Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Mô tả và cập nhật các hoạt động đối tượng AdminSDHolder thư mục

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:232199
Bài viết này đã được lưu trữ. Bài viết được cung cấp "nguyên trạng" và sẽ không còn được cập nhật nữa.
TÓM TẮT
Thông tin trong bài viết này chỉ áp dụng cho việc nâng cấp từ Windows 2000 RC2 (hoặc trước đó xây dựng) để phát hành phiên bản của Windows 2000. Một sự thay đổi đã được thực hiện trong Windows 2000 RC3 ñeå vaøo kiểm soát danh (ACL) của đối tượng thư mục hoạt động AdminSDHolder. Đối tượng này được sử dụng để kiểm soát các quyền truy cập vào tài khoản người dùng là thành viên của các quản trị viên built-in hoặc Các nhóm quản trị viên tên miền.

Mỗi giờ, kiểm soát miền Windows 2000 chứa tên miền chính vai trò linh hoạt duy nhất Master hoạt động (FSMO) Controller (PDC) so sánh ACL trên tất cả các bảo mật hiệu trưởng (người sử dụng, các nhóm và tài khoản máy) trình bày cho của nó tên miền Active Directory và đó là trong các nhóm hành chính chống lại ACL vào các đối tượng sau:
CN = AdminSDHolder, CN = hệ thống, DC =MyDomainDC =Com

Thay thế "DC =MyDomainDC =Com"trong con đường này với tên phân biệt (DN) tên miền của bạn.
Nếu ACL là khác nhau, ACL trên đối tượng người dùng ghi đè để phản ánh các thiết đặt bảo mật của đối tượng AdminSDHolder (mà ««bao gồm vô hiệu hóa thừa kế ACL). Điều này bảo vệ các hành chính tài khoản từ đang được sửa đổi bởi người sử dụng trái phép nếu các tài khoản được chuyển đến một thùng hoặc đơn vị tổ chức mà người dùng đã được giao phó quyền quản trị cho biến thể của trương mục người dùng. Lưu ý rằng khi một người sử dụng được lấy ra từ nhóm hành chính, quá trình không phải là đảo ngược và phải được thay đổi bằng tay.

LƯU Ý: Bằng cách sử dụng thủ tục sau đây là không cần thiết nếu bạn nâng cấp lên Microsoft Windows NT 4.0 phát hành phiên bản của Windows 2000.
THÔNG TIN THÊM
Để khắc phục tình trạng này, sử dụng thủ tục này trên một tên miền bộ điều khiển cho mỗi tên miền:
 1. Cài đặt các công cụ hỗ trợ Windows 2000 từ các cửa sổ 2000 Professional hoặc máy chủ đĩa CD-ROM. Những công cụ này bao gồm một tiện ích có tên Dsacls.exe, bạn có thể sử dụng để xem, sửa đổi, hoặc loại bỏ mục điều khiển truy cập trên các đối tượng trong Active Directory.
 2. Tạo một tập tin thực thi với các văn bản sau, thay thế "DC =MyDomainDC =Com"với phân biệt tên (DN) của tên miền của bạn):
  dsacls "cn = adminsdholder, cn = hệ thống, dc =mydomain, dc =com"/G" \Everyone:CA;Thay đổi mật khẩu"
  dsacls "cn = adminsdholder, cn = hệ thống, dc =mydomain, dc =com"/G" \Pre-Windows 2000 tương thích truy cập: RP;Thông tin truy cập từ xa"
  dsacls "cn = adminsdholder, cn = hệ thống, dc =mydomain, dc =com"/G" \Pre-Windows 2000 tương thích truy cập: RP;Thông tin chung"
  dsacls "cn = adminsdholder, cn = hệ thống, dc =mydomain, dc =com"/G" \Pre-Windows 2000 tương thích truy cập: RP;Nhóm thành viên"
  dsacls "cn = adminsdholder, cn = hệ thống, dc =mydomain, dc =com"/G" \Pre-Windows 2000 tương thích truy cập: RP;Thông tin đăng nhập"
  dsacls "cn = adminsdholder, cn = hệ thống, dc =mydomain, dc =com"/G" \Pre-Windows 2000 tương thích truy cập: RP;Hạn chế tài khoản"
 3. Chạy tập tin thực thi trên bộ điều khiển tên miền. Nó cho biết thêm các được chỉ định điều khiển truy cập mục (ACEs) cho tất cả mọi người những và Pre-Windows 2000 Tương thích truy cập các nhóm.
 4. Tại dấu nhắc lệnh, gõ dsacls CN = adminsdholder, cn = hệ thống, dc =mydomain, dc =com, thay thế "DC =MyDomainDC =Com"với phân biệt tên (DN) của tên miền của bạn). So sánh nó với các sau đây ra:
  Access list:{This object is protected from inheriting permissions from the parent}Effective Permissions on this object are:Allow NT AUTHORITY\Authenticated Users      SPECIAL ACCESS                         READ PERMISSONS                         LIST CONTENTS                         READ PROPERTY                         LIST OBJECTAllow BUILTIN\Administrators           SPECIAL ACCESS                         DELETE                         READ PERMISSONS                         WRITE PERMISSIONS                         CHANGE OWNERSHIP                         CREATE CHILD                         DELETE CHILD                         LIST CONTENTS                         WRITE SELF                         WRITE PROPERTY                         READ PROPERTY                         LIST OBJECT                         CONTROL ACCESSAllow IFRPILOT\Enterprise Admins         SPECIAL ACCESS                         READ PERMISSONS                         WRITE PERMISSIONS                         CHANGE OWNERSHIP                         CREATE CHILD                         DELETE CHILD                         LIST CONTENTS                         WRITE SELF                         WRITE PROPERTY                         READ PROPERTY                         LIST OBJECT                         CONTROL ACCESSAllow FAA\Domain Admins              SPECIAL ACCESS                         READ PERMISSONS                         WRITE PERMISSIONS                         CHANGE OWNERSHIP                         CREATE CHILD                         DELETE CHILD                         LIST CONTENTS                         WRITE SELF                         WRITE PROPERTY                         READ PROPERTY                         LIST OBJECT                         CONTROL ACCESSAllow NT AUTHORITY\SYSTEM             FULL CONTROLAllow BUILTIN\Pre-Windows 2000 Compatible Access SPECIAL ACCESS                         READ PERMISSONS                         LIST CONTENTS                         READ PROPERTY                         LIST OBJECTAllow BUILTIN\Pre-Windows 2000 Compatible Access SPECIAL ACCESS for Remote Access Information                         READ PROPERTYAllow BUILTIN\Pre-Windows 2000 Compatible Access SPECIAL ACCESS for General Information                         READ PROPERTYAllow BUILTIN\Pre-Windows 2000 Compatible Access SPECIAL ACCESS for Group Membership                         READ PROPERTYAllow BUILTIN\Pre-Windows 2000 Compatible Access SPECIAL ACCESS for Account Restrictions                         READ PROPERTYAllow BUILTIN\Pre-Windows 2000 Compatible Access SPECIAL ACCESS for Logon Information                         READ PROPERTYAllow Everyone                  Change Password					

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 232199 - Xem lại Lần cuối: 12/05/2015 14:36:07 - Bản sửa đổi: 2.0

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

 • kbnosurvey kbarchive kbenv kbinfo kbmt KB232199 KbMtvi
Phản hồi