1. Este site usa cookies. Ao continuar a usar este site está a concordar com o nosso uso de cookies. Saber Mais.
  2. A secção Microsoft/Windows encontra-se actualmente em processo de reestruturação.
    Remover anúncio

Problema Cabeludo com Windows 2003

Discussão em 'Windows Desktop e Surface' iniciada por The Zombie, 14 de Outubro de 2004. (Respostas: 12; Visualizações: 1062)

  1. The Zombie

    The Zombie Power Member

    Esta é para os MCSE's a sério. :)

    Tenho uma floresta com 3 Dominios. Este problema só me aparece em um deles.
    Tenho um domínio principal, com 4 sub-domínios.

    Este Domínio tem cerca de 300 DC's. Todos 2003. Native Mode.
    Cerca de 2.000 users. Espalhados por várias OU's.

    Em alguns destes users, independente da OU, pq já troquei de users em várias para testar, se eu for delegar permissões, alguns destes users, nao sei porquê, passado algum tempo, de 1 hora a 2 dias, deixam de ter com um visto, a opção Inheritance. Pura e simplesmente faz reset a ela própria. :wow:

    Já fiz uma busca em todas as ACL's dos objectos relevantes aos Users no dominio e nao encontro uma que esteja mal atribuida.

    Provavelmente tenho de procurar por alguma falha nos objectos no Schema com o Adsiedit, mas são mais de 12.000. :(

    Any Ideas? Porque é que o flag do inheritance faz reset e como resolver???

    Thanks...
     
  2. kazuza

    kazuza Power Member

    Como está a Inter Domain Trust Relationship?
    Penso que só podes mover users que estejam ao mesmo nível da floresta, mas neste momento não te sei confirmar..

    O tempo que eles demoram a expirar por acaso não é igual ao tempo de replicação do GC ?
     
  3. The Zombie

    The Zombie Power Member

    Obg Kazuza, mas...

    Os trusts estão bem. Doutra forma nao teria replicação e o Kerberos não me dá erro nenhum que apontem para os SID's dos DC's. Pelo sim pelo nao, verifiquei o Sec Channel, e fiz um scoping com o Netdom. Está porreiro, como pensava.

    A tua ultima pergunta do GC e da replicação é pertinente, mas..... Todas as alterações que faço com a delegação mantêm-se feitas e a funcionar pelos Sites onde eu quero que o user tenha permissões. Logo tenho replicação inter e intra Domínio. Apenas a flag do Inheritance faz o reset espontâneo.

    Estranho, hein??? Parece que vou ter de andar a martelar o Schema Container com o LDP. Na volta sao OID's em DUP.

    Que treta.

    Any more Ideas?? Please?
     
  4. kazuza

    kazuza Power Member

    Moveste users do TLD para mais abaixo? Ou vice-versa?
     
  5. The Zombie

    The Zombie Power Member

    Não Kazuza.
    Não movi users pra lado nenhum nem UP nem Down Level dentro do Domínio. Fiz algumas experiencias movendo users entre OU's para ver se estaria relacionado com Restricted Groups. descobri que nao está.
     
  6. Max[x]

    Max[x] Power Member

    Era isso que te ia dizer. Quando usas delegação em users que pertencem a Protected Groups, eles passado um tempo podem perder a flag de Inheritance.

    Moveres os users para diferentes OU's não implica que eles deixem de pertencer a Grupos protegidos.
     
  7. The Zombie

    The Zombie Power Member

    Podes me arranjar algum doc da Msft que explique isto? Isso já me descansava a cabeça.

    No entanto, isto tb me acontece em Users sem resticted groups. :(
    Dái eu ter movido users para OU's com e sem esses grupos para ver se achava algum padrão.

    O problema é que tanto users novos ou antigos, mostram este problema dentro de grupos com outros users que nao têm este problema.
    Fiz-me entender?

    Tenho um grupo numa OU. O grupo pode ter 50 Users, ok? o problema pode aparecer em 10 e nos outros 40 nao. Se fosse pelo grupo, eu esperaria o problema em todos os users.

    I'm going crazy. :lol:
     
  8. Max[x]

    Max[x] Power Member

    Mas o problema pode não estar nesse grupo específico. Os tais 10 users podem pertencer a outros grupos que os restantes 40 não pertencem.

    Tenta criar um determinado número de users e coloca-os numa OU. Não os associes a nenhum grupo. Delega permissões e vê o que acontece.

    Quanto à documentação da msft, vê se este artigo ajuda.
     
  9. The Zombie

    The Zombie Power Member

    AAAAAAAAAAAAAHHHHHHHHHHHHHHHHHHHHHHHHHHHHHH

    É o AdminsdHolder no Schema :009:

    =====================================
    Every hour, the Windows 2000 domain controller that holds the primary domain controller (PDC) Flexible Single Master Operation (FSMO) role compares the ACL on all security principals (users, groups, and machine accounts) present for its domain in Active Directory and that are in administrative groups against the ACL on the following object:
    CN=AdminSDHolder,CN=System,DC=MyDomain,DC=Com

    Replace "DC=MyDomain,DC=Com" in this path with the distinguished name (DN) of your domain.
    If the ACL is different, the ACL on the user object is overwritten to reflect the security settings of the AdminSDHolder object (which includes disabling ACL inheritance). This protects these administrative accounts from being modified by unauthorized users if the accounts are moved to a container or organizational unit in which a user has been delegated administrative privilege for the modification of user accounts. Note that when a user is removed from the administrative group, the process is not reversed and must be manually changed.
    ==============================

    Está explicado o Reset de hora a hora na flag.
    Vou aplicar o workaround porque isto é By Design no Schema.

    Muito Obrigado Max[x].
     
  10. Tafinho

    Tafinho Power Member

    Curto bués o pessoal da microsoft...

    Agarram no Kerberos, mudam-lhe o nome e criam entidades artificiais...

    Por fim tem-se a confusão que se vê...
     
  11. Chip

    Chip Zwame Advisor

    The Zombie, se amanhã chegar ao trabalho e esse problema estiver resolvido começo a pensar que trabalhas na mesma empresa que eu :D


    LSR diz-te alguma coisa?
     
  12. The Zombie

    The Zombie Power Member

    Eheheheh

    O mundo realmente é pequeno por vezes Chip, mas não...

    Não trabalho na LSR. Mas no entanto, fica aqui a solução deste problema e o porquê dele existir, se a tua empresa está a sofrer do mesmo :)

    Posso confirmar que depois de modificar os parametros do Objecto AdminSDHolder, nunca mais se manifestou este comportamento.

    Ainda bem que esta discussão foi util para mais alguem alêm de mim.

    O artigo:
    http://support.microsoft.com/default.aspx?scid=kb;en-us;817433
     

Partilhar esta Página