Delegando Controle: Usuário Perde a Permissão Após Aproximadamente 01 Hora (AdminSDHolder e Protected Groups) (pt-BR)

Delegando Controle: Usuário Perde a Permissão Após Aproximadamente 01 Hora (AdminSDHolder e Protected Groups) (pt-BR)



Tecnologias


Windows Server
Active Directory

Objetivo


Delegar Controle (Delegate Control) com sucesso a um usuário membro de um Built-in Group.

Cenário


Delegado Controle ao usuário Teste5 para resetar senhas de usuários (reset user passwords) na OU Delegacao, porém aproximadamente após 01 hora este usuário perde permissão. Segue imagem abaixo para ilustração:


Figura 1 - Delegate Control na OU "Delegacao" para o usuário "Teste5"

Como Resolver o Problema

Para resolver este problema é necessário habilitar a propagação das permissões de hierarquias em AdminSDHolder no Active Directory Users And Computers no seguinte local:

 

1. Domínio (seu domínio)
2. System
3. AdminSDHolder


Figura 2 - AdminSDHolder em Active Directory Users and Computers

4. Clicar com o botão direito, selecionar propriedades
5. Security
6. Advanced
7. Marcar o checkbox “Allow inheritable permissions from the parent to propagate to this object and all child objects. Include these with entries defined here”.


Figura 3 - Propagando as permissões

Porque isto acontece?


O usuário Teste5, além de possuir as permissões delegadas também é membro de um Grupo Embutido (Built-in Group), por questões de segurança o Windows possui Grupos Protegidos (Protected Groups), sendo natural este comportamento de aproximadamente a cada 01 hora realizar uma verificação em sua estrutura de Built-in Groups e caso ela tenha sido alterada, ela é restaurada, perdendo as configurações de delegação realizada. Para alterar este comportamento basta executar o procedimento informado em “Como Resolver o Problema” neste artigo.

Obs.: Caso o usuário Teste5 não fosse membro de nenhum Built-In Group a delegação iria funcionar sem nenhum problema.

Referências


Descrição e atualização do objeto AdminSDHolder do Active Directory

 

http://support.microsoft.com/kb/232199/pt-br
Sort by: Published Date | Most Recent | Most Useful
Comments
  • Excelente artigo Rafael!!

    Muito útil.

Page 1 of 1 (1 items)