Omówienie ustawień zabezpieczeń „Personifikuj klienta po uwierzytelnieniu” i „Tworzenie obiektów globalnych” (821546.KB.PL.2.2)

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 821546 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Streszczenie

W tym artykule omówiono prawa użytkownika „Personifikuj klienta po uwierzytelnieniu” i „Tworzenie obiektów globalnych”. Nowe ustawienia zabezpieczeń zostały po raz pierwszy wprowadzone w dodatku Service Pack 4 dla systemu Windows 2000 i są przydatne do uszczelniania zabezpieczeń systemu Windows 2000. Ten artykuł zawiera opis nowych ustawień zabezpieczeń oraz informacje o znanych problemach, jakie mogą wystąpić, i sposobie ich rozwiązywania.

Ważne: Jeśli prawa użytkownika „Personifikuj klienta po uwierzytelnieniu” i „Tworzenie obiektów globalnych” mają być zastosowane przy użyciu domyślnych zasad domeny lub zasad grupy, należy wziąć pod uwagę następujące elementy:
  • Prawa użytkownika „Personifikuj klienta po uwierzytelnieniu” i „Tworzenie obiektów globalnych” odnoszą się tylko do komputerów, na których jest uruchomiony system Windows 2000 z dodatkiem SP4 lub nowszym.
  • Ustawienia zabezpieczeń „Personifikuj klienta po uwierzytelnieniu” i „Tworzenie obiektów globalnych” można zastosować na komputerach przy użyciu domyślnych zasad domeny lub zasad grupy, jeśli na tych komputerach jest uruchomiony system Windows 2000 z dodatkiem Service Pack 2 (SP2) lub nowszym. Należy zauważyć, że jeśli nawet można wdrożyć ustawienia zabezpieczeń w środowisku zawierającym komputery z systemem Windows 2000 z dodatkiem SP2 lub Service Pack 3 (SP3), to te ustawienia będą dotyczyć tylko komputerów z systemem Windows 2000 z dodatkiem SP4. Ustawienia nie są stosowane do komputerów, na których jest uruchomiony system Windows 2000 z dodatkiem SP2 lub SP3.
  • Nie należy używać domyślnych zasad domeny ani innych zasad grupy do stosowania tych nowych praw użytkownika na komputerach z systemem Windows 2000 lub Windows 2000 z dodatkiem Service Pack 1 (SP1). Użycie domyślnych zasad domeny lub innych zasad grupy do zastosowania tych praw użytkownika na komputerach z systemem Windows 2000 lub Windows 2000 z dodatkiem Service Pack 1 (SP1) spowoduje, że nie powiedzie się propagacja ustawień zabezpieczeń tych zasad. Oznacza to, że zasady nie będą propagowane na komputery z systemem Windows 2000 lub Windows 2000 z dodatkiem SP1, a prawa użytkowników nie będą wyświetlane w przystawce Ustawienia zabezpieczeń lokalnych. Następujące sytuacje mogą zaistnieć, jeśli domyślne zasady domeny lub inne zasady grupy zostaną użyte do zastosowania tych nowych praw użytkownika na komputerach z systemem Windows 2000 lub Windows 2000 z dodatkiem Service Pack 1 (SP1):
    • Dodatkowe ustawienia zasad zabezpieczeń zlokalizowane w tym samym obiekcie zasad grupy co w urządzeniach docelowego systemu operacyjnego Windows 2000 lub Windows 2000 z dodatkiem Service Pack 1 (SP1) nie są propagowane na docelowe urządzenia.
    • Dodatkowe ustawienia zasad zabezpieczeń zastosowane przy użyciu innych zasad grupy w ścieżce SDOU (Site, Domain, Organizational Unit — lokacja, domena, jednostka organizacyjna) do urządzeń systemu Windows 2000 lub Windows 2000 z dodatkiem Service Pack 1 (SP1) będą propagowane.
    • Jeśli te nowe ustawienia zabezpieczeń są adresowane do urządzeń systemu Windows 2000 lub Windows 2000 z dodatkiem Service Pack 1 (SP1), lokalna przystawka zabezpieczeń MMC dla tych urządzeń nie może poprawnie wyświetlać ustawień zabezpieczeń. Jednak wszystkie ustawienia zabezpieczeń stosowane do urządzeń docelowych z innych obiektów zasad grupy po stronie domeny (niezawierających nowych ustawień) będą stosowane do tych urządzeń docelowych.
  • Ustawienia zabezpieczeń „Personifikuj klienta po uwierzytelnieniu” i „Tworzenie obiektów globalnych” mogą być także zastosowane na kontrolerze domeny przy użyciu zasad zabezpieczeń domyślnego kontrolera domeny, jeśli jest na nim uruchomiony system Windows 2000 z dodatkiem SP2 lub nowszym. Należy przy tym pamiętać, że o ile można wdrożyć ustawienia zabezpieczeń w środowisku zawierającym kontrolery domen z systemem Windows 2000 z dodatkiem SP2 lub SP3, to ustawienia będą dotyczyć tylko kontrolerów domen z systemem Windows 2000 z dodatkiem SP4. Ustawienia nie dotyczą kontrolerów domen, na których jest uruchomiony system Windows 2000 z dodatkiem SP2 lub SP3.

Prawo użytkownika „Personifikuj klienta po uwierzytelnieniu” (SeImpersonatePrivilege)

Prawo użytkownika „Personifikuj klienta po uwierzytelnieniu” (SeImpersonatePrivilege) to ustawienie zabezpieczeń systemu Windows 2000 po raz pierwszy wprowadzone w dodatku SP4 dla systemu Windows 2000. Domyślnie prawo użytkownika „Personifikuj klienta po uwierzytelnieniu” jest przypisywane lokalnej grupie Administratorzy urządzenia oraz lokalnemu kontu usługi urządzenia. To prawo użytkownika mają również następujące składniki:
  • Usługi, które są uruchamiane przez Menedżera sterowania usługami
  • Serwery modelu COM (Component Object Model), które są uruchamiane przez infrastrukturę COM i tak skonfigurowane, aby działać pod określonym kontem
Przydzielając użytkownikowi prawo użytkownika „Personifikuj klienta po uwierzytelnieniu”, zezwala się programom działającym w jego imieniu na personifikowanie klienta. To ustawienie zabezpieczeń uniemożliwia nieautoryzowanym serwerom personifikowanie klientów, z którymi łączą się za pomocą takich metod, jak zdalne wywoływanie procedur (RPC) lub nazwane potoki. Aby uzyskać więcej informacji na temat funkcji SeImpersonatePrivilege, odwiedź następującą witrynę firmy Microsoft w sieci Web:
http://msdn2.microsoft.com/en-us/library/aa375728.aspx
Aby uzyskać więcej informacji na temat funkcji personifikacji (takich jak ImpersonateClient, ImpersonateLoggedOnUser czy ImpersonateNamedPipeClient), wyszukaj słowo SeImpersonatePrivilege w dokumentacji zestawu Microsoft Platform SDK. Aby wyświetlić tę dokumentację, odwiedź następującą witrynę firmy Microsoft w sieci Web:
http://msdn2.microsoft.com/en-us/library/aa375728.aspx

Rozwiązywanie problemów

  • Niektóre programy korzystające z personifikacji mogą nie działać poprawnie po zainstalowaniu dodatku SP4 dla systemu Windows 2000

    Po zainstalowaniu na komputerze dodatku Service Pack 4 (SP4) dla systemu Windows 2000 niektóre programy korzystające z personifikacji mogą nie działać poprawnie.

    Ten problem może wystąpić, jeśli konto użytkownika używane do uruchomienia programu nie ma prawa użytkownika „Personifikuj klienta po uwierzytelnieniu”.

    Na komputerach z systemem Windows 2000 z dodatkiem SP3 lub starszym prawo użytkownika nie jest wymagane do personifikacji klienta. W związku z tym niektóre programy korzystające z tej funkcji mogą nie działać poprawnie po zainstalowaniu dodatku SP4 dla systemu Windows 2000.

    Aby rozwiązać ten problem, należy zidentyfikować konto użytkownika używane do uruchamiania programu, a następnie przydzielić mu prawo użytkownika „Personifikuj klienta po uwierzytelnieniu”. Aby to zrobić, wykonaj następujące kroki:
    1. Kliknij przycisk Start, wskaż polecenie Programy, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Zasady zabezpieczeń lokalnych.
    2. Rozwiń węzeł Zasady lokalne, a następnie kliknij węzeł Przypisywanie praw użytkownika.
    3. W prawym okienku kliknij dwukrotnie pozycję Personifikuj klienta po uwierzytelnieniu.
    4. W oknie dialogowym Ustawianie zasad zabezpieczeń lokalnych kliknij przycisk Dodaj.
    5. W oknie dialogowym Wybieranie: Użytkownicy lub Grupy kliknij konto użytkownika, które chcesz dodać, kliknij przycisk Dodaj, a następnie kliknij przycisk OK.
    6. Kliknij przycisk OK.
    Uwaga: Aby rozwiązać ten problem, gdy nie można określić konta użytkownika stosowanego do uruchamiania programu lub trzeba zweryfikować, czy przyczyną występujących symptomów jest prawo użytkownika, należy przypisać prawo użytkownika „Personifikuj klienta po uwierzytelnieniu” do grupy Wszyscy, a następnie uruchomić program. Jeśli program działa poprawnie, przyczyną występowania problemu może być nowe ustawienie zabezpieczeń.
  • Komunikat o błędzie „Error While Trying to Run Project” podczas debugowania aplikacji sieci Web w programie Visual Studio .NET

    Aby uzyskać dodatkowe informacje dotyczące rozwiązania tego problemu, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    821255 "Error While Trying to Run Project" Error Message When You Debug a Web Application in Visual Studio .NET

Prawo użytkownika „Utwórz obiekty globalne” (SeCreateGlobalPrivilege)

Prawo użytkownika „Utwórz obiekty globalne” (SeCreateGlobalPrivilege) to ustawienie zabezpieczeń systemu Windows 2000 po raz pierwszy wprowadzone w dodatku SP4 dla systemu Windows 2000. Konto użytkownika musi mieć to prawo, aby tworzyć obiekty globalne w sesji usług terminalowych. Prawo to nie jest jednak wymagane, aby użytkownicy mogli tworzyć obiekty dla danej sesji. Domyślnie prawo użytkownika „Tworzenie obiektów globalnych” jest przypisywane do grupy Administratorzy, konta System i usług uruchamianych przez Menedżera sterowania usługami.

Rozwiązywanie problemów

  • Niektóre programy mogą nie działać poprawnie po zainstalowaniu dodatku SP4 dla systemu Windows 2000

    Po zainstalowaniu na komputerze dodatku Service Pack 4 (SP4) dla systemu Windows 2000 niektóre programy mogą nie działać poprawnie. Ten problem może wystąpić, jeśli konto używane do uruchamiania programu nie ma prawa użytkownika „Tworzenie obiektów globalnych”.

    Aby rozwiązać ten problem, należy zidentyfikować konto użytkownika stosowane do uruchamiania programu, a następnie przypisać do niego prawo użytkownika „Tworzenie obiektów globalnych”. Aby to zrobić, wykonaj następujące kroki:
    1. Kliknij przycisk Start, wskaż polecenie Programy, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Zasady zabezpieczeń lokalnych.
    2. Rozwiń węzeł Zasady lokalne, a następnie kliknij węzeł Przypisywanie praw użytkownika.
    3. W prawym okienku kliknij dwukrotnie pozycję Tworzenie obiektów globalnych.
    4. W oknie dialogowym Ustawianie zasad zabezpieczeń lokalnych kliknij przycisk Dodaj.
    5. W oknie dialogowym Wybieranie: Użytkownicy lub Grupy kliknij konto użytkownika, które chcesz dodać, kliknij przycisk Dodaj, a następnie kliknij przycisk OK.
    6. Kliknij przycisk OK.
    Uwaga: Aby rozwiązać ten problem, gdy nie można określić konta użytkownika stosowanego do uruchamiania programu lub trzeba zweryfikować, czy przyczyną występujących symptomów jest prawo użytkownika, należy przypisać prawo użytkownika „Tworzenie obiektów globalnych” do grupy Wszyscy, a następnie uruchomić program. Jeśli program działa poprawnie, przyczyną występowania problemu może być nowe ustawienie zabezpieczeń.
  • Komunikat o błędzie „Za mało pamięci” podczas wyszukiwania klipów w dokumencie pakietu Office XP w sesji usług terminalowych

    Aby uzyskać dodatkowe informacje dotyczące tego zagadnienia, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    821257 "Not Enough Memory" Error Message When You Search for Clips in an Office XP Document in a Terminal Services Session
  • Po zainstalowaniu programu McAfee Parental Control ponowne uruchomienie komputera z systemem Windows 2000 powoduje, że przestaje on odpowiadać (zawiesza się)

    Aby uzyskać dodatkowe informacje dotyczące tego problemu, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    823043 Windows 2000 Server-Based Computer Stops Responding When You Restart After You Install McAfee Parental Controls

Materiały referencyjne

Aby uzyskać dodatkowe informacje, jak otrzymać najnowszy dodatek Service Pack dla systemu Windows 2000, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
260910 Jak uzyskać najnowszy dodatek Service Pack dla systemu Windows 2000

Właściwości

Numer ID artykułu: 821546 - Ostatnia weryfikacja: 30 marca 2007 - Weryfikacja: 7.0
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Service Pack 4
Słowa kluczowe: 
kbfix kbbug KB821546

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com