Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Ủy quyền không có sẵn và thừa kế tự động vô hiệu hoá

Hỗ trợ cho Windows Server 2003 đã kết thúc vào ngày 14 tháng 7 năm 2015

Microsoft đã kết thúc hỗ trợ cho Windows Server 2003 vào ngày 14 tháng 7 năm 2015. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:817433
TRIỆU CHỨNG
Sau khi bạn nâng cấp để Microsoft Windows Server 2003, bạn có thể kinh nghiệm các triệu chứng sau đây:
  • Ủy quyền không phải là có sẵn cho tất cả người dùng trong một đơn vị tổ chức.
  • Thừa kế sẽ tự động vô hiệu hóa trên một số tài khoản người dùng khoảng một lần một giờ
  • Người sử dụng trước đó đã giao quyền, không còn chúng ta có.
Vấn đề này cũng có thể xảy ra sau khi bạn áp dụng hotfix được mô tả bài viết trong cơ sở kiến thức Microsoft 327825 cho Microsoft Windows 2000 Server hoặc sau khi bạn cài đặt Windows 2000 Service Pack 4 cho Microsoft Windows 2000 Hệ phục vụ. Để biết thêm thông tin về Windows 2000 327825 hotfix, Nhấp vào số bài viết sau đây để xem bài viết trong Microsoft Kiến thức cơ bản:
327825Mới giải pháp cho vấn đề với xác thực Kerberos khi người dùng thuộc về nhiều nhóm
NGUYÊN NHÂN
Khi bạn đại biểu cấp phép sử dụng các đoàn đại biểu của Thuật sĩ kiểm soát, các cấp phép này dựa trên đối tượng người dùng thừa hưởng các cấp phép từ phụ huynh container. Các thành viên của các nhóm được bảo vệ không thừa hưởng quyền từ phụ huynh container. Vì vậy, nếu bạn đặt điều khoản sử dụng thuật sĩ đoàn điều khiển, các cấp phép này không phải là áp dụng cho các thành viên của các nhóm được bảo vệ.

Chú ý Thành viên trong một nhóm được bảo vệ được định nghĩa là trực tiếp hoặc là thành viên hoặc thành viên transitive bằng cách sử dụng một hoặc nhiều bảo mật hoặc phân phối các nhóm. Nhóm phân phối được bao gồm bởi vì họ có thể được chuyển đổi sang các nhóm bảo mật.

Trong Windows Server 2003, số lượng các nhóm đang bảo vệ đã được tăng lên để tăng cường an ninh Active Directory (xem các "Thông tin" phần). Số lượng các nhóm mà được bảo vệ cũng làm tăng nếu bạn áp dụng 327825 hotfix cho Windows năm 2000.
GIẢI PHÁP
Để giải quyết vấn đề này, bạn có thể cài đặt một hotfix. Bạn phải cài đặt các hotfix trên bộ điều khiển tên miền chứa tên miền chính Controller (PDC) mô phỏng các hoạt động tổng thể vai trong mỗi tên miền. Ngoài ra, bạn phải cài đặt các hotfix về tất cả các bộ điều khiển tên miền mà bạn có thể sử dụng để tiếp nhận vai trò này nếu hoạt động hiện tại mô phỏng PDC nắm vững vai trò chủ sẽ trở thành không sẵn dùng. Nếu bạn không chắc chắn của bộ điều khiển tên miền bạn muốn sử dụng để tiếp nhận các vai trò, chúng tôi khuyên bạn xem xét việc cài đặt các hotfix trên tất cả các bộ điều khiển vùng. Nếu điều khiển vùng mà không có các hotfix giả định các PDC mô phỏng các hoạt động tổng thể vai trò, quyền hạn của người dùng sẽ được đặt lại một lần nữa.

Thông tin hotfix Windows 2000

Hotfix được hỗ trợ đang được Microsoft cung cấp. Tuy nhiên, hotfix này là nhằm khắc phục chỉ sự cố được mô tả trong bài viết này. Hotfix này chỉ áp dụng cho hệ thống đang gặp vấn đề cụ thể này.

Nếu hotfix này sẵn có để tải xuống, có phần "Tải xuống hotfix sẵn có" ở đầu bài viết trong Cơ sở Kiến thức này. Nếu phần này không xuất hiện, gửi một yêu cầu dịch vụ khách hàng của Microsoft và hỗ trợ để có được các hotfix.

Chú ý Nếu vấn đề khác xảy ra hoặc nếu bất cứ xử lý sự cố là cần thiết, bạn có thể phải tạo một yêu cầu dịch vụ riêng biệt. Các chi phí hỗ trợ thông thường sẽ áp dụng để hỗ trợ thêm câu hỏi và vấn đề này không đủ điều kiện cho hotfix này cụ thể. Đối với một danh sách đầy đủ của Microsoft dịch vụ khách hàng và hỗ trợ số điện thoại hoặc để tạo ra một yêu cầu dịch vụ riêng biệt, ghé thăm Web site sau của Microsoft: Chú ý Các hình thức "Hotfix download available" hiển thị các ngôn ngữ mà các hotfix có sẵn. Nếu bạn không thấy ngôn ngữ của mình thì đó là do hotfix này hiện không có ngôn ngữ đó.

Khởi động lại yêu cầu

Bạn phải khởi động lại máy tính sau khi áp dụng bản sửa lỗi khẩn cấp này.

Thông tin thay thế bản vá nóng

Hotfix này không thay thế bất kỳ hotfix nào khác.

Thông tin về tệp

Phiên bản tiếng Anh của hotfix này có các thuộc tính tệp (hoặc sau này tập tin thuộc tính) mà được liệt kê trong bảng sau. Ngày tháng và thời gian cho những tập tin được liệt kê trong giờ phối hợp quốc tế (UTC). Khi bạn xem chi tieát taäp tin, nó được chuyển đổi thành giờ cục bộ. Để biết sự khác nhau giữa UTC và local time, sử dụng các Múi giờ thẻ tab trong các Ngaøy giôø mục trong bảng điều khiển.

Thông tin gói dịch vụ Windows Server 2003

Để giải quyết vấn đề này, có được gói dịch vụ mới nhất cho Windows Server 2003. Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
889100 Làm thế nào để có được gói dịch vụ mới nhất cho Windows Server 2003

Thông tin hotfix Windows Server 2003

Hotfix được hỗ trợ đang được Microsoft cung cấp. Tuy nhiên, hotfix này là nhằm khắc phục chỉ sự cố được mô tả trong bài viết này. Hotfix này chỉ áp dụng cho hệ thống đang gặp vấn đề cụ thể này. Hotfix này có thể nhận được thử nghiệm bổ sung. Vì vậy, nếu bạn không bị ảnh hưởng bởi vấn đề này, chúng tôi đề nghị bạn đợi cho Cập Nhật tiếp theo của phần mềm có chứa hotfix này.

Nếu hotfix này sẵn có để tải xuống, có phần "Tải xuống hotfix sẵn có" ở đầu bài viết trong Cơ sở Kiến thức này. Nếu phần này không xuất hiện, liên hệ với Phòng Hỗ Trợ và Dịch vụ Khách hàng của Microsoft để lấy hotfix này.

Chú ý Nếu vấn đề khác xảy ra hoặc nếu bất cứ xử lý sự cố là cần thiết, bạn có thể phải tạo một yêu cầu dịch vụ riêng biệt. Các chi phí hỗ trợ thông thường sẽ áp dụng để hỗ trợ thêm câu hỏi và vấn đề này không đủ điều kiện cho hotfix này cụ thể. Đối với một danh sách đầy đủ của Microsoft dịch vụ khách hàng và hỗ trợ số điện thoại hoặc để tạo ra một yêu cầu dịch vụ riêng biệt, ghé thăm Web site sau của Microsoft: Chú ý Các hình thức "Hotfix download available" hiển thị các ngôn ngữ mà các hotfix có sẵn. Nếu bạn không thấy ngôn ngữ của mình thì đó là do hotfix này hiện không có ngôn ngữ đó.Phiên bản tiếng Anh của hotfix này có các thuộc tính tệp (hoặc sau này tập tin thuộc tính) mà được liệt kê trong bảng sau. Ngày tháng và thời gian cho những tập tin được liệt kê trong giờ phối hợp quốc tế (UTC). Khi bạn xem chi tieát taäp tin, nó được chuyển đổi thành giờ cục bộ. Để biết sự khác nhau giữa UTC và local time, sử dụng các Múi giờ tab trong mục ngày và giờ trong Pa-nen điều khiển.

Khởi động lại yêu cầu

Bạn phải khởi động lại máy tính sau khi áp dụng bản sửa lỗi khẩn cấp này.

Thông tin thay thế bản vá nóng

Hotfix này không thay thế bất kỳ hotfix nào khác.

Thông tin về tệp

Windows Server 2003, phiên bản 32-bit
Windows Server 2003, phiên bản 64-bit
Sau khi bạn cài đặt các hotfix trong Windows 2000 và trong Windows Server 2003, bạn có thể đặt toàn rừng dsHeuristic lá cờ để kiểm soát mà các nhóm nhà điều hành bảo vệ bởi adminSDHolder. Bằng cách sử dụng tùy chọn mới này, bạn có thể đặt một số hoặc tất cả các sự bốn bảo vệ nhóm quay lại hành vi Windows 2000 ban đầu. Ký tự vị trí 16 là ông như một giá trị hệ thập lục phân, nơi mà các nhân vật còn lại hầu hết là vị trí 1. Vì vậy, các giá trị chỉ hợp lệ là "0" thông qua "f". Mỗi nhóm điều hành có một chút cụ thể như sau:
  • Bit 0: Tài khoản quốc gia sử dụng
  • Chút 1: Nhà điều hành máy chủ
  • Chút 2: Các nước sử dụng Print
  • Chút 3: Sao lưu các nhà khai thác
Ví dụ, là một giá trị của 0001 có nghĩa là loại trừ các nhà khai thác tài khoản. Một giá trị của 'c' sẽ loại trừ in quốc gia sử dụng (0100) và sao lưu Các nước sử dụng (1000) vì thế đôi tổng 1100 phản ánh hexadecimal giá trị của 0xC.

Để cho phép các chức năng mới, bạn phải Sửa đổi một đối tượng trong container cấu hình. Thiết lập này là rừng rộng. Để sửa đổi các đối tượng, hãy làm theo các bước sau:
  1. Xác định vị trí các đối tượng mà bạn muốn sửa đổi.Để biết thêm thông tin về cách thực hiện việc này, bấm số bài viết sau đây để xem bài viết trong Cơ sở Kiến thức Microsoft:
    326690Chưa xác định người LDAP hoạt động để Active Directory đang vô hiệu hóa trên Windows Server 2003 tên miền bộ điều khiển
  2. Tại dấu nhắc lệnh, gõ LDP.exevà sau đó nhấn ENTER để bắt đầu các tiện ích LDP.
  3. Nhấp vào Kết nối, bấmkết nối sau đó bấm Ok.
  4. Nhấp vào Kết nối, bấmRàng buộc, gõ tên người dùng và mật khẩu của một rừng gốc người quản trị, và sau đó nhấp vào Ok.
  5. Nhấp vào Xem, bấm Cây, sau đó bấm Ok.
  6. Sử dụng View\Tree, mở các cấu hình sau CN:
    CN = dịch vụ thư mục, CN = Windows NT, CN = dịch vụ, CN = Configuration, DC =Tên miền gốc Forest
  7. Xác định vị trí các đối tượng dịch vụ thư mục, và sau đó Nhấp đúp vào nó.
  8. Kiểm tra các thuộc tính đối tượng liệt kê bên phải để xác định xem các dsHeuristics thuộc tính đã được thiết lập. Nếu nó được thiết lập, sao chép giá trị hiện tại vào bảng tạm.
  9. Nhấp chuột phải vào các Dịch vụ thư mục các đối tượng trên bên trái, và sau đó nhấp vào Sửa đổi.
  10. Tên thuộc tính, gõdsHeuristics.
  11. Như một giá trị, loại 000000000100000f. Thay thế chiếc Zero trong phần đầu của các giá trị với những gì bạn có thể đã có tại dsHeuristics. Hãy chắc chắn rằng bạn có tính chính xác của chữ số to "f" hay bất cứ điều gì bit bạn muốn thiết lập.

    Chú ý Để xác minh rằng các nhân vật chính xác đang được lần, mỗi nhân vật thứ mười phải được thiết lập để số ký tự sang chia của mười. Ví dụ, các nhân vật thứ mười phải là 1, hai mươi nhân vật phải là 2, nhân vật thirtieth phải là 3, vv.
  12. Nếu các thuộc tính đã tồn tại, hãy nhấp vàoThay thế trong các Hoạt động hộp. Nếu không, Nhấp vào Thêm.
  13. Nhấn ENTER bên phải vào nhóm hoạt động thêm nó để giao dịch LDAP.
  14. Nhấp vào Chạy áp dụng thay đổi cho các đối tượng. Sau khi thay đổi này được nhân rộng để emulators PDC trong rừng, các những người đang chạy hotfix này sẽ không bảo vệ người dùng thành viên của nhóm các nhà khai thác bạn đã thiết lập các bit cho.
CÁCH GIẢI QUYẾT KHÁC
Để làm việc xung quanh vấn đề này, sử dụng một trong các cách sau phương pháp.

Phương pháp 1: Hãy chắc chắn rằng các thành viên là không là thành viên của một nhóm được bảo vệ

Nếu bạn sử dụng điều khoản đang được ủy quyền tại các tổ chức đơn vị mực, mức, hãy đảm bảo rằng tất cả người sử dụng yêu cầu ủy quyền không phải thành viên của một trong những nhóm được bảo vệ. Đối với người sử dụng trước đây các thành viên của một nhóm được bảo vệ, cờ thừa kế không tự động đặt lại khi người dùng được lấy ra từ một nhóm được bảo vệ. Để thực hiện việc này, bạn có thể sử dụng các kịch bản sau đây.

Chú ý Kịch bản này sẽ kiểm tra thừa kế cờ cho tất cả người dùng có AdminCount được thiết lập để 1. Nếu thừa kế vô hiệu hoá (SE_DACL_PROTECTED được thiết lập), các kịch bản sẽ cho phép kế thừa. Nếu kế thừa đã được kích hoạt, thừa kế sẽ vẫn được kích hoạt. Thêm vào đó, AdminCount sẽ được đặt lại về 0. Khi các chủ đề adminSDHolder chạy một lần nữa, nó sẽ vô hiệu hóa di sản thừa kế và thiết lập AdminCount-1 cho tất cả người sử dụng vẫn còn trong các nhóm được bảo vệ. Vì vậy, AdminCount và thừa kế được thiết lập một cách chính xác cho tất cả người sử dụng không còn các thành viên của các nhóm được bảo vệ.

Quan trọng: Nếu bạn đang chạy kịch bản này từ một hệ thống đang chạy Windows Vista và ở trênVui lòng mở một dấu nhắc cmd với giấy phép hành chính và sau đó chạy kịch bản này.

Sử dụng lệnh sau đây để chạy các kịch bản:
cscript /nologo resetaccountsadminsdholder.vbs

Microsoft cung cấp lập trình ví dụ để minh hoạ chỉ, không có bảo hành hoặc là thể hiện hay ngụ ý. Điều này bao gồm, nhưng không giới hạn, các ngụ ý bảo hành về khả năng bán hàng hoặc cho một mục đích cụ thể. Bài viết này giả định rằng bạn đã quen thuộc với ngôn ngữ lập trình đang chứng tỏ và với các công cụ được sử dụng để tạo ra và gỡ lỗi thủ tục. Microsoft hỗ trợ các kỹ sư có thể giúp giải thích các chức năng của một thủ tục cụ thể, nhưng họ sẽ không sửa đổi những ví dụ để cung cấp thêm chức năng hoặc xây dựng quy trình để đáp ứng các yêu cầu cụ thể của bạn.
'********************************************************************'*'* File:           ResetAccountsadminSDHolder.vbs '* Created:        November 2003'* Version:        1.0'*'*  Main Function:  Resets all accounts that have adminCount = 1 back'*	to 0 and enables the inheritance flag'*'*  ResetAccountsadminSDHolder.vbs '*'* Copyright (C) 2003 Microsoft Corporation'*'********************************************************************Const SE_DACL_PROTECTED = 4096On Error Resume NextDim sDomainDim sADsPathDim sPDCDim oCon Dim oCmdDim oRstSet oRst = CreateObject("ADODB.Recordset")Set oCmd = CreateObject("ADODB.Command")Set oCon = CreateObject("ADODB.Connection")Dim oRootDim oDomainDim oADInfoDim oInfoSet oADInfo = CreateObject("ADSystemInfo")Set oInfo = CreateObject("WinNTSystemInfo")sPDC = oInfo.PDC & "." & oADInfo.DomainDNSNameoCon.Provider = "ADSDSOObject"oCon.Open "Active Directory Provider"oCmd.ActiveConnection = oConSet oRoot = GetObject("LDAP://rootDSE")sDomain = oRoot.Get("defaultNamingContext")Set oDomain = GetObject("LDAP://" & sDomain)sADsPath = "<" & oDomain.ADsPath & ">"oCmd.CommandText = "SELECT ADsPath FROM 'LDAP://" & sPDC & "/" & sDomain & "' WHERE objectCategory='person' and objectClass = 'user' AND adminCount = 1"Set oRst = oCmd.ExecuteWScript.Echo "searching for objects with 'admin count = 1' in " & sDomainIf oRst.RecordCount = 0 Then    WScript.Echo "no accounts found"    WScript.QuitEnd IfDo While Not oRst.EOF    WScript.Echo  "found object " & oRst.Fields("ADsPath")    If SetInheritanceFlag(oRst.Fields("ADsPath")) = 0 Then WScript.Echo "Inheritance flag set"    If SetAdminCount(oRst.Fields("ADsPath"), 0) = 0 Then WScript.Echo "adminCount set to 0"    WScript.Echo  "=========================================="    oRst.MoveNextLoopPrivate Function SetInheritanceFlag(DSObjectPath)    Dim oSD    Dim oDACL    Dim lFlag    Dim oIADs    Set oIADs = GetObject(DSObjectPath)    Set oSD = oIADs.Get("nTSecurityDescriptor")    If oSD.Control And SE_DACL_PROTECTED Then        oSD.Control = oSD.Control - SE_DACL_PROTECTED    End If    oIADs.Put "nTSecurityDescriptor", oSD    oIADs.SetInfo        If Err.Number <> 0 Then        SetInheritanceFlag = Err.Number    Else        SetInheritanceFlag = 0    End IfEnd FunctionPrivate Function SetAdminCount(DSObjectPath, AdminCount)    Dim oIADs    Dim iAdminCount    Set oIADs = GetObject(DSObjectPath)    iAdminCount = oIADs.Get("adminCount")    If iAdminCount = 1 Then iAdminCount = 0    oIADs.Put "adminCount", iAdminCount    oIADs.SetInfo    If Err.Number <> 0 Then        SetAdminCount = Err.Number    Else        SetAdminCount = 0    End If    End Function
Để đảm bảo rằng bạn không ảnh hưởng bất lợi đến người sử dụng, chúng tôi đề nghị rằng bạn lần đầu tiên đổ những người có AdminCount đặt 1 bằng cách sử dụng Ldifde.exe sử dụng. Để thực hiện việc này, gõ lệnh sau tại dấu nhắc lệnh, và sau đó bấm phím NHẬP:
ldifde -f Admincount-1.txt - d dc =của bạn tên miền -r "(& (objectcategory=person)(objectclass=user)(admincount=1))"
Xem lại các tập tin đầu ra để xác nhận rằng tất cả người dùng những người sẽ có DACL bảo vệ chút dọn sạch sẽ có đúng cấp phép được thừa kế truy cập kiểm soát mục (ACEs) chỉ. Phương pháp này được ưa thích và không làm suy yếu an ninh hiện có.

Cách 2: Kích hoạt tính năng thừa kế trên adminSDHolder container

Nếu bạn bật thừa kế trên các thùng chứa adminSDHolder, tất cả các các thành viên của các nhóm được bảo vệ đã thừa hưởng quyền được kích hoạt. Trong điều kiện của chức năng bảo mật, phương pháp này reverts hành vi của adminSDHolder kho chứa quay lại chức năng Pack 4 pre-Service.

Tạo điều kiện cho thừa kế trên adminSDHolder container

Nếu bạn bật thừa kế trên các thùng chứa adminSDHolder, một trong truy cập bảo vệ hai cơ chế danh sách (ACL) điều khiển bị vô hiệu hóa. Các cấp phép mặc định được áp dụng. Tuy nhiên, tất cả thành viên của bảo vệ các nhóm thừa hưởng quyền từ các đơn vị tổ chức và bất kỳ phụ huynh tổ chức đơn vị nếu thừa kế được kích hoạt cấp đơn vị tổ chức.

Để cung cấp bảo vệ di sản thừa kế cho người dùng hành chính, di chuyển tất cả người dùng hành chính (và những người dùng khác người yêu cầu bảo vệ di sản thừa kế) để đơn vị tổ chức riêng của họ. Ở mức độ đơn vị tổ chức, loại bỏ thừa kế và sau đó thiết lập cho phép để phù hợp với hiện tại ACLs trên các adminSDHolder container. Bởi vì các cấp phép trên các thùng chứa adminSDHolder có thể khác nhau (ví dụ, Microsoft Exchange Server cho biết thêm một số quyền hoặc các cấp phép có thể đã bị thay đổi), xem xét một thành viên của một nhóm được bảo vệ cho cấp phép hiện tại trên các thùng chứa adminSDHolder. Lưu ý rằng người sử dụng giao diện (giao diện người dùng) không hiển thị tất cả các cấp phép trên các thùng chứa adminSDHolder. Sử dụng DSacls để xem tất cả điều khoản trên các thùng chứa adminSDHolder.

Bạn có thể bật thừa kế trên adminSDHolder container bằng cách sử dụng ADSI chỉnh sửa hoặc Người dùng thư mục hoạt động và máy tính. Đường dẫn của adminSDHolder container là CN = adminSDHolder, CN = hệ thống, DC =<mydomain>, DC =<com><b00> </b00></com> </mydomain>

Chú ý Nếu bạn sử dụng hoạt động thư mục người dùng và máy tính, hãy đảm bảo rằng Tính năng nâng cao được chọn vào các Xemtrình đơn.

Để bật thừa kế trên adminSDHolder container:
  1. Nhấp chuột phải vào container và bấmThuộc tính.
  2. Bấm vào các Bảo mật tab.
  3. Nhấp vào Nâng cao.
  4. Nhấn vào đây để chọn các Cho phép các cấp phép có thể thừa kế để truyền cho đối tượng này và tất cả các đối tượng con hộp kiểm .
  5. Nhấp vào Ok, sau đó bấmĐóng.
Sau khi các chủ đề SDProp chạy, cờ thừa kế là đặt trên tất cả các thành viên của các nhóm được bảo vệ. Thủ tục này có thể mất đến 60 phút. Cho phép đủ thời gian cho sự thay đổi này để nhân rộng từ tiểu học Domain controller (PDC).

Phương pháp 3: Tránh kế thừa và chỉ thay đổi ACLs

Nếu bạn không muốn người sử dụng là thành viên của các nhóm bảo vệ để thừa hưởng quyền từ các thùng chứa người dùng cư trú tại, và bạn chỉ muốn thay đổi an ninh trên các đối tượng người sử dụng, bạn có thể chỉnh sửa bảo mật trên thư mục chứa adminSDHolder. Trong trường hợp này, bạn không cần phải Kích hoạt tính năng thừa kế trên các thùng chứa adminSDHolder. Bạn chỉ có thể thêm rằng nhóm hoặc chỉnh sửa bảo mật của các nhóm bảo mật đã được định nghĩa trên các thùng chứa adminSDHolder. Sau một giờ, các chủ đề SDProp sẽ áp dụng các thay đổi được thực hiện cho ACLs container adminSDHolder cho tất cả các thành viên của các nhóm được bảo vệ. Các thành viên sẽ không kế thừa sự bảo mật của container chúng nằm trong.

Ví dụ, tự đòi hỏi tài khoản các Cho phép để đọc tất cả các thuộc tính bên phải. Chỉnh sửa các thiết đặt bảo mật adminSDHolder thùng chứa để cho phép điều này đúng về tự tài khoản. Sau một giờ, quyền này sẽ được phép tự tài khoản cho tất cả người dùng thành viên của các nhóm được bảo vệ. Quốc kỳ thừa kế không thay đổi.

Ví dụ sau chứng tỏ làm thế nào để áp dụng thay đổi lên các adminSDHolder đối tượng. Ví dụ này cho phép các quyền sau đây trên các adminSDHolder đối tượng:
  • Danh sách nội dung
  • Đọc tất cả các thuộc tính
  • Viết tất cả tài sản
Để cấp các quyền truy cập vào các adminSDHolder đối tượng, hãy làm theo các bước sau:
  1. Trong hoạt động thư mục người dùng và máy tính, bấmTính năng nâng cao trên các Xemtrình đơn.
  2. Xác định vị trí các adminSDHolder đối tượng. Các đối tượng là ở vị trí sau cho mỗi tên miền Active Directory rừng:CN = adminSDHolder, CN = hệ thống,DC = tên miền, DC = com Ở đâyDC = tên miền, DC = com là tên phân biệt của các tên miền.
  3. Nhấp chuột phải adminSDHolder, sau đó bấmThuộc tính.
  4. Trong các Thuộc tính hộp thoại hộp, bấm vào cácBảo mật tab và sau đó nhấp vào Nâng cao.
  5. Trong các Thiết đặt điều khiển truy cập adminSDHolder hộp thoại hộp, bấm vào Thêm trên cácCấp phép tab.
  6. Trong các Chọn người dùng, máy tính, hay nhómhộp thoại hộp, bấm vào tài khoản mà bạn muốn để cấp quyền truy cập liên quan, sau đó bấm Ok.
  7. Trong các Mục nhập cấp phép cho adminSDHolderhộp thoại hộp, bấm vào Đối tượng này chỉ trong các Áp dụng lên hộp, và sau đó nhấp vào Danh sách nội dung, Đọc Tất cả thuộc tính, và Ghi thuộc tính tất cả các quyền.
  8. Nhấp vào Ok để đóng những Cấp phép Mục nhập cho adminSDHolder hộp thoại, các Kiểm soát Truy nhập Thiết đặt cho adminSDHolder hộp thoại, và các adminSDHolder Thuộc tính hộp thoại.
Trong vòng một giờ, ACL sẽ được Cập Nhật trên các đối tượng người dùng liên kết với các nhóm được bảo vệ để phản ánh những thay đổi.Để biết thêm chi tiết, nhấp vào số bài viết sau để xem các bài viết trong cơ sở kiến thức Microsoft:
232199Mô tả và bản Cập Nhật của đối tượng adminSDHolder Active Directory
318180 AdminSDHolder chủ đề ảnh hưởng đến transitive thành viên của nhóm phân phối
TÌNH TRẠNG
Microsoft đã xác nhận rằng đây là một vấn đề trong các sản phẩm của Microsoft được liệt kê trong phần "Áp dụng cho". Vấn đề này lần đầu tiên đã được sửa chữa trong Windows Server 2003 Service Pack 1.
THÔNG TIN THÊM
Thư mục hoạt động sử dụng một cơ chế bảo vệ để bảo đảm rằng ACLs được thiết lập một cách chính xác cho các thành viên của các nhóm nhạy cảm. Cơ chế chạy một thời gian một giờ trên PDC hoạt động master. So sánh tổng thể của hoạt động kinh doanh bảo vệ ACL vào trương mục người dùng là thành viên của các nhóm chống lại các ACL vào các đối tượng sau:
CN = adminSDHolder, CN = hệ thống, DC =<mydomain></mydomain>DC =<com></com>

Chú ý"DC =<mydomain></mydomain>DC =<com></com>" đại diện cho tên phân biệt (DN) tên miền của bạn.

Nếu ACL là khác nhau, ACL trên đối tượng người dùng được ghi đè để phản ánh sự bảo mật thiết đặt của đối tượng adminSDHolder (và thừa kế ACL bị vô hiệu hóa). Điều này quá trình bảo vệ các tài khoản này khỏi bị sửa đổi bởi người sử dụng trái phép nếu các tài khoản được chuyển đến một thùng hoặc đơn vị tổ chức trong trường hợp một độc hại người sử dụng đã là cử hành chính ủy nhiệm để sửa đổi các tài khoản người dùng. Lưu ý rằng khi một người dùng được lấy ra từ các nhóm hành chính, tiến trình không đảo ngược và phải được thay đổi bằng tay.

Chú ý Để kiểm soát tần số mà đối tượng adminSDHolder các bản cập nhật bảo mật trình mô tả, tạo hoặc sửa đổi AdminSDProtectFrequency mục trong registry subkey sau đây:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Khi các mục nhập registry AdminSDProtectFrequency là không có, đối tượng adminSDHolder các bản cập nhật bảo mật trình mô tả mỗi 60 phút (3600 giây). Bạn có thể sử dụng này nhập registry để Cài tần số này đến mức nào khoảng 1 phút (60 giây) đến 2 giờ (7200 giây) bằng cách nhập giá trị trong vài giây. Tuy nhiên, chúng tôi không khuyên bạn sửa đổi các giá trị này ngoại trừ giới thiệu tóm tắt giai đoạn thử nghiệm. Việc sửa đổi giá trị này có thể tăng LSASS chế biến trên cao.

Danh sách sau đây mô tả các nhóm được bảo vệ trong Windows 2000:
  • Quản trị viên doanh nghiệp
  • Quản trị viên lược đồ
  • Quản trị viên tên miền
  • Quản trị viên

Danh sách sau đây mô tả các nhóm được bảo vệ trong Windows Server 2003 và Windows 2000 sau khi bạn áp dụng 327825 hotfix hoặc bạn cài đặt Windows 2000 Service Pack 4:
  • Quản trị viên
  • Các nước sử dụng tài khoản
  • Nhà điều hành máy chủ
  • In các nước sử dụng
  • Các nước sử dụng sao lưu
  • Quản trị viên tên miền
  • Quản trị viên lược đồ
  • Quản trị viên doanh nghiệp
  • Các nhà xuất bản CERT
Ngoài ra những người sử dụng sau đây cũng được coi là được bảo vệ:
  • Người quản trị
  • Krbtgt
Hãy nhận biết rằng thành viên trong nhóm phân phối không cư một người sử dụng mã thông báo. Vì vậy, bạn không thể sử dụng các công cụ như "whoami" để thành công xác định thành viên nhóm.

Để biết thêm thông tin về giao hành chính, tải về các Thực tiễn tốt nhất cho ủy thác quản lý thư mục đang hoạt động giấy trắng. Để thực hiện việc này, ghé thăm Web site sau của Microsoft:

Cảnh báo: Bài viết này đã được dịch tự động

Thuộc tính

ID Bài viết: 817433 - Xem lại Lần cuối: 08/28/2011 10:52:00 - Bản sửa đổi: 2.0

Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Small Business Server 2003 Premium Edition, Microsoft Windows Small Business Server 2003 Standard Edition

  • kbautohotfix kbwinserv2003sp1fix atdownload kbhotfixserver kbqfe kbmt KB817433 KbMtvi
Phản hồi