我有一台安装了Windows部署服务的Server 2008 R2机器,这个工作非常好。 但是,经过一段时间(可能是在安装更新后重新启动),Active Directory中应用的允许WDS工作的安全权限将被重置。
所需的设置是:
Domain Admins: Full Control Enteprise Admins: Full Control Account Operators: Full Control System: Full Control SELF: Create All Child Objects, Delete All Child Objects, Validated write to DNS host name, Validated write to service principal name, Read Personal Information, Write Personal Information 我已经从自己的机器和域控制器应用这些设置。 我不确定为什么会发生这种情况,其他任何AD设置都不会出现问题。 我已经阅读了关于AdminSDHolder,但不知道这是否适用于我的情况,因为我手动设置权限 – 也是我读过这不是最好的做法来改变它,虽然承认这是我第一次碰到这个。
我如何让AD保留这些设置?
如TechNet杂志文章“AdminSDHolder,Protected Groups和SDPROP”所述 ,Active Directory“保护”一组“受保护的组”的成员。
目录服务代理每60分钟运行一个后台作业:
AdminCount属性设置为值1 (&(adminCount=1)) ,它从AdminSDHolder容器对象中复制安全描述符,并用它“保护”受保护的对象。 这个过程简称为“安全描述符传播者”或“SDPROP”。
Backup Operators只是这些“受保护的组”之一,所以如果计算机账户对象是Backup Operators的成员,则SDPROP将“重置”所述计算机账户对象上的SD。
如果您想在不等待1小时的情况下testing这个假设,请打开PowerShell,连接到域中任何域控制器的RootDSE ,并调用FixUpInheritance例程(这是SDPROP在内部执行的操作),如下所示:
$RDSE = [ADSI]"LDAP://dc01.my.domain.tld/RootDSE" $RDSE.Put("FixUpInheritance",1) $RDSE.SetInfo()
您可以从Backup Operators组中删除服务器,然后手动取消设置该对象上的adminCount属性,也可以更改AdminSDHolder对象的安全描述符,尽pipe如果您对自己的内容没有信心,我会强烈build议您是做