Windows展開サービスがインストールされたServer2008 R2マシンがありますが、これは完全に機能します。ただし、しばらくすると(更新プログラムのインストール後に再起動する場合があります)、WDSを機能させるためにActiveDirectoryに適用されているセキュリティアクセス許可がリセットされます。
必要な設定は次のとおりです。
Domain Admins: Full Control
Enteprise Admins: Full Control
Account Operators: Full Control
System: Full Control
SELF: Create All Child Objects, Delete All Child Objects, Validated write to DNS Host name, Validated write to service principal name, Read Personal Information, Write Personal Information
これらの設定は、それ自体のマシンとドメインコントローラーから適用しました。なぜこれが起こっているのかわかりません。他のAD設定がリセットされても問題はないようです。 AdminSDHolderについて読んだことがありますが、アクセス許可を手動で設定しているため、これが私の場合に当てはまるかどうかはわかりません。また、これに遭遇したのはこれが初めてですが、変更するのはベストプラクティスではないことも読みました。
ADにこれらの設定を保持させるにはどうすればよいですか?
TechNet Magazineの記事で説明されているように "AdminSDHolder、Protected Groups and SDPROP" 、ActiveDirectoryは一連の「保護されたグループ」のメンバーを「保護」します。
Directory Service Agentは、60分ごとに、次のようなバックグラウンドジョブを実行します。
AdminCount
属性が1
の値に設定されます。(&(adminCount=1))
に一致するオブジェクトごとに、AdminSDHolderコンテナオブジェクトからセキュリティ記述子をコピーし、保護されたオブジェクトに「スタンプ」を付けます。このプロセスは、略して「セキュリティ記述子プロパゲーター」または「SDPROP」と呼ばれるものです。
Backup Operators
はこれらの「保護されたグループ」の1つにすぎないため、コンピューターアカウントオブジェクトがBackup Operators
のメンバーである場合、SDPROPはそのコンピューターアカウントオブジェクトのSDを「リセット」します。
最大1時間待たずにこの仮説をテストする場合は、PowerShellを起動し、ドメイン内の任意のドメインコントローラーのRootDSE
に接続して、FixUpInheritance
ルーチンを呼び出します(これはSDPROPが行うことです)とにかく内部的に)、そのように:
$RDSE = [ADSI]"LDAP://dc01.my.domain.tld/RootDSE"
$RDSE.Put("FixUpInheritance",1)
$RDSE.SetInfo()
サーバーをBackup Operators
グループから削除してから、オブジェクトのadminCount
属性を手動で設定解除するか、AdminSDHolderオブジェクトのセキュリティ記述子を変更することができます。あなたは自分がしていることに自信がありません