你目前正处于脱机状态,正在等待 Internet 重新连接

AdminSDHolder 线程影响传递的通讯组的成员

注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。

点击这里察看该文章的英文版: 318180
概要
持有主域控制器 (PDC) 操作主机角色 (也称为灵活的单主机操作角色或 FSMO 角色) 的 Active Directory 域控制器运行一个线程每隔一小时检查下列各组和任意位置的所有这些组的成员对象的访问控制列表 (acl):
  • 企业管理员
  • 架构管理员
  • 域管理员
  • 管理员
  • 域控制器
  • 证书发行商
  • 备份操作员
  • 复制器服务器操作员
  • 帐户操作员
  • 打印操作员
如果用户帐户是这些管理组的成员由于通讯组具有其成员资格,当线程运行,并可能会被重置为匹配 AdminSDHolder 线程的 ACL 检查用户帐户的 ACL。如果您使用 repadmin /showmeta user distinguished name 命令来查看该用户帐户,您将看到 ntSecurityDescriptor 属性被设置在上次更改用户帐户上 ACL 的时间晚一个小时内。用户帐户还包含 AdminCount 属性。

本文介绍了如何在 AdminSDHolder 线程会影响可传递的通讯组的成员。 有关 AdminSDHolder 线程的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
232199说明和 Active Directory AdminSDHolder 对象的更新
更多信息
通讯组的成员身份通常没有任何安全意义。例如对于如果用户 a 是通讯组的成员,并且分发组是域管理员组的成员用户 a 不是域管理员组的成员如果用户登录到计算机上。通讯组会阻止安全组成员身份。但是,由 AdminSDHolder 线程使用该枚举算法是快速而简单,并且它包括用户 a 的域管理员组的成员可传递的迭代过程中。

您可以从所给安全组的通讯组中更改组 ; 因此,由 AdminSDHolder 线程使用该枚举算法可确保所有的可传递成员将覆盖在这两种情况下。不要使通讯组的安全组的组成员尽可能。 更改后将组从一个通讯组给安全组如果您没有进行通讯的安全组的组成员,您不会遇到意外的行为。枚举算法所使用的 AdminSDHolder 线程所涉及的用户具有 AdminCount 属性具有一个值,该值是大于或等于 1
admincount

警告:本文已自动翻译

属性

文章 ID:318180 - 上次审阅时间:10/30/2006 23:20:13 - 修订版本: 4.1

Microsoft Windows 2000 Server SP1, Microsoft Windows 2000 Service Pack 3, Microsoft Windows 2000 Server SP2, Microsoft Windows 2000 Advanced Server SP1, Microsoft Windows 2000 Advanced Server SP2, Microsoft Windows 2000 Advanced Server SP3, Microsoft Windows 2000 Datacenter Server SP2, Microsoft Windows 2000 Service Pack 3

  • kbmt kbenv kbinfo KB318180 KbMtzh
反馈