Popis a aktualizovat objekt AdminSDHolder služby Active Directory

Překlady článku Překlady článku
ID článku: 232199 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Souhrn

Informace v tomto článku platí pouze pro inovace ze systému Windows 2000 RC2 (nebo dřívější sestavení) vydanou verzi systému Windows 2000. Byla provedena změna v systému Windows 2000 RC3 seznamu řízení přístupu (ACL) z objekt AdminSDHolder služby Active Directory. Tento objekt se používá k řízení oprávnění uživatelských účtů, které jsou členy vestavěné správci nebo Skupiny správců domény.

Každých Hodina, řadič domény systému Windows 2000, který má primární domény role FSMO (Flexible Single Master operace) řadič porovná seznam ACL zabezpečení všech zaregistrovaných objektů (uživatele, skupiny a účty počítačů) představují pro jeho domény služby Active Directory a zda jsou skupiny pro správu proti ACL v následující objekt:
CN = AdminSDHolder, CN = System, DC =DomenaDC =Com

Nahradit "DC =DomenaDC =Com"v této cestě s rozlišující název (DN) v doméně.
Pokud seznam ACL liší, je objekt uživatele do seznamu řízení přístupu přepsat tak, aby odpovídaly nastavení zabezpečení objekt AdminSDHolder (který zahrnuje zakázat dědičnost ACL). Tím je zajištěna ochrana těchto správních účty způsobenými neoprávněným uživatelům v případě, že účty jsou přesunuty do kontejner nebo organizační jednotku, ve kterém má uživatel přidělena oprávnění pro změnu uživatelských účtů. Všimněte si, že při Odebrání uživatele ze skupiny pro správu, proces nebyly stornovány. a musí být ručně změněn.

POZNÁMKA:: Pomocí následujícího postupu není potřeba se upgrade systému Microsoft Windows NT 4.0 na vydanou verzi systému Windows 2000.

Další informace

Chcete-li tuto situaci napravit, použijte tento postup v jedné doméně. řadič pro doménu:
 1. Nainstalujte nástroje podpory systému Windows 2000 ze systému Windows CD-ROM 2000 Professional nebo Server. Tyto nástroje zahrnují nástroj s názvem DSACLS.exe, které slouží k zobrazení, změna nebo odebrání položky řízení přístupu u objektů v adresáři Active Directory.
 2. Vytvořte dávkový soubor s následující text, nahrazení "DC =DomenaDC =Com"s rozlišující název (DN) domény):
  dsacls "cn = adminsdholder, cn = system, dc =domena, dc =com"/G" \Everyone:CA;Změnit heslo"
  dsacls "cn = adminsdholder, cn = system, dc =domena, dc =com"/G" RP: \Pre-Windows 2000 kompatibilní přístup;Informace o vzdáleném přístupu"
  dsacls "cn = adminsdholder, cn = system, dc =domena, dc =com"/G" RP: \Pre-Windows 2000 kompatibilní přístup;Obecné informace"
  dsacls "cn = adminsdholder, cn = system, dc =domena, dc =com"/G" RP: \Pre-Windows 2000 kompatibilní přístup;Členství ve skupině"
  dsacls "cn = adminsdholder, cn = system, dc =domena, dc =com"/G" RP: \Pre-Windows 2000 kompatibilní přístup;Přihlašovací informace"
  dsacls "cn = adminsdholder, cn = system, dc =domena, dc =com"/G" RP: \Pre-Windows 2000 kompatibilní přístup;Omezení účtu"
 3. Spusťte dávkový soubor v řadiči domény. Přidá zadané položky řízení přístupu (ACE) Everyone a starší verze systému Windows 2000 Kompatibilní přístupové skupiny.
 4. Na příkazovém řádku zadejte následující příkaz: dsacls CN = adminsdholder, cn = system, dc =domena, dc =com, nahrazení "DC =DomenaDC =Com"s rozlišující název (DN) vaší domény). Porovnejte je následující výstup:
  Access list:
  {This object is protected from inheriting permissions from the parent}
  Effective Permissions on this object are:
  Allow NT AUTHORITY\Authenticated Users      SPECIAL ACCESS
                           READ PERMISSONS
                           LIST CONTENTS
                           READ PROPERTY
                           LIST OBJECT
  Allow BUILTIN\Administrators           SPECIAL ACCESS
                           DELETE
                           READ PERMISSONS
                           WRITE PERMISSIONS
                           CHANGE OWNERSHIP
                           CREATE CHILD
                           DELETE CHILD
                           LIST CONTENTS
                           WRITE SELF
                           WRITE PROPERTY
                           READ PROPERTY
                           LIST OBJECT
                           CONTROL ACCESS
  Allow IFRPILOT\Enterprise Admins         SPECIAL ACCESS
                           READ PERMISSONS
                           WRITE PERMISSIONS
                           CHANGE OWNERSHIP
                           CREATE CHILD
                           DELETE CHILD
                           LIST CONTENTS
                           WRITE SELF
                           WRITE PROPERTY
                           READ PROPERTY
                           LIST OBJECT
                           CONTROL ACCESS
  Allow FAA\Domain Admins              SPECIAL ACCESS
                           READ PERMISSONS
                           WRITE PERMISSIONS
                           CHANGE OWNERSHIP
                           CREATE CHILD
                           DELETE CHILD
                           LIST CONTENTS
                           WRITE SELF
                           WRITE PROPERTY
                           READ PROPERTY
                           LIST OBJECT
                           CONTROL ACCESS
  Allow NT AUTHORITY\SYSTEM             FULL CONTROL
  Allow BUILTIN\Pre-Windows 2000 Compatible Access SPECIAL ACCESS
                           READ PERMISSONS
                           LIST CONTENTS
                           READ PROPERTY
                           LIST OBJECT
  Allow BUILTIN\Pre-Windows 2000 Compatible Access SPECIAL ACCESS for Remote Access Information
                           READ PROPERTY
  Allow BUILTIN\Pre-Windows 2000 Compatible Access SPECIAL ACCESS for General Information
                           READ PROPERTY
  Allow BUILTIN\Pre-Windows 2000 Compatible Access SPECIAL ACCESS for Group Membership
                           READ PROPERTY
  Allow BUILTIN\Pre-Windows 2000 Compatible Access SPECIAL ACCESS for Account Restrictions
                           READ PROPERTY
  Allow BUILTIN\Pre-Windows 2000 Compatible Access SPECIAL ACCESS for Logon Information
                           READ PROPERTY
  Allow Everyone                  Change Password
  					

Vlastnosti

ID článku: 232199 - Poslední aktualizace: 26. dubna 2011 - Revize: 5.0
Informace v tomto článku jsou určeny pro produkt:
 • Microsoft Windows 2000 Server
 • Microsoft Windows 2000 Advanced Server
Klíčová slova: 
kbenv kbinfo kbmt KB232199 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:232199

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com