说明和 Active Directory AdminSDHolder 对象的更新

注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。

点击这里察看该文章的英文版: 232199
本文已归档。它按“原样”提供,并且不再更新。
概要
本文中的信息仅适用于从 Windows 2000 RC2 (或更早版本) 升级到 Windows 2000 的发布版本。在 Windows 2000 RC3 AdminSDHolder Active Directory 对象的访问控制列表 (ACL) 来进行了更改。此对象用于控制的用户帐户是内置的管理员或域管理员组的成员的权限。

每隔 1 小时、 Windows 2000 域控制器持有主域控制器 (PDC) 灵活单主机操作 (FSMO) 角色将在所有安全主体 (用户、 组和计算机帐户) 存在其域在 Active Directory 和任意位置的 ACL 进行比较的是管理组上以下对象 acl 中:
CN = AdminSDHolder,CN = 系统,DC = MyDomain,DC = Com

替换"DC = MyDomain,DC = Com"在此路径中与您的域的可分辨名称 (DN)。
不同 ACL 是否在用户对象上的 ACL 会覆盖以反映 AdminSDHolder 对象 (它包括禁用 ACL 继承) 的安全设置。这可防止这些管理帐户未经授权的用户被修改,如果将帐户移动到容器或组织单位的用户已被委派管理权限的用户帐户的修改。请注意当从管理组中删除用户时过程不可逆,必须进行手动更改。

: 使用下面的过程不需要如果 Microsoft Windows NT 4.0 升级到 Windows 2000 的发布版本。
更多信息
若要更正这种情况下,请在每个域的一个域控制器上使用此过程:
  1. 从 Windows 2000 专业版或 Server CD-ROM 上安装 Windows 2000 支持工具。这些工具包括一个名为 Dsacls.exe,您可以使用它来查看、 修改,或在 Active Directory 中删除的对象的访问控制项的实用程序。
  2. 使用下面的文本创建一个批处理文件替换"DC = MyDomain,DC = Com"与您的域的可分辨名称 (DN)):
    dsacls"cn = adminsdholder,cn = 系统,dc = mydomain,dc = com"/ G"\Everyone:CA;Change 密码"
    dsacls"cn = adminsdholder,cn = 系统,dc = mydomain,dc = com"/ G"\Pre-Windows 2000年兼容访问: RP ; 远程访问信息"
    dsacls"cn = adminsdholder,cn = 系统,dc = mydomain,dc = com"/ G"\Pre-Windows 2000年兼容访问: RP ; 一般信息"
    dsacls"cn = adminsdholder,cn = 系统,dc = mydomain,dc = com"/ G"\Pre-Windows 2000年兼容访问: RP ; 组成员身份"
    dsacls"cn = adminsdholder,cn = 系统,dc = mydomain,dc = com"/ G"\Pre-Windows 2000年兼容访问: RP ; 登录信息"
    dsacls"cn = adminsdholder,cn = 系统,dc = mydomain,dc = com"/ G"\Pre-Windows 2000年兼容访问: RP ; 帐户限制"
  3. 运行该批处理文件,在域控制器上。它为所有人和 Pre-Windows 2000 兼容访问组中添加指定的访问控制项 (ace)。
  4. 在命令提示符键入 dsacls cn = adminsdholder,cn = 系统,dc = mydomain,dc = com、 替换"DC = MyDomain,DC = Com"与您的域的可分辨名称 (DN))。将它与下面的输出进行比较:
    Access list:{This object is protected from inheriting permissions from the parent}Effective Permissions on this object are:Allow NT AUTHORITY\Authenticated Users            SPECIAL ACCESS                                                  READ PERMISSONS                                                  LIST CONTENTS                                                  READ PROPERTY                                                  LIST OBJECTAllow BUILTIN\Administrators                      SPECIAL ACCESS                                                  DELETE                                                  READ PERMISSONS                                                  WRITE PERMISSIONS                                                  CHANGE OWNERSHIP                                                  CREATE CHILD                                                  DELETE CHILD                                                  LIST CONTENTS                                                  WRITE SELF                                                  WRITE PROPERTY                                                  READ PROPERTY                                                  LIST OBJECT                                                  CONTROL ACCESSAllow IFRPILOT\Enterprise Admins                  SPECIAL ACCESS                                                  READ PERMISSONS                                                  WRITE PERMISSIONS                                                  CHANGE OWNERSHIP                                                  CREATE CHILD                                                  DELETE CHILD                                                  LIST CONTENTS                                                  WRITE SELF                                                  WRITE PROPERTY                                                  READ PROPERTY                                                  LIST OBJECT                                                  CONTROL ACCESSAllow FAA\Domain Admins                           SPECIAL ACCESS                                                  READ PERMISSONS                                                  WRITE PERMISSIONS                                                  CHANGE OWNERSHIP                                                  CREATE CHILD                                                  DELETE CHILD                                                  LIST CONTENTS                                                  WRITE SELF                                                  WRITE PROPERTY                                                  READ PROPERTY                                                  LIST OBJECT                                                  CONTROL ACCESSAllow NT AUTHORITY\SYSTEM                         FULL CONTROLAllow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS                                                  READ PERMISSONS                                                  LIST CONTENTS                                                  READ PROPERTY                                                  LIST OBJECTAllow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Remote Access Information                                                  READ PROPERTYAllow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for General Information                                                  READ PROPERTYAllow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Group Membership                                                  READ PROPERTYAllow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Account Restrictions                                                  READ PROPERTYAllow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Logon Information                                                  READ PROPERTYAllow Everyone                                    Change Password					

属性

文章 ID:232199 - 上次审阅时间:12/05/2015 14:36:07 - 修订版本: 3.3

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbnosurvey kbarchive kbmt kbenv kbinfo KB232199 KbMtzh
反馈
ERROR: at System.Diagnostics.Process.Kill() at Microsoft.Support.SEOInfrastructureService.PhantomJS.PhantomJSRunner.WaitForExit(Process process, Int32 waitTime, StringBuilder dataBuilder, Boolean isTotalProcessTimeout)