeri (0100) Print Operators ve Backup Operators (1000) dışarıda bırakmak.

Yeni işlevselliği etkinleştirmek için <a0></a0>, nesne yapılandırma kapsayıcısı olarak değiştirmeniz gerekir. Bu ayar, geniş bir ormana içindir. Nesneyi değiştirmek için <a0></a0>, aşağıdaki adımları izleyin:
  1. Değiştirmek istediğiniz nesneyi bulun. Bunu yapma hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
    326690Windows Server 2003 etki alanı denetleyicilerinde Active Directory'ye anonim LDAP işlemlerinin devre dışı bırakılır
  2. Komut isteminde, ldp.exe yazın ve sonra da LDP yardımcı programını başlatmak için ENTER tuşuna basın.
  3. Bağlantı ' yı tıklatın, Bağlan ' ı tıklatın ve sonra da Tamam ' ı tıklatın.
  4. Bağlantısı ' BIND ' ı tıklatın, kullanıcı adı ve bir ormanın kök yönetici parolasını yazın ve Tamam ' ı tıklatın.
  5. Görünüm ' ü ağacı ' ı ve sonra Tamam ' ı tıklatın.
  6. View\Tree kullanarak aşağıdaki yapılandırmayı CN açın:
    CN = dizin hizmeti, CN = Windows NT, CN = Services, CN = Configuration, DC = Forest root domain =
  7. Dizin hizmeti nesnesini bulun ve çift tıklatın.
  8. Nesne özniteliği dsHeuristics özniteliği zaten ayarlanmış olup olmadığını belirlemek için sağ tarafında listesini denetleyin. Ayarlanırsa, varolan değeri panoya kopyalayın.
  9. Dizin hizmeti nesneleri sol tarafından sağ tıklatın ve sonra Değiştir ' i tıklatın.
  10. Öznitelik adı olarak dsHeuristics yazın.
  11. Değer olarak, 000000000100000f yazın. Sıfır değerinin ilk bölümünde dsHeuristics içinde olduğunuz ile değiştirin. Doğru olduğundan emin olun ayarlamak istediğiniz basamağa kadar "f" ya da, bit sayısı.

    Not Doğru karakterleri değiştirilmiş doğrulamak için <a0></a0>, onuncu her karakter karakter sayısı en çok nokta on tarafından ayrılmış ayarlanmış olması gerekir. Örneğin, onuncu karakteri 1 olmalıdır, yirminci karakter 2 olarak olmalıdır, thirtieth karakter 3 olmalıdır ve böyle devam eder.
  12. Öznitelik zaten varsa, <a0>işlem</a0> kutusundaki Değiştir ' i tıklatın. Aksi halde, Ekle ' yi tıklatın.
  13. LDAP harekete eklemek için sağdaki işlem grubu için ENTER'E basın.
  14. Nesne değişikliği uygulamak için Çalıştır ' ı tıklatın. Bu değişiklik için ormandaki PDC öykünücüsünü çoğaltıldıktan sonra bu düzeltmeyi çalıştıran olanları bitlerin için ayarladığınız operatörleri grubunun üyeleri kullanıcılar koruma sağlamaz.
Pratik Çözüm
Bu soruna geçici bir çözüm için aşağıdaki yöntemlerden birini kullanın.

Yöntem 1: korumalı bir çalışma grubunun üyesi olduğundan emin olun.

Kuruluş birimi düzeyinde verilmiş izinlere kullanırsanız, temsilciye verilen izinleri gerektiren tüm kullanıcılara bir korumalı grupların üyesi olmadığınızdan emin olun. Daha önce kullanıcılar için devralma bayrağı korumalı bir grubun üyeleri değil otomatik sıfırlama kullanıcının korumalı bir gruptan kaldırıldığında. Bunu yapmak için <a0></a0>, aşağıdaki komut dosyası kullanabilirsiniz.

Not Bu komut, AdminCount 1 olarak ayarlanırsa, tüm kullanıcılar için devralma bayrağı denetler. Devralma devre dışı bırakılırsa (SE_DACL_PROTECTED ayarlanır), komut dosyası devralmayı etkinleştirir. Devralma, devralma zaten etkinleştirilmişse, etkin kalır. Ayrıca, AdminCount 0 olarak sıfırlanır. AdminSDHolder iş parçacığı yeniden çalıştırıldığında, devralma devre dışı bırakmak ve AdminCount, korumalı gruplarında kalan tüm kullanıcılar için 1 olarak ayarlayın. Bu nedenle, AdminCount ve devralma korumalı grupları daha uzun yok üyesi olan tüm kullanıcılar için doğru biçimde ayarlanır.

Komut dosyasını çalıştırmak için aşağıdaki komutu kullanın:
cscript/nologo resetaccountsadminsdholder.vbs
Microsoft, programlama örneklerini yalnızca gösterim amacıyla sağlar; örtülü veya açık garanti vermez. Buna satılabilirlik veya belirli bir amaca uygunluk zımni garantileri de dahildir, ancak bunlarla sınırlı değildir. Bu makale, gösterilen programlama dilini ve yordamları oluşturmak ve hata ayıklamak amacıyla kullanılan araçları kullanmayı bildiğinizi varsayar. Microsoft destek mühendisleri, belirli bir yordamın işlevselliğinin açıklanmasına yardımcı olabilir, ancak gereksinimlerinizi karşılamaya yönelik olarak ek işlevsellik sağlamak veya yordamlar geliştirmek amacıyla bu örnekleri değiştirmezler.
'********************************************************************'*'* File:           ResetAccountsadminSDHolder.vbs '* Created:        November 2003'* Version:        1.0'*'*  Main Function:  Resets all accounts that have adminCount = 1 back'*	to 0 and enables the inheritance flag'*'*  ResetAccountsadminSDHolder.vbs '*'* Copyright (C) 2003 Microsoft Corporation'*'********************************************************************Const SE_DACL_PROTECTED = 4096On Error Resume NextDim sDomainDim sADsPathDim sPDCDim oCon Dim oCmdDim oRstSet oRst = CreateObject("ADODB.Recordset")Set oCmd = CreateObject("ADODB.Command")Set oCon = CreateObject("ADODB.Connection")Dim oRootDim oDomainDim oADInfoDim oInfoSet oADInfo = CreateObject("ADSystemInfo")Set oInfo = CreateObject("WinNTSystemInfo")sPDC = oInfo.PDC & "." & oADInfo.DomainDNSNameoCon.Provider = "ADSDSOObject"oCon.Open "Active Directory Provider"oCmd.ActiveConnection = oConSet oRoot = GetObject("LDAP://rootDSE")sDomain = oRoot.Get("defaultNamingContext")Set oDomain = GetObject("LDAP://" & sDomain)sADsPath = "<" & oDomain.ADsPath & ">"oCmd.CommandText = "SELECT ADsPath FROM 'LDAP://" & sPDC & "/" & sDomain & "' WHERE objectCategory='person' and objectClass = 'user' AND adminCount = 1"Set oRst = oCmd.ExecuteWScript.Echo "searching for objects with 'admin count = 1' in " & sDomainIf oRst.RecordCount = 0 Then    WScript.Echo "no accounts found"    WScript.QuitEnd IfDo While Not oRst.EOF    WScript.Echo  "found object " & oRst.Fields("ADsPath")    If SetInheritanceFlag(oRst.Fields("ADsPath")) = 0 Then WScript.Echo "Inheritance flag set"    If SetAdminCount(oRst.Fields("ADsPath"), 0) = 0 Then WScript.Echo "adminCount set to 0"    WScript.Echo  "=========================================="    oRst.MoveNextLoopPrivate Function SetInheritanceFlag(DSObjectPath)    Dim oSD    Dim oDACL    Dim lFlag    Dim oIADs    Set oIADs = GetObject(DSObjectPath)    Set oSD = oIADs.Get("nTSecurityDescriptor")    If oSD.Control And SE_DACL_PROTECTED Then        oSD.Control = oSD.Control - SE_DACL_PROTECTED    End If    oIADs.Put "nTSecurityDescriptor", oSD    oIADs.SetInfo        If Err.Number <> 0 Then        SetInheritanceFlag = Err.Number    Else        SetInheritanceFlag = 0    End IfEnd FunctionPrivate Function SetAdminCount(DSObjectPath, AdminCount)    Dim oIADs    Dim iAdminCount    Set oIADs = GetObject(DSObjectPath)    iAdminCount = oIADs.Get("adminCount")    If iAdminCount = 1 Then iAdminCount = 0    oIADs.Put "adminCount", iAdminCount    oIADs.SetInfo    If Err.Number <> 0 Then        SetAdminCount = Err.Number    Else        SetAdminCount = 0    End If    End Function
Olumsuz kullanıcıları etkilemez, emin olmak için önce 1 olarak ayarlanýr Ldifde.exe AdminCount sahip kullanıcılar dökümü öneririz. Bunu yapmak için, komut istemine aşağıdaki komutu yazın ve sonra ENTER tuşuna basın:
ldifde -f Admincount 1.txt - d dc your domain =-r "(& (objectcategory=person)(objectclass=user)(admincount=1))"
Gözden geçirme DACL olan tüm kullanıcıların, işaretli bit korumalı onaylamak için çıktı dosyası, doğru izinlere sahip olacaktır, yalnızca erişim kontrol girdilerine (ACE) devralınır. Bu yöntem tercih edilir ve varolan güvenliği zayıflatın.

Yöntem 2: devralma adminSDHolder kapsayıcısındaki etkinleştir

AdminSDHolder kapsayıcısı devralma etkinleştirirseniz, korumalı grupların tüm üyelerini etkin devralınan. Güvenlik işlevi açısından, bu yöntem davranışı geri pre-Service Pack 4 işlevlerine <a1>adminSDHolder</a1> kapsayıcısının döner.

AdminSDHolder kapsayıcısı devralma etkinleştirme

AdminSDHolder kapsayıcısı devralma etkinleştirirseniz, iki koruyucu erişim denetimi listesi (ACL) düzenekleri birini devre dışı bırakılır. Varsayılan izinler uygulanır. Ancak, devralma kuruluş birimi düzeyinde etkinleştirilmişse, korumalı grupların tüm üyelerini izinleri kuruluş birimi ve herhangi bir üst kuruluş birimleri devralır.

Yönetici kullanıcılar için devralma koruma sağlamak için <a0></a0>, yönetici olan tüm kullanıcılar (ve devralma koruma gereksinim duyan diğer kullanıcılar), kendi kuruluş birimine taşıyın. Kuruluş birimi düzeyinde devralma kaldırın ve sonra da ACL'leri adminSDHolder kapsayıcısındaki eşleştirmek için izinleri ayarlayın. AdminSDHolder kapsayıcısındaki izinler farklı olabilir, çünkü (örneğin, Microsoft Exchange Server bazı izinler veya izinleri değiştirilmiş olabilir ekleyerek), üye korumalı bir çalışma grubunun geçerli izinlerini adminSDHolder kapsayıcısı için gözden geçirin. Kullanıcı Arabirimi (UI) tüm izinleri adminSDHolder kapsayıcıda izinleri görüntülenmiyor olabilir. DSacls adminSDHolder kapsayıcıda izinleri tüm izinleri görüntülemek için kullanın.

AdminSDHolder kapsayıcısı devralma, ADSI Edit'i veya Active Directory Kullanıcıları ve Bilgisayarları'nı kullanarak etkinleştirebilirsiniz. CN = adminSDHolder kapsayıcısının yoludur adminSDHolder, CN = System, DC = <mydomain>, = DC <com>=

Not Active Directory Kullanıcıları ve Bilgisayarları'ı kullanıyorsanız, Gelişmiş ÖzelliklerGörünüm seçili olmasına dikkat menü.

AdminSDHolder kapsayıcısı devralma etkinleştirmek için <a0></a0>:
  1. Kapsayıcıyı sağ tıklatın ve sonra da Özellikler ' i tıklatın.
  2. Güvenlik sekmesini tıklatın.
  3. Gelişmiş ' i tıklatın.
  4. Izin üst öğeden devralınabilen izinlerin bu nesneye ve tüm bağımlı nesnelere yayılmasına izin ver onay kutusunu seçmek için tıklatın.
  5. Tamam ' ı tıklatın ve sonra Kapat ' ı tıklatın.
SDProp iş parçacığının çalıştığı, bir sonraki başlatılışında, korumalı grupların tüm üyelerini devralma bayrağı ayarlanmıştır. Bu yordam, 60 dakika kadar sürebilir. Bu değişikliğin birincil etki alanı denetleyicisinden (PDC) çoğaltılması yeteri kadar bekleyin.

Yöntem 3: devralma kaçının ve yalnızca ACL'lerini değiştirir.

Kullanıcılar, gruplar kullanıcılar bulunması kapsayıcıyı devralmak korunan üye istediğiniz ve yalnızca kullanıcı nesnesinin güvenliğini değiştirmek istediğiniz, adminSDHolder kapsayıcısı Dizin Güvenliği düzenleyebilirsiniz. Bu senaryoda, devralma adminSDHolder kapsayıcısındaki etkinleştirmek gerekmez. Bu grup veya adminSDHolder kapsayıcı üzerinde önceden tanımlı güvenlik gruplarının güvenlik yeterlidir. Bir saat sonra SDProp iş parçacığı için oluşturulan tüm üyelere korumalı gruplarının <a1>adminSDHolder</a1> kapsayıcısının yaptığınız değişiklikleri uygular. Üyeleri, güvenlik, bulundukları kapsayıcısının devralmaz.

Örneğin, Self hesabı tüm özellikleri okuma için izin ver hakkını gerektirir. Bu hak Self izin vermek için adminSDHolder kapsayıcısı güvenlik ayarlarını düzenlemek hesabı. Bir saat sonra bu hakkı için kendini izin verilecek korumalı gruplarının üyesi olan tüm kullanıcılar için hesap. Devralma bayrağı değiştirilmedi.

Aşağıdaki örnekte, yalnızca adminSDHolder nesnesi üzerine değişiklikleri uygulamak gösterilmiştir. Bu örnekte <a0>adminSDHolder</a0> nesnesinde aşağıdaki izinleri verir:
  • İçeriği Listele
  • Tüm Özellikleri Oku
  • Tüm Özellikleri Yaz
Bu izinler <a0>adminSDHolder</a0> nesnesinde vermek için aşağıdaki adımları izleyin:
  1. Active Directory Kullanıcıları ve Bilgisayarları'nda Gelişmiş Özelliklergörünümü tıklatın menü.
  2. AdminSDHolder nesnesi bulun. Her etki alanının Active Directory'de aşağıdaki konumda nesnesidir orman: CN adminSDHolder, CN = = System, DC=domain,DC=com, buraya DC etkialanı, DC = = com etki alanının ayırt edici adı.
  3. AdminSDHolder ' ı sağ tıklatın ve sonra da Properties ' i tıklatın.
  4. Özellikler iletişim kutusundaki Güvenlik sekmesini tıklatın ve sonra Gelişmiş ' i tıklatın.
  5. AdminSDHolder için erişim denetim ayarları iletişim kutusunda, izinler sekmesinde Ekle ' yi tıklatın.
  6. Kullanıcı, bilgisayar veya Grup Seç iletişim kutusunda, ilgili izinler vermek istediğiniz kullanıcı hesabını tıklatın ve sonra Tamam ' ı tıklatın.
  7. AdminSDHolder için izin girdisi iletişim kutusunda, yalnızca bu nesne <a0>Uygula</a0> kutusunda tıklatın ve ardından İçeriğini listeleme, Tüm özellikleri okuma ve tüm özellikleri yazma hakları ' nı tıklatın.
  8. AdminSDHolder için izin girdisi iletişim kutusu, adminSDHolder için erişim denetim ayarları</a0> iletişim kutusunu ve adminSDHolder özellikler iletişim kutusunu kapatmak için Tamam ' ı tıklatın.
Bir saat içinde ACL değişiklikleri yansıtacak biçimde korunan gruplarıyla ilişkili kullanıcı nesnelerini güncelleştirilir.Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleleri görüntülemek üzere aşağıdaki makale numaralarını tıklatın:
232199Açıklama ve güncelleştirme Active Directory adminSDHolder nesnesi
318180AdminSDHolder İş Parçacığı Dağıtım Gruplarının Geçiş Üyelerini Etkiliyor (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)
Durum
Microsoft, "Geçerli Olduğu Ürünler" bölümünde listelenen Microsoft ürünlerinde bu sorunun olduğunu onaylamıştır. Bu sorun ilk olarak Windows Server 2003 Service Pack 1'de giderilmiştir.
Daha fazla bilgi
Active Directory, ACL önemli gruplarının üyeleri için doğru olarak ayarlandığından emin olmak için bir koruma mekanizması kullanır. Düzenek, PDC işlem yöneticisinde bir saatte bir kez çalıştırılır. Işlem yöneticisi aşağıdaki nesne ACL'SINI karşı korumalı gruplarının üyeleri olan kullanıcı hesaplarını ACL'SINI karşılaştırılmaktadır:
CN = adminSDHolder, CN = System, DC = <a1><MyDomain>,DC=<Com>

Not "DC <MyDomain>,DC=<Com> "bir etki alanının ayırt edici ad (DN) temsil eder.

ACL'YE farklıysa <a0>adminSDHolder</a0> nesnesinin güvenlik ayarları için <a0>kullanıcı</a0> nesnesinde bir ACL yazılır (ve ACL devralma devre dışı bırakılır). Bu işlem, bu hesapların hesapların kapsayıcısına veya kuruluş birimine kötü niyetli bir kullanıcının kullanıcı hesaplarını değiştirmek için temsilci seçilen yönetici kimlik bilgileri burada yapıldı taşınırsa yetkisiz kullanıcılar tarafından değiştirilmesini korur. Kullanıcı yönetimsel gruptan kaldırıldığında, işlemi tersine çevrilir ve el ile değiştirilmeli unutmayın.

Not Güvenlik açıklayıcıları, güncelleştirmeleri adminSDHolder nesnesi sıklığını denetlemek için <a0></a0>, oluşturmak veya AdminSDProtectFrequency değiştirmek aşağıdaki kayıt defteri alt anahtarını girdisinde:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
AdminSDHolder nesnesi, AdminSDProtectFrequency kayıt defteri girdisi yoksa, güvenlik tanımlayıcılarını her 60 dakikada bir (3600 saniye) güncelleştirir. Bu kayıt defteri girdisi, saniye cinsinden değerini girerek, bu frekansı herhangi oranı arasında 1 dakikadır (60 saniye) ve 2 saat (7200 saniye) ayarlamak için kullanabilirsiniz. Ancak, kısa bir sınama dönemleri dışında bu değeri değiştirmeniz önerilmez. Bu değer değiştirme, işlem ek LSASS artırabilirsiniz.

Aşağıdaki listede, Windows 2000'de korumalı gruplar açıklanmaktadır:
  • Kuruluş Yöneticileri
  • Şema Yöneticileri
  • Etki Alanı Yöneticileri
  • Administrators

Aşağıdaki listede, 327825 düzeltmeyi veya Windows 2000 Service Pack 4 yüklendikten sonra Windows Server 2003 ve Windows 2000'de korumalı gruplar açıklanmaktadır:
  • Administrators
  • Account operators (Hesap işletmenleri)
  • Server Operators (Sunucu İşletmenleri)
  • Print Operators (Yazdırma İşletmenleri)
  • Backup operators (Yedekleme işletmenleri)
  • Etki Alanı Yöneticileri
  • Şema Yöneticileri
  • Kuruluş Yöneticileri
  • Sertifika Yayımcıları
Ayrıca aşağıdaki kullanıcılar da korumalı kabul edilir:
  • Yönetici
  • Krbgt
Unutmayın, dağıtım gruplarının üyelikleri, bir kullanıcı belirteci doldurmuyor. Bu nedenle, "whoami" gibi araçlar başarıyla grup üyeliğini belirlemek için kullanamazsınız.

Yetki verilen yönetim hakkında daha fazla bilgi için Temsil etme, Active Directory Yönetimi için en iyi uygulamalar teknik incelemeyi karşıdan yükleyin. Bunu yapmak için şu Microsoft Web sitesini ziyaret edin:

Uyarı: Bu makalenin çevirisi otomatik olarak yapılmıştır

Özellikler

Makale No: 817433 - Son İnceleme: 04/20/2009 20:29:52 - Düzeltme: 24.0

Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Small Business Server 2003 Premium Edition, Microsoft Windows Small Business Server 2003 Standard Edition, Microsoft Windows 2000 Service Pack 3, Microsoft Windows 2000 Server SP4

  • kbmt kbautohotfix kbwinserv2003sp1fix atdownload kbhotfixserver kbqfe KB817433 KbMttr
Geri bildirim
cument.createElement('meta');m.name='ms.dqp0';m.content='true';document.getElementsByTagName('head')[0].appendChild(m);" onload="var m=document.createElement('meta');m.name='ms.dqp0';m.content='false';document.getElementsByTagName('head')[0].appendChild(m);" src="http://c1.microsoft.com/c.gif?">