none
Сбрасываются разрешения делегирования AD RRS feed

  • Общие обсуждения

  • Коллеги, столкнулся с такой проблемой.

    Есть домен w2k3, в котором  на одном из OU даны полные права делегирования группе региональных админов, назовем ее, скажем Region_Admins (сама группа лежит именно в этом OU). Почему то у группы Region_Admins и всех кто в нее входит сбрасывается флажок наследовать разрешения от родительского объекта. Выставляю эту галку, все ок, но через какое то время снова сбрасывается. Возможно после репликации с контроллером в другом сайте. Пробовал делать изменения на разных контроллерах - тоже самое. Сама репликация вроде без проблем проходит.

    Нашел такую статейку http://support.microsoft.com/kb/817433/en-us , вроде бы похоже... Но ... там написано что применимо, если это защищенные группы

    • Administrators
    • Account Operators
    • Server Operators
    • Print Operators
    • Backup Operators
    • Domain Admins
    • Schema Admins
    • Enterprise Admins
    • Cert Publishers

    В моем случае группа Region_Admins являлась только членом группы DHCP Administrators и Group Policy Creator Owners. Я на всякий случай для проверки исключил Region_Admins из данных групп - но это не помогло. В чем еще может быть проблема - ума не приложу?!

    • Изменен тип Rotar MaksimModerator 12 октября 2012 г. 10:50 Тема переведена в разряд обсуждений по причине отсутствия активности
    27 сентября 2012 г. 19:11

Все ответы

  • насколько я знаю это нормальное поведение - делегирование не распространяется на самих себя (в том числе транзитивно через группы), поэтому и наследование снимается.

    27 сентября 2012 г. 20:04
  • Дополнительный материал для понимания AdminSDHolder. Возможно появятся мысли, где и что посмотреть на месте.
    28 сентября 2012 г. 5:59
    Отвечающий
  • Коллеги, столкнулся с такой проблемой.

    Есть домен w2k3, в котором  на одном из OU даны полные права делегирования группе региональных админов, назовем ее, скажем Region_Admins (сама группа лежит именно в этом OU). Почему то у группы Region_Admins и всех кто в нее входит сбрасывается флажок наследовать разрешения от родительского объекта. Выставляю эту галку, все ок, но через какое то время снова сбрасывается. Возможно после репликации с контроллером в другом сайте. Пробовал делать изменения на разных контроллерах - тоже самое. Сама репликация вроде без проблем проходит.

    Нашел такую статейку http://support.microsoft.com/kb/817433/en-us , вроде бы похоже... Но ... там написано что применимо, если это защищенные группы

    • Administrators
    • Account Operators
    • Server Operators
    • Print Operators
    • Backup Operators
    • Domain Admins
    • Schema Admins
    • Enterprise Admins
    • Cert Publishers

    В моем случае группа Region_Admins являлась только членом группы DHCP Administrators и Group Policy Creator Owners. Я на всякий случай для проверки исключил Region_Admins из данных групп - но это не помогло. В чем еще может быть проблема - ума не приложу?!

    После удаления группы из защищенных групп установите в 0 аттрибут adminCount нужных учетных записей (в статье MS KB, про которую Вы написали, сказано, как это сделать).

    PS И да, для определения, нужно ли сбрасывать разрешения у учетной записи ее косвенное (через вложенные группы) членство в защищенных группах, естественно, учитывается.


    Слава России!

    28 сентября 2012 г. 10:29
  • Уважаемый пользователь!

    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    10 октября 2012 г. 18:12
    Модератор
  • Тема переведена в разряд обсуждений по причине отсутствия активности

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    12 октября 2012 г. 10:50
    Модератор