<html><head><meta http-equiv=Content-Type content="text/html; charset=UTF-8"></head><body>Hi Bill,<br>Thank you for all the fine work on compiling the links! I read the info, and I have some questions.<br>Regarding control access rights, here is what you have written in your blog, and my questions:<br><br><font face="Calibri" size="3">For
extended rights, which are special operations not covered by the
standard set of access rights. For example, the user class can be
granted a "Send As" right that can be used by Exchange, Outlook, or any
other mail application, to determine whether a particular user can have
another user send mail on their behalf. Extended rights are created on </font><a href="http://msdn.microsoft.com/en-us/library/cc221827.aspx"><font face="Calibri" size="3" color="#0000ff">controlAccessRight</font></a><font face="Calibri" size="3"> objects by setting the </font><a href="http://msdn.microsoft.com/en-us/library/cc220991.aspx"><font face="Calibri" size="3" color="#0000ff">validAccesses</font></a><font face="Calibri" size="3"> attribute to equal the ADS_RIGHT_DS_CONTROL_ACCESS (256) access right.&nbsp;&nbsp; &lt;Nadya&gt; While I was in Redmond, we discussed whether, if a new access control right is added by an application such as Exchange, it is up to the Directory Server to perform if the requester has that right or to the client (Outlook or Exchange), and we determined that it is up to the client. Can you confirm that? Is there somewhere in the docs an example of what the DS does and does not do with a user defined access right? It would be much easier for me to understand it that way. Or, perhaps, a more detailed explanation on the function of validAccesses, because "</font>This attribute specifies the type of access that is permitted with an extended right.<font face="Calibri" size="3">" does not give me a very good idea. &lt;/Nadya&gt;</font><span style="font-family: Symbol;"><span style=""><font size="3"><br><br>Regarding the permissions on naming contexts:<br>Section 7.1.1.1 that you have quoted, states the access rights that "D1" needs to have in order to replicate the context. I examined the security descriptors of the naming contexts, and the rights quoted are given to several trustees, such as ENTERPRISE DOMAIN CONTROLERS and Builtin/Administrators. Why does Administrators need to have such rights, also, doesn't SYSTEM need them? <br>While in Redmond, we agreed with Hongwei and Darryl that what we need is actually information on what are the default permissions on each naming context for each FSMO role,&nbsp; and what each of these permissions mean. What you have provided is a very valuable addition indeed! But to be able to implement the FSMO roles in Samba, with the correct permissions on each naming context, we need to be able to grasp the full picture. Darryl mentioned that there are MCPP documents that explain states scenarios, such as what happens when a particular FSMO role is assumed - what permissions are added, etc. Do you think you can help me locate these?<br><br>Thanks for all your help, and your patience!<br><br>Best Regards,<br>Nadya&nbsp; <br></font></span></span><br><div style="border-style: none none none solid; border-color: -moz-use-text-color -moz-use-text-color -moz-use-text-color blue; border-width: medium medium medium 1.5pt; padding: 0in 0in 0in 4pt;">----- Original Message -----<br>From: Bill Wesse &lt;billwe@microsoft.com&gt;<br>To: Nadezhda Ivanova &lt;nadezhda.ivanova@postpath.com&gt;<br>Sent: Monday, October 19, 2009 5:42:01 PM GMT+0200 Europe;Athens<br>Subject: RE: SRX090922600157 : [MS-ADTS] 7.1.1.1 Naming Contexts Domain Admins Permissions<br><br>




<!--               [if !mso]>
<style>v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}</style>
<![endif]               -->
<style><!--
 /* Font Definitions */
 @font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:Consolas;
        panose-1:2 11 6 9 2 2 4 3 2 4;}
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.MsoPlainText, li.MsoPlainText, div.MsoPlainText
        {mso-style-priority:99;
        mso-style-link:"Plain Text Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:10.5pt;
        font-family:Consolas;}
p.MsoListParagraph, li.MsoListParagraph, div.MsoListParagraph
        {mso-style-priority:34;
        margin-top:0in;
        margin-right:0in;
        margin-bottom:0in;
        margin-left:.5in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
span.PlainTextChar
        {mso-style-name:"Plain Text Char";
        mso-style-priority:99;
        mso-style-link:"Plain Text";
        font-family:Consolas;}
span.EmailStyle20
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
span.EmailStyle21
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle22
        {mso-style-type:personal;
        font-family:"Arial","sans-serif";
        color:navy;}
span.EmailStyle23
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle24
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle25
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page Section1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.Section1
        {page:Section1;}
--></style>
<!--               [if gte mso 9]><xml>
 <o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]               --><!--               [if gte mso 9]><xml>
 <o:shapelayout v:ext="edit">
  <o:idmap v:ext="edit" data="1" />
 </o:shapelayout></xml><![endif]               -->


<div class="Section1">

<p class="MsoNormal"><span style="color: rgb(31, 73, 125);">Good morning – I have returned
to work. Just checking in to see if your schedule permitted that review of the
information.</span></p>

<p class="MsoNormal"><span style="color: rgb(31, 73, 125);">&nbsp;</span></p>

<div>

<p class="MsoNormal"><b><span style="font-size: 10pt; font-family: &quot;Arial&quot;,&quot;sans-serif&quot;; color: black;">Regards,</span></b><span style="color: navy;"><br>
</span><b><span style="font-size: 10pt; font-family: &quot;Arial&quot;,&quot;sans-serif&quot;; color: black;">Bill Wesse</span></b><span style="color: navy;"><br>
</span><span style="font-size: 10pt; font-family: &quot;Arial&quot;,&quot;sans-serif&quot;; color: black;">MCSE, MCTS / Senior Escalation Engineer, US-CSS&nbsp;DSC PROTOCOL
TEAM</span><span style="color: navy;"><br>
</span><span style="font-size: 10pt; font-family: &quot;Arial&quot;,&quot;sans-serif&quot;; color: black;">8055 Microsoft Way</span><span style="color: navy;"><br>
</span><span style="font-size: 10pt; font-family: &quot;Arial&quot;,&quot;sans-serif&quot;; color: black;">Charlotte, NC 28273</span><span style="color: navy;"><br>
</span><span style="font-size: 10pt; font-family: &quot;Courier New&quot;; color: black;">TEL:
&nbsp;+1(980) 776-8200</span></p>

<p class="MsoNormal"><span style="font-size: 10pt; font-family: &quot;Courier New&quot;; color: black;">CELL:&nbsp;+1(704) 661-5438</span><span style="font-family: &quot;Courier New&quot;; color: navy;"><br>
</span><span style="font-size: 10pt; font-family: &quot;Courier New&quot;; color: black;">FAX:&nbsp;
+1(704) 665-9606</span></p>

</div>

<p class="MsoNormal"><span style="color: rgb(31, 73, 125);">&nbsp;</span></p>

<div>

<div style="border-style: solid none none; border-color: rgb(181, 196, 223) -moz-use-text-color -moz-use-text-color; border-width: 1pt medium medium; padding: 3pt 0in 0in;">

<p class="MsoNormal"><b><span style="font-size: 10pt; font-family: &quot;Tahoma&quot;,&quot;sans-serif&quot;;">From:</span></b><span style="font-size: 10pt; font-family: &quot;Tahoma&quot;,&quot;sans-serif&quot;;"> Bill Wesse <br>
<b>Sent:</b> Tuesday, October 13, 2009 10:17 AM<br>
<b>To:</b> 'Nadezhda Ivanova'<br>
<b>Subject:</b> RE: SRX090922600157 : [MS-ADTS] 7.1.1.1 Naming Contexts Domain
Admins Permissions</span></p>

</div>

</div>

<p class="MsoNormal">&nbsp;</p>

<p class="MsoPlainText">Good morning – I am sending this to advise you that I am
out of the office for the next several days, due to illness. I will keep
current on any incoming email from you. If needed, we can temporarily reassign
the case to someone else on my team.</p>

<p class="MsoPlainText">&nbsp;</p>

<p class="MsoPlainText">Regards,</p>

<p class="MsoPlainText">Bill Wesse</p>

<p class="MsoPlainText">MCSE, MCTS / Senior Escalation Engineer, US-CSS&nbsp;DSC
PROTOCOL TEAM</p>

<p class="MsoPlainText">8055 Microsoft Way</p>

<p class="MsoPlainText">Charlotte, NC 28273</p>

<p class="MsoPlainText">TEL: &nbsp;+1(980) 776-8200</p>

<p class="MsoPlainText">CELL:&nbsp;+1(704) 661-5438</p>

<p class="MsoPlainText">FAX:&nbsp; +1(704) 665-9606</p>

<p class="MsoNormal"><span style="color: rgb(31, 73, 125);">&nbsp;</span></p>

<p class="MsoNormal"><span style="color: rgb(31, 73, 125);">&nbsp;</span></p>

<div>

<p class="MsoNormal"><b><span style="font-size: 10pt; font-family: &quot;Arial&quot;,&quot;sans-serif&quot;; color: black;">Regards,</span></b><span style="color: navy;"><br>
</span><b><span style="font-size: 10pt; font-family: &quot;Arial&quot;,&quot;sans-serif&quot;; color: black;">Bill Wesse</span></b><span style="color: navy;"><br>
</span><span style="font-size: 10pt; font-family: &quot;Arial&quot;,&quot;sans-serif&quot;; color: black;">MCSE, MCTS / Senior Escalation Engineer, US-CSS&nbsp;DSC PROTOCOL
TEAM</span><span style="color: navy;"><br>
</span><span style="font-size: 10pt; font-family: &quot;Arial&quot;,&quot;sans-serif&quot;; color: black;">8055 Microsoft Way</span><span style="color: navy;"><br>
</span><span style="font-size: 10pt; font-family: &quot;Arial&quot;,&quot;sans-serif&quot;; color: black;">Charlotte, NC 28273</span><span style="color: navy;"><br>
</span><span style="font-size: 10pt; font-family: &quot;Courier New&quot;; color: black;">TEL:
&nbsp;+1(980) 776-8200</span></p>

<p class="MsoNormal"><span style="font-size: 10pt; font-family: &quot;Courier New&quot;; color: black;">CELL:&nbsp;+1(704) 661-5438</span><span style="font-family: &quot;Courier New&quot;; color: navy;"><br>
</span><span style="font-size: 10pt; font-family: &quot;Courier New&quot;; color: black;">FAX:&nbsp;
+1(704) 665-9606</span></p>

</div>

<p class="MsoNormal"><span style="color: rgb(31, 73, 125);">&nbsp;</span></p>

<div>

<div style="border-style: solid none none; border-color: rgb(181, 196, 223) -moz-use-text-color -moz-use-text-color; border-width: 1pt medium medium; padding: 3pt 0in 0in;">

<p class="MsoNormal"><b><span style="font-size: 10pt; font-family: &quot;Tahoma&quot;,&quot;sans-serif&quot;;">From:</span></b><span style="font-size: 10pt; font-family: &quot;Tahoma&quot;,&quot;sans-serif&quot;;"> Bill Wesse <br>
<b>Sent:</b> Monday, September 28, 2009 8:51 AM<br>
<b>To:</b> 'Nadezhda Ivanova'<br>
<b>Cc:</b> cifs-protocol@samba.org<br>
<b>Subject:</b> RE: SRX090922600157 : [MS-ADTS] 7.1.1.1 Naming Contexts Domain
Admins Permissions</span></p>

</div>

</div>

<p class="MsoNormal">&nbsp;</p>

<p class="MsoNormal"><span style="color: rgb(31, 73, 125);">You’re welcome – I will stand
by!</span></p>

<p class="MsoNormal"><span style="color: rgb(31, 73, 125);">&nbsp;</span></p>

<div>

<p class="MsoNormal"><b><span style="font-size: 10pt; font-family: &quot;Arial&quot;,&quot;sans-serif&quot;; color: black;">Regards,</span></b><span style="color: navy;"><br>
</span><b><span style="font-size: 10pt; font-family: &quot;Arial&quot;,&quot;sans-serif&quot;; color: black;">Bill Wesse</span></b><span style="color: navy;"><br>
</span><span style="font-size: 10pt; font-family: &quot;Arial&quot;,&quot;sans-serif&quot;; color: black;">MCSE, MCTS / Senior Escalation Engineer, US-CSS&nbsp;DSC PROTOCOL
TEAM</span><span style="color: navy;"><br>
</span><span style="font-size: 10pt; font-family: &quot;Arial&quot;,&quot;sans-serif&quot;; color: black;">8055 Microsoft Way</span><span style="color: navy;"><br>
</span><span style="font-size: 10pt; font-family: &quot;Arial&quot;,&quot;sans-serif&quot;; color: black;">Charlotte, NC 28273</span><span style="color: navy;"><br>
</span><span style="font-size: 10pt; font-family: &quot;Courier New&quot;; color: black;">TEL:
&nbsp;+1(980) 776-8200</span></p>

<p class="MsoNormal"><span style="font-size: 10pt; font-family: &quot;Courier New&quot;; color: black;">CELL:&nbsp;+1(704) 661-5438</span><span style="font-family: &quot;Courier New&quot;; color: navy;"><br>
</span><span style="font-size: 10pt; font-family: &quot;Courier New&quot;; color: black;">FAX:&nbsp;
+1(704) 665-9606</span></p>

</div>

<p class="MsoNormal"><span style="color: rgb(31, 73, 125);">&nbsp;</span></p>

<div>

<div style="border-style: solid none none; border-color: rgb(181, 196, 223) -moz-use-text-color -moz-use-text-color; border-width: 1pt medium medium; padding: 3pt 0in 0in;">

<p class="MsoNormal"><b><span style="font-size: 10pt; font-family: &quot;Tahoma&quot;,&quot;sans-serif&quot;;">From:</span></b><span style="font-size: 10pt; font-family: &quot;Tahoma&quot;,&quot;sans-serif&quot;;"> Nadezhda Ivanova
[mailto:nadezhda.ivanova@postpath.com] <br>
<b>Sent:</b> Monday, September 28, 2009 8:28 AM<br>
<b>To:</b> Bill Wesse<br>
<b>Cc:</b> cifs-protocol@samba.org<br>
<b>Subject:</b> RE: SRX090922600157 : [MS-ADTS] 7.1.1.1 Naming Contexts Domain
Admins Permissions</span></p>

</div>

</div>

<p class="MsoNormal">&nbsp;</p>

<p class="MsoNormal"><span style="font-size: 10pt; font-family: &quot;Arial&quot;,&quot;sans-serif&quot;; color: navy;">Hi Bill,</span></p>

<p class="MsoNormal"><span style="font-size: 10pt; font-family: &quot;Arial&quot;,&quot;sans-serif&quot;; color: navy;">Thanks, I will be able to review this information next week and
will let you know if it is enough.</span></p>

<p class="MsoNormal"><span style="font-size: 10pt; font-family: &quot;Arial&quot;,&quot;sans-serif&quot;; color: navy;">&nbsp;</span></p>

<p class="MsoNormal"><span style="font-size: 10pt; font-family: &quot;Arial&quot;,&quot;sans-serif&quot;; color: navy;">Regards,</span></p>

<p class="MsoNormal"><span style="font-size: 10pt; font-family: &quot;Arial&quot;,&quot;sans-serif&quot;; color: navy;">Nadya</span></p>

<p class="MsoNormal"><span style="font-size: 10pt; font-family: &quot;Arial&quot;,&quot;sans-serif&quot;; color: navy;">&nbsp;</span></p>

<div style="border-style: none none none solid; border-color: -moz-use-text-color -moz-use-text-color -moz-use-text-color blue; border-width: medium medium medium 1.5pt; padding: 0in 0in 0in 4pt;">

<div>

<div class="MsoNormal" style="text-align: center;" align="center"><span style="font-size: 12pt; font-family: &quot;Times New Roman&quot;,&quot;serif&quot;;">

<hr size="2" width="100%" align="center">

</span></div>

<p class="MsoNormal"><b><span style="font-size: 10pt; font-family: &quot;Tahoma&quot;,&quot;sans-serif&quot;;">From:</span></b><span style="font-size: 10pt; font-family: &quot;Tahoma&quot;,&quot;sans-serif&quot;;"> Bill Wesse
[mailto:billwe@microsoft.com] <br>
<b>Sent:</b> Friday, September 25, 2009 9:04 PM<br>
<b>To:</b> Nadezhda Ivanova<br>
<b>Cc:</b> cifs-protocol@samba.org<br>
<b>Subject:</b> RE: SRX090922600157 : [MS-ADTS] 7.1.1.1 Naming Contexts Domain Admins
Permissions</span><span style="font-size: 12pt; font-family: &quot;Times New Roman&quot;,&quot;serif&quot;;"></span></p>

</div>

<p class="MsoNormal">&nbsp;</p>

<p class="MsoNormal"><span style="color: rgb(31, 73, 125);">Good afternoon Nadya!</span></p>

<p class="MsoNormal"><span style="color: rgb(31, 73, 125);">&nbsp;</span></p>

<p class="MsoNormal"><span style="color: rgb(31, 73, 125);">I have provided below a set of
links for information that pertains to Active Directory permissions. There does
not appear to be a specific guide for what the default permissions on a given
Active Directory object, other than the Schema documents available at the
following link. Please let me know if you have any specific questions
concerning these that I have not already answered.</span></p>

<p class="MsoNormal"><span style="color: rgb(31, 73, 125);">&nbsp;</span></p>

<p class="MsoNormal"><span style="color: rgb(31, 73, 125);">If you have no further
questions, I will consider your question resolved.</span></p>

<p class="MsoNormal"><span style="color: rgb(31, 73, 125);">&nbsp;</span></p>

<p class="MsoNormal"><span style="color: rgb(31, 73, 125);">Using the Windows Server
Protocols documentation set to better understand the Active Directory Schema</span></p>

<p class="MsoNormal"><span style="color: rgb(31, 73, 125);"><a href="http://blogs.msdn.com/openspecification/archive/2009/06/26/using-the-windows-server-protocols-documentation-set-to-better-understand-the-active-directory-schema.aspx" target="_blank">http://blogs.msdn.com/openspecification/archive/2009/06/26/using-the-windows-server-protocols-documentation-set-to-better-understand-the-active-directory-schema.aspx</a></span></p>

<p class="MsoNormal"><span style="color: rgb(31, 73, 125);">&nbsp;</span></p>

<p class="MsoNormal"><span style="color: rgb(31, 73, 125);">For example, there are 232
defaultSecurityDescriptor (SDDL formatted) attributes in
MS-AD_Schema_2K8_R2_Consolidated.txt (which is in the Schemas.zip attachment to
the blog entry).</span></p>

<p class="MsoNormal"><span style="color: rgb(31, 73, 125);">&nbsp;</span></p>

<p class="MsoNormal"><span style="color: rgb(31, 73, 125);">Understanding security
descriptor defaulting rules for Active Directory objects</span></p>

<p class="MsoNormal"><span style="color: rgb(31, 73, 125);"><a href="http://blogs.msdn.com/openspecification/archive/2009/08/28/understanding-security-descriptor-defaulting-rules-for-active-directory-objects.aspx" target="_blank">http://blogs.msdn.com/openspecification/archive/2009/08/28/understanding-security-descriptor-defaulting-rules-for-active-directory-objects.aspx</a></span></p>

<p class="MsoNormal"><span style="color: rgb(31, 73, 125);">&nbsp;</span></p>

<p class="MsoNormal"><span style="color: rgb(31, 73, 125);">Active Directory Technical
Specification Control Access Rights Concordance</span></p>

<p class="MsoNormal"><span style="color: rgb(31, 73, 125);"><a href="http://blogs.msdn.com/openspecification/archive/2009/08/19/active-directory-technical-specification-control-access-rights-concordance.aspx" target="_blank">http://blogs.msdn.com/openspecification/archive/2009/08/19/active-directory-technical-specification-control-access-rights-concordance.aspx</a></span></p>

<p class="MsoNormal"><span style="color: rgb(31, 73, 125);">&nbsp;</span></p>

<p class="MsoNormal"><span style="color: rgb(31, 73, 125);">How to Use Dsacls.exe in Windows
Server 2003 and Windows 2000</span></p>

<p class="MsoNormal"><span style="color: rgb(31, 73, 125);"><a href="http://support.microsoft.com/default.aspx/kb/281146" target="_blank">http://support.microsoft.com/default.aspx/kb/281146</a></span></p>

<p class="MsoNormal"><span style="color: rgb(31, 73, 125);">&nbsp;</span></p>

<div>

<p class="MsoNormal"><b><span style="font-size: 10pt; font-family: &quot;Arial&quot;,&quot;sans-serif&quot;; color: black;">Regards,</span></b><span style="color: navy;"><br>
</span><b><span style="font-size: 10pt; font-family: &quot;Arial&quot;,&quot;sans-serif&quot;; color: black;">Bill Wesse</span></b><span style="color: navy;"><br>
</span><span style="font-size: 10pt; font-family: &quot;Arial&quot;,&quot;sans-serif&quot;; color: black;">MCSE, MCTS / Senior Escalation Engineer, US-CSS&nbsp;DSC PROTOCOL
TEAM</span><span style="color: navy;"><br>
</span><span style="font-size: 10pt; font-family: &quot;Arial&quot;,&quot;sans-serif&quot;; color: black;">8055 Microsoft Way</span><span style="color: navy;"><br>
</span><span style="font-size: 10pt; font-family: &quot;Arial&quot;,&quot;sans-serif&quot;; color: black;">Charlotte, NC 28273</span><span style="color: navy;"><br>
</span><span style="font-size: 10pt; font-family: &quot;Courier New&quot;; color: black;">TEL:
&nbsp;+1(980) 776-8200</span></p>

<p class="MsoNormal"><span style="font-size: 10pt; font-family: &quot;Courier New&quot;; color: black;">CELL:&nbsp;+1(704) 661-5438</span><span style="font-family: &quot;Courier New&quot;; color: navy;"><br>
</span><span style="font-size: 10pt; font-family: &quot;Courier New&quot;; color: black;">FAX:&nbsp;
+1(704) 665-9606</span></p>

</div>

<p class="MsoNormal"><span style="color: rgb(31, 73, 125);">&nbsp;</span></p>

<div>

<div style="border-style: solid none none; border-color: rgb(181, 196, 223) -moz-use-text-color -moz-use-text-color; border-width: 1pt medium medium; padding: 3pt 0in 0in;">

<p class="MsoNormal"><b><span style="font-size: 10pt; font-family: &quot;Tahoma&quot;,&quot;sans-serif&quot;;">From:</span></b><span style="font-size: 10pt; font-family: &quot;Tahoma&quot;,&quot;sans-serif&quot;;"> Bill Wesse <br>
<b>Sent:</b> Tuesday, September 22, 2009 12:48 PM<br>
<b>To:</b> 'nadezhda.ivanova@postpath.com'<br>
<b>Cc:</b> 'cifs-protocol@samba.org'<br>
<b>Subject:</b> SRX090922600157 : [MS-ADTS] 7.1.1.1 Naming Contexts Domain
Admins Permissions</span></p>

</div>

</div>

<p class="MsoNormal">&nbsp;</p>

<p class="MsoNormal">Good day Nadya (please let me know if I am using your name
correctly)!</p>

<p class="MsoNormal">&nbsp;</p>

<p class="MsoNormal">I have created case SRX090922600157, in order to track our
work concerning your questions (shown below). Hopefully, we have not missed
anything you are enquiring after.</p>

<p class="MsoNormal">&nbsp;</p>

<p class="MsoNormal">1. Why are the domain admins also provided full permissions
if not needed for replication?</p>

<p class="MsoNormal">2. Is this for the administrative purposes only?&nbsp; </p>

<p class="MsoNormal">&nbsp;</p>

<p class="MsoNormal">7.1.1.1.2 Config NC Root</p>

<p class="MsoNormal">7.1.1.1.3 Schema NC Root</p>

<p class="MsoNormal">7.1.1.1.4 Domain NC Root</p>

<p class="MsoNormal">In order for D2 to replicate the NC, D2 must be granted the
following rights on the NC root...</p>

<p class="MsoNormal">&nbsp;</p>

<p class="MsoNormal">&nbsp;</p>

<p class="MsoNormal"><b><span style="font-size: 10pt; font-family: &quot;Arial&quot;,&quot;sans-serif&quot;; color: black;">Regards,</span></b><span style="color: navy;"><br>
</span><b><span style="font-size: 10pt; font-family: &quot;Arial&quot;,&quot;sans-serif&quot;; color: black;">Bill Wesse</span></b><span style="color: navy;"><br>
</span><span style="font-size: 10pt; font-family: &quot;Arial&quot;,&quot;sans-serif&quot;; color: black;">MCSE, MCTS / Senior Escalation Engineer, US-CSS&nbsp;DSC PROTOCOL
TEAM</span><span style="color: navy;"><br>
</span><span style="font-size: 10pt; font-family: &quot;Arial&quot;,&quot;sans-serif&quot;; color: black;">8055 Microsoft Way</span><span style="color: navy;"><br>
</span><span style="font-size: 10pt; font-family: &quot;Arial&quot;,&quot;sans-serif&quot;; color: black;">Charlotte, NC 28273</span><span style="color: navy;"><br>
</span><span style="font-size: 10pt; font-family: &quot;Courier New&quot;; color: black;">TEL:
&nbsp;+1(980) 776-8200</span></p>

<p class="MsoNormal"><span style="font-size: 10pt; font-family: &quot;Courier New&quot;; color: black;">CELL:&nbsp;+1(704) 661-5438</span><span style="font-family: &quot;Courier New&quot;; color: navy;"><br>
</span><span style="font-size: 10pt; font-family: &quot;Courier New&quot;; color: black;">FAX:&nbsp;
+1(704) 665-9606</span></p>

<p class="MsoNormal">&nbsp;</p>

</div>

</div>

</div></body></html>