Active Directory
AdminSDHolder, Protected Groups und SDPROP
John Policelli
Kurz zusammengefasst:
- Übersicht über AdminSDHolder, geschützten Gruppen und SDPROP
- Steuern der Gruppen, die durch AdminSDHolder geschützt sind
- Sicherheitsbeschreibungspropagierer
Inhalt
AdminSDHolder Object
Standard-ACL
Geschützten Gruppen
Steuern der Gruppen, die von AdminSDHolder geschützt
Bestimmen, ob einem Sicherheitsprinzipal von AdminSDHolder geschützt ist
Verwaiste AdminSDHolder-Objekte
Security Descriptor Übermittlung
Ändern von SDPROP so oft ausgeführt
Erzwungene SDPROP ausführen
Zusammenfassung
Active Directory-Domänendienste verwendet AdminSDHolder, geschützten Gruppen und Sicherheitsbeschreibung Propagator (SD Propagator oder SDPROP für Short) für sichere privilegierte Benutzer und Gruppen von unbeabsichtigte Änderung.Diese Funktionalität wurde in der ersten Version von Active Directory in Windows 2000 Server eingeführt, und es ziemlich gut bekannt ist.Allerdings praktisch alle IT-Administratoren haben wurde beeinträchtigt durch diese Funktionalität und, um fortzufahren, wenn Sie vollständig verstehen wie AdminSDHolder, geschützten Gruppen und SDPROP funktionieren wird.
Jede Active Directory-Domäne hat ein Objekt namens AdminSDHolder, die sich im Systemcontainer der Domäne befindet.Das AdminSDHolder-Objekt besitzt eine eindeutige Zugriffssteuerungsliste (ACL), dem Berechtigungen der Sicherheitsprinzipale steuern, die sind Mitglieder der integrierten privilegierten Active Directory-Gruppen (was ich gerne "geschützt protected" aufrufenGruppen).Jede Stunde wird auf die Domänencontroller, der die PDC-Emulator-Betriebsmasterfunktion innehat, Hintergrundprozess SDPROP aufgerufen ausgeführt.Es vergleicht die ACL auf alle Sicherheitsprinzipale (Benutzer, Gruppen und Computerkonten), die zu geschützten Gruppen mit der ZUGRIFFSSTEUERUNGSLISTE für das AdminSDHolder-Objekt gehören.Wenn die ACL-Listen identisch sind, wird die ACL für den Sicherheitsprinzipal mit der ACL aus dem Admin–SDHolder-Objekt überschrieben.Darüber hinaus ist die Vererbung auf das Sicherheitsprinzipal deaktiviert.
Wie Sie sehen können, werden mehrere Sicherheitsebenen in diese Funktionalität integriert.Zunächst sind die Berechtigungen auf Benutzer, die zu geschützten Gruppen gehören angewendet strengere als den Standard-Berechtigungen auf andere Benutzerkonten angewendet.Diese Funktionalität deaktiviert anschließend Vererbung auf privilegierten Konten, sicherstellen, dass Berechtigungen auf der übergeordneten Ebene angewendeten werden nicht durch geschützte Objekte vererbt, unabhängig davon, wo Sie sich befinden.Schließlich wird der SDPROP Prozess alle 60 Minuten manuelle Änderungen an einer ACL kennzeichnet und kehrt diese, so dass die ACL die ACL des Objekts AdminSDHolder übereinstimmt.
Siehe die Randleiste "Eine allgemeine Beispiel der Auswirkungen von AdminSDHolder, geschützten Gruppen und SDPROP"eine reale Betrachtung dieser Funktionalität.
AdminSDHolder Object
Wie bereits erwähnt, enthält jede Active Directory-Domäne ein AdminSDHolder-Objekt, die sich in der Domäne Systempartition befindet.Der definierte Name des AdminSDHolder-Objekts ist "CN = AdminSDHolder, CN = System, DC = Domain, DC = com"DC = Domain, DC = com ist der DN der Domäne.Abbildung 1 zeigt das Objekt AdminSDHolder in einer Domäne Windows Server 2008 R2.
Abbildung 1 AdminSDHolder Object (auf das Bild für eine größere Ansicht klicken.)
Standard-ACL
Da das AdminSDHolder-Objekt so sichern Sie privilegierte Konten im Prozess verwendet wird, ist die Standardeinstellung ACL auf das Objekt AdminSDHolder strengere als die ACL für andere Objekte, wie die Domäne, Organisationseinheiten und Container.
In der ZUGRIFFSSTEUERUNGSLISTE für AdminSDHolder standardmäßig ist die Standardeinstellung Besitzer Gruppe der Domänenadministratoren, ziemlich ungewöhnlich ist.Die meisten Active Directory-Objekte haben der Gruppe "Administratoren" als den Standardwert Besitzer.Nämlich erhebliche ein Besitzer Kontrolle über ein Objekt und Berechtigungen zurücksetzen kann.
Ein weiterer wichtiger Entwurf Faktor für das Objekt AdminSDHolder ist, dass Vererbung deaktiviert ist, wird sichergestellt, dass keine parent-level Berechtigungen geerbt werden.
Schließlich sind die Gruppen Administratoren, Domänenadministratoren und Organisationsadministratoren die Gruppen, die haben die Schreibberechtigung zu Attributen auf AdminSDHolder, strengere als den Standard-Berechtigungen auf andere Objekte Active Directory angewendet ist.
Geschützten Gruppen
Wie bereits erwähnt, Sicherheitsprinzipale AdminSDHolder Berechtigungen zuweisen, die zu geschützten Gruppen gehören.Die Liste der geschützten Gruppen wurde seit der ersten Veröffentlichung von Active Directory in Windows 2000 Server erweitert.Abbildung 2 zeigt die Standardeinstellung Gruppen und Benutzer vor Windows 2000 Server auf Windows Server 2008 R2 geschützt.
| Abbildung 2 Standard geschützten Gruppen |
| Windows 2000 Server RTM Windows 2000 Server mit SP1 Windows 2000 Server mit SP2 Windows 2000 Server mit SP3 |
Windows 2000 Server mit SP4 Windows Server 2003 RTM |
Windows Server 2003 mit SP1 Windows Server 2003 mit SP2 |
Windows Server 2008 RTM Windows Server 2008 R2 |
| VSS-Administratoren | Kontenoperatoren | Kontenoperatoren | Kontenoperatoren |
| Domänen-Admins | Administrator | Administrator | Administrator |
| Organisations-Admins | VSS-Administratoren | VSS-Administratoren | VSS-Administratoren |
| Schema-Admins | Sicherungsoperatoren | Sicherungsoperatoren | Sicherungsoperatoren |
| Zertifikatherausgeber | Domänen-Admins | Domänen-Admins | |
| Domänen-Admins | Domänencontroller | Domänencontroller | |
| Domänencontroller | Organisations-Admins | Organisations-Admins | |
| Organisations-Admins | KRBTGT | KRBTGT | |
| KRBTGT | Druckoperatoren | Druckoperatoren | |
| Druckoperatoren | Replikations-Operator | Nur-Lese-Domänencontroller | |
| Replikations-Operator | Schema-Admins | Replikations-Operator | |
| Schema-Admins | Serveroperatoren | Schema-Admins | |
| Serveroperatoren | Serveroperatoren |
Eine allgemeine Beispiel der Auswirkungen von AdminSDHolder, Protected, Gruppen und SDPROP
Die meisten Active Directory Administratoren mehr bewusst AdminSDHolder, Gruppen und SDPROP über ein Szenario wie diesem geschützt:
Delegieren Sie Berechtigungen auf ein Organizational Unit (OU).Sie können später informiert, dass die Berechtigungen für die meisten sind – aber nicht alle – Benutzerkonten in der ORGANISATIONSEINHEIT.Sie ermitteln, dass die ACL für den betreffenden Konten unterscheidet was Sie delegiert und die Vererbung nicht aktiviert ist, sodass Aktivieren von Vererbung, um dieses Problem zu beheben.Zunächst diese arbeiten scheint, aber das Problem später resurfaces.Sie ermitteln erneut, dass die ACL unterscheidet und Vererbung deaktiviert wurde.
Ich habe Einzelpersonen immer wieder durchlaufen dieser seeming endlosen Zyklus gesehen.
Diese Situation tritt tatsächlich standardmäßig jedoch.Es ist von AdminSDHolder, geschützten Gruppen und SDPROP verursacht.
Die von diesem Problem betroffenen Konten gehören zu einer geschützten Gruppe.Als Ergebnis der ZUGRIFFSSTEUERUNGSLISTE für diese Konten wird aus dem AdminSDHolder-Objekt in der Domäne geerbt, und Vererbung wird deaktiviert.Deswegen Berechtigungen, die Sie delegiert werden auf die betroffene Benutzerkonten nicht angewendet.Wenn Sie manuell die Vererbung für diese Konten aktivieren, werden die ACL delegierten Berechtigungen hinzugefügt.
Jedoch, wenn der SDPROP Prozess ausgeführt wird auf dem Domänencontroller, der PDC-Emulator-Betriebsmasterfunktion innehat, wird standardmäßig alle 60 Minuten – die ACL wird entsprechend die ACL des Objekts AdminSDHolder überschrieben und Vererbung deaktiviert ist.
Die Liste der geschützten Gruppen Bestand aus vier Sicherheitsgruppen in Windows 2000 Server RTM.In Windows 2000 Server SP4 und Windows Server 2003 wurden mehrere Gruppen hinzugefügt, einschließlich die Konten Administrator und Krbtgt.In Windows Server 2003 mit SP1 und höher entfernt Microsoft Gruppe Zertifikatherausgeber aus den Gruppen standardmäßig geschützt.In Windows Server 2008 erweitert Microsoft diese Liste für die Gruppe Read-Only-Domänencontroller enthalten.Die Liste der geschützten Gruppen noch nicht in den Release Candidate-Build von Windows Server 2008 R2 geändert.
Steuern der Gruppen, die von AdminSDHolder geschützt
Meiner Erfahrung eine Teilmenge dieser Standard Gruppen Ursachen Probleme mit AdminSDHolder geschützt.Beispielsweise verwenden viele Organisationen die Gruppe Druck-Operatoren für Druckdienste Verwaltung jedoch nicht für Active Directory-Verwaltung.Die Gruppe Druck-Operatoren ist jedoch einer geschützten Gruppe, da Berechtigungen auf Domänencontrollern standardmäßig erhöht wurde.Es wird empfohlen erhöhten Berechtigungen entfernen, die dieser Gruppe auf einem Domänencontroller verfügt.Wenn Sie diese optimale Methode führen (und Sie sollten!), müssen Sie nicht wahrscheinlich dieser Gruppe mit AdminSDHolder geschützt.
Sie können eine Teilmenge der Standardwert ausschließen Schützen von Gruppen vor den AdminSDHolder-Prozess, einschließlich:
- Kontenoperatoren
- Serveroperatoren
- Druckoperatoren
- Sicherungsoperatoren
Diese Möglichkeit zum Steuerelement Gruppen, die durch AdminSDHolder geschützt sind wurde über Hotfix für die RTM-Versionen von Windows 2000 Server und Windows Server 2003 eingeführt und ist im neuesten Servicepack für Windows Server 2003 und in der RTM-Version von Windows Server 2008 und Windows Server 2008 R2 enthalten.Für Weitere Informationen zu den Hotfix wechseln zu delegierten Berechtigungen sind nicht verfügbar und Vererbung ist automatisch deaktiviert.
Die Fähigkeit zum Steuerelement Gruppen von AdminSDHolder geschützt wird durch Ändern der DsHeuristic-Flag aktiviert.Ist dies eine Unicodezeichenfolge in der jedes Zeichen für eine einzelne domänenweite Einstellung einen Wert enthält.Zeichenposition 16 wird als hexadezimalen Wert interpretiert, wobei das am weitesten links befindlichen Zeichen Position 1 ist.Daher sind die einzigen gültigen Werte "0"über "f".Jeder Operator-Gruppe hat etwas bestimmtes, wie in Abbildung 3 dargestellt.
| Abbildung 3 DsHeuristic Operator Bits |
| Bit | Gruppe löschen | Binärwert | Hexadezimaler Wert |
| 0 | Kontenoperatoren | 0001 | 1 |
| 1 | Serveroperatoren | 0010 | 2 |
| 2 | Druckoperatoren | 0100 | 4 |
| 3 | Sicherungsoperatoren | 1000 | 8 |
Diese Situation wird noch komplizierter, wenn Sie mehr als einer Gruppe ausgeschlossen werden AdminSDHolder, insbesondere, da Sie mehrere Kombinationen von Ausschlüssen aufweisen können, z. B. Kontenoperatoren und Serveroperatoren, oder Konten-Operatoren und Sicherungs-Operatoren.Um dieses Problem zu beheben, fügen Sie einfach den binären Wert jeder Gruppe, und konvertieren Sie das Ergebnis anschließend in einen hexadezimalen Wert zu.Beispielsweise gruppieren ausgeschlossen werden, die Druckoperatoren und Sicherungsoperatoren Gruppen, nehmen der binäre Wert für den Druck-Operatoren (0100) gruppieren und zu den Binärwert des Sicherungs-Operatoren hinzufügen (1000) entspricht dem 1100.Die binäre Summe (1100) konvertieren Sie dann in den Hexadezimalwert (C).
Um diese Aufgabe etwas vereinfachen, werden in Abbildung 4 alle mögliche Kombinationen im binären und hexadezimalen Format aufgeführt.
| Abbildung 4 DsHeuristic Werte für Kombinationen von Gruppen ausschließen |
| Gruppe(n) zu löschen | Binärwert | Hexadezimaler Wert |
| Keine (Standard) | 0 | 0 |
| Kontenoperatoren | 1 | 1 |
| Serveroperatoren | 10 | 2 |
| Kontenoperatoren Serveroperatoren |
0001 + 0010 = 0011 | 3 |
| Druckoperatoren | 100 | 4 |
| Kontenoperatoren Druckoperatoren |
0001 + 0100 = 0101 | 5 |
| Serveroperatoren Druckoperatoren |
0010 + 0100 = 0110 | 6 |
| Kontenoperatoren Serveroperatoren Druckoperatoren |
0001 + 0010 + 0100 = 0111 | 7 |
| Sicherungsoperatoren | 1000 | 8 |
| Kontenoperatoren Sicherungsoperatoren |
0001 + 1000 = 1001 | 9 |
| Serveroperatoren Sicherungsoperatoren |
0010 + 1000 = 1010 | A |
| Konto-Operatoren Serveroperatoren Sicherungsoperatoren |
0001 + 0010 + 1000 = 1011 | B |
| Druckoperatoren Sicherungsoperatoren |
0100 + 1000 = 1100 | C |
| Kontenoperatoren Druckoperatoren Sicherungsoperatoren |
0001 + 0100 + 1000 = 1101 | D |
| Serveroperatoren Druckoperatoren Sicherungsoperatoren |
0010 + 0100 + 1000 = 1110 | E |
| Kontenoperatoren Serveroperatoren Drucken von Operatoren Sicherungs-Operatoren |
0001 + 0010 + 0100 + 1000 = 1111 | F |
Nach der Entscheidung, welche Gruppe(n), die Sie ausschließen möchten, können Sie das Ändern des Attributs DsHeuristics.Informationen zu diesem Prozess finden Sie unter der Randleiste "How mit DsHeuristics Attribut zum Löschen von Gruppen von AdminSDHolder."
Bestimmen, ob einem Sicherheitsprinzipal von AdminSDHolder geschützt ist
Eine relativ große Anzahl von Standardbenutzer und Gruppen werden durch AdminSDHolder geschützt.Was Denken Sie daran ist, dass Benutzer durch AdminSDHolder geschützt werden, wenn Sie direkte oder transitive in eine Sicherheits- oder Verteilergruppe Gruppe verfügen.Verteilergruppen sind enthalten, da eine Verteilergruppe in eine Sicherheitsgruppe konvertiert werden kann.
Angenommen, ein Benutzer an eine Verteilerliste namens Kanada IT angehört.Der Kanada IT-VERTEILERLISTE ist ein Mitglied der nordamerikanischen IT-Sicherheitsgruppe;Die nordamerikanische IT-Sicherheitsgruppe ist Mitglied der Gruppe "Administratoren".Da des Benutzers transitiv Gruppenmitgliedschaft enthält der Gruppe Administratoren (durch Verwendung der Gruppenverschachtelung), das Konto des Benutzers durch AdminSDHolder geschützt ist.
Es gibt eine einfache Möglichkeit, um festzustellen, welche Benutzer und Gruppen in Ihrer Domäne AdminSDHolder geschützt.Sie können Abfragen das Attribut AdminCount, um festzustellen, ob ein Objekt durch das AdminSDHolder-Objekt geschützt ist.Die folgenden Beispiele verwenden das ADFind.exe-Tool, das von Joeware gedownloadet werden kann.NET.
- Suchen alle Objekte in einer Domäne, die durch AdminSDHolder geschützt sind, geben Sie:
Adfind.exe -b DC=domain,DC=com -f "adminCount=1" DN
- Suchen alle Benutzerobjekte in einer Domäne, die durch AdminSDHolder geschützt sind, geben Sie:
Adfind.exe -b DC=domain,DC=com -f "(&(objectcategory=person)(objectclass=user)(admincount=1))" DN
- Suchen alle Gruppen in einer Domäne, die durch AdminSDHolder geschützt sind, geben Sie:
Adfind.exe -b DC=domain,DC=com -f "(&(objectclass=group)(admincount=1))" DN
Hinweis: Ersetzen Sie in den vorherigen Beispielen, DC = Domain, DC = com mit dem definierten Namen Ihrer Domäne.
Verwaiste AdminSDHolder-Objekte
Wenn ein Benutzer aus einer geschützten Gruppe entfernt wird, wird das AdminCount-Attribut für das Benutzerkonto auf 0 geändert. Vererbung ist jedoch nicht für das Benutzerkonto wieder aktiviert. Als Ergebnis das Benutzerkonto nicht mehr die ACL von AdminSDHolder-Objekts empfängt, aber es nicht auch alle Berechtigungen von übergeordneten Objekten erbt. Der allgemeine Begriff für dieses Problem ist 'verwaiste AdminSDHolder Objekten'. Es gibt keinen automatisierten Mechanismus Vererbung auf Objekte zu beheben, die nicht mehr zu geschützten Gruppen gehörenSie müssen manuell mit verwaisten AdminSDHolder-Objekte behandelt. Microsoft entwickelt und ein VBScript, die Sie bei der Vererbung für Benutzerkonten aktivieren unterstützen wird, die zuvor Mitglieder geschützter Gruppen wurden zur Verfügung gestellt. Um den VBScript zu suchen, wechseln Sie zu delegierten Berechtigungen sind nicht verfügbar und Vererbung ist automatisch deaktiviert.
Security Descriptor Übermittlung
SDPROP ist ein Hintergrundprozess, der auf dem Domänencontroller ausgeführt wird, die PDC-Emulator-Betriebsmasterfunktion innehat. SDPROP führt standardmäßig alle 60 Minuten. SDPROP dient zum Vergleich der ACL auf Benutzer und Gruppen, die Mitglieder geschützter Gruppen sind. Wenn die ACL identisch ist, berühren nicht SDPROP die ACL. Jedoch ist die ACL unterscheidet, ist Sie mit der ACL des Objekts AdminSDHolder überschrieben.
Ändern von SDPROP so oft ausgeführt
Wenn die Häufigkeit Standardwert 60 Minuten für SDPROP Ausführen nicht ausreichend ist, können Sie es durch das Erstellen oder Ändern der AdminSDProtectFrequency Eintrags im Unterschlüssel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters ändern.
Wenn dieser Schlüssel existiert, wird die Standard-Häufigkeit (60 Minuten) verwendet.
Sie können die Häufigkeit an eine Stelle zwischen 1 Minute und zwei Stunden konfigurieren. Sie müssen die Anzahl der Sekunden eingeben, beim Erstellen oder ändern den Registrierungseintrag. Der folgende Befehl wird SDPROP Ausführung alle 10 Minuten (600 Sekunden) konfigurieren:
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters /V AdminSDProtectFrequency /T REG_DWORD /F /D 600
Beachten Sie jedoch, dass die Ändern dieser Teilschlüssel empfohlen wird nicht, da dies so LSA (Local Security Authority) Verarbeitungsaufwand erhöhen kann.
Erzwungene SDPROP ausführen
Sie können auch erzwingen SDPROP in Fällen, in dem Sie gerade Testen von Änderungen oder kann nicht für das konfigurierte Intervall warten, ausgeführt werden soll. Erzwingen SDPROP auszuführenden umfasst manuell Initialisieren des SDPROP Threads geerbte Berechtigungen für Objekte in Active Directory ergeben. Dieser Prozess kann durch die folgenden Schritte auf dem Domänencontroller, der PDC-Emulator-Betriebsmasterfunktion innehat erreicht werden:
- Wechseln Sie zu starten. Klicken Sie auf Ausführen. Geben Sie Ldp.exe ein. Klicken Sie auf OK.
- Klicken Sie auf im Menü Verbindung in der LDP-Konsole wird.
- Geben Sie in das Dialogfeld verbinden die Servernamen, die Sie möchten, im Feld Verbindung und vergewissern Sie sich, dass im Feld Port 389 aufgeführt ist. Klicken Sie auf OK.
- Klicken Sie im Menü Connection (Verbindung) auf Bind (Binden).
- Wählen Sie im Fenster binden die Bindung als die Option aktuell angemeldeten Benutzer, oder wählen Sie binden mit Anmeldeinformationen Option. Wenn Sie die zweite ausgewählt haben, geben Sie die Anmeldeinformationen, denen Sie mit binden möchten. Klicken Sie auf OK.
- Wählen Sie im suchen die Option ändern.
- Klicken Sie im Dialogfeld ändern lassen Sie das DN-Feld leer. Geben Sie FixUpInheritance in das Attribut-Feld. Geben Sie Ja in das Feld Wert ein. Markieren Sie den Vorgang hinzufügen und Sie die EINGABETASTE. Abbildung 5 zeigt, wie das Fenster ändern aussehen sollte.
- Klicken Sie in das Dialogfeld ändern auf Ausführen. Im Detailbereich werden den markierten Text im Abbildung 6 ähnelt.
Abbildung 5 der Fenster ändern. Wenn erzwingen SDPROP zum Ausführen in das Dialogfeld ändern, klicken Sie auf Ausführen. Im Detailbereich werden ähnelt dem hervorgehobenen Text in Abbildung 6. (Zum Vergrößern auf das Bild klicken)
Abbildung 6 aufrufen ändern wird Ldp.exe. (Zum Vergrößern auf das Bild klicken)
Zu diesem Zeitpunkt sollte SDPROP initialisieren. Der Zeitraum der SDPROP dauert hängt von der Größe der Active Directory-Umgebung. Je größer der Umgebung, die länger der Prozess ausführen dauert. Sie können überwachen DS Verteilung Sicherheitsereignisse Datenquelle unter NTDS-Leistungsobjekt zu bestimmen, wenn SDPROP abgeschlossen hat, die durch eine Leistungsindikator-Wert 0 angezeigt wird.
Zusammenfassung
AdminSDHolder ist eine wichtige Sicherheitsfunktion in Active Directory. Das AdminSDHolder geschützt, Gruppen und Sicherheitsbeschreibung Propagator Hilfe sichere Benutzerkonten, die erhöhte Active Directory Berechtigungen enthalten. AdminSDHolder-Funktionalität hat sich von Windows 2000 Server auf Windows Server 2008 entwickelt. Während dieser Entwicklung hat Microsoft die Anzahl der Objekte erweitert, die durch AdminSDHolder geschützt sind, die Möglichkeit, bestimmte Gruppen aus der Admin–SDHolder auszuschließen eingeführt und steuern, wie oft SDPROP ausgeführt wird hinzugefügt.
Die meisten Active Directory-Administratoren wurden auf AdminSDHolder, absichtlich oder unbeabsichtigt eingeführt. Ich haben versucht, bieten Sie gute Kenntnisse der was AdminSDHolder ist, wie es funktioniert und welche Cleanup erforderlich ist, wenn Sie einen Benutzer aus einer geschützten Gruppe zusammen mit einige nützlichen Anpassungen entfernen. Ich hoffe, dass diese Informationen verhindert helfen wird, wird abgefangen deaktivieren Schützen von AdminSDHolder-Funktionalität das nächste Mal zuweisen oder Entfernen von Active Directory Berechtigungen.
Verwendung von DsHeuristics Attribut zum Ausschließen von Gruppen von AdminSDHolder
Das DsHeuristics-Attribut kann verwendet werden, ausgeschlossen werden, bestimmte Gruppen von AdminSDHolder geschützt. Die folgenden Anweisungen beschreiben die Schritte zum Ändern des Attributs DsHeuristics für Windows Server 2008 R2:
Melden Sie sich auf einem Domänencontroller oder einem Member-Computer, der Remote Server Administrator Tools (RSAT) installiert ist.
Wechseln Sie zu starten. Klicken Sie auf Ausführen. Geben Sie adsiedit.msc, und klicken Sie dann auf OK.
Mit der Maustaste in der Konsolenstruktur auf ADSI Edit, in der ADSIEDIT-Konsole. Wählen Sie Verbindung zu.
Wählen Sie im Fenster Verbindungseinstellungen Konfiguration aus wählen Sie eine Dropdownliste bekannten Namenskontext. Klicken Sie auf OK.
In der Konsolenstruktur erweitern Sie Konfiguration, erweitern Sie Dienst, und erweitern Sie Windows NT. Mit der rechten Maustaste auf den Knoten Active Directory, und wählen Sie Eigenschaften.
Im = CN Directory Service Eigenschaftenfenster auswählen DsHeuristics. Klicken Sie auf Bearbeiten.
Kopieren Sie im Fenster String Attribut-Editor den vorhandenen Wert DsHeuristics, wenn Sie festgelegt ist.
Ersetzen Sie im Fenster String Attribute Editor DsHeuristics Wert Sie festlegen, wie z. B. 000000000100000f Gruppen Kontenoperatoren, Serveroperatoren, Druckoperatoren und Sicherungsoperatoren ausschließen möchten. Abbildung A zeigt das String Attribute Editor-Fenster.
Hinweis: Ersetzen Sie die Nullen im ersten Teil des Werts mit bereits in DsHeuristics kann. Sicherstellen Sie, dass die richtige Anzahl von Ziffern bis zu "f" habenoder beliebige Bits, die Sie festlegen möchten.
Klicken Sie in das Fenster String Attribut-Editor auf OK. Klicken Sie auf OK im CN = Directory Service Eigenschaftenfenster.
Abbildung A String Attribute Editor-Fenster(Click the image for a larger view)
John Policelli, Microsoft MVP für Verzeichnisdienste, MCTS, MCSA, ITSM, iNet +, Network + und A + ist ein Lösungen konzentriert sich IT-Berater mit mehr als einem Jahrzehnt kombinierten Erfolg in Architektur, Sicherheit, strategische Planung und Planung der Notfallwiederherstellung. Für die letzten neun Jahre er auf Identitäts- und Zugriffsverwaltung konzentriert hat, und Führung bereitstellen für einige der größten Installationen von Active Directory Kanada betrachtet. Policelli ist Autor von How-Active Directory Domain Services 2008 to (SAMS Publishing, 2009).