Omówienie personifikacji klienta po uwierzytelnieniu i ustawienia zabezpieczeń tworzenia obiektów globalnych

  • Artykuł

W tym artykule omówiono personifikowanie klienta po uwierzytelnieniu i tworzenie globalnych praw użytkownika obiektów .

Dotyczy: Windows Server 2012 R2
Oryginalny numer KB: 821546

Podsumowanie

W tym artykule omówiono prawa użytkownika "Personifikuj klienta po uwierzytelnieniu" i "Tworzenie obiektów globalnych". Te nowe ustawienia zabezpieczeń zostały po raz pierwszy wprowadzone w systemie Windows 2000 z dodatkiem Service Pack 4 (SP4) i pomagają zwiększyć bezpieczeństwo w systemie Windows 2000. W tym artykule opisano nowe ustawienia zabezpieczeń, a także zawarto informacje o niektórych znanych problemach, które mogą wystąpić, i sposobie ich rozwiązywania.

Ważna

Podczas stosowania praw użytkownika "Personifikuj klienta po uwierzytelnieniu" i "Tworzenie obiektów globalnych" należy wziąć pod uwagę następujące problemy przy użyciu domyślnych zasad domeny lub zasady grupy:

  • Prawa użytkownika "Personifikuj klienta po uwierzytelnieniu" i "Utwórz obiekty globalne" mają zastosowanie tylko do komputerów z systemem Windows 2000 z dodatkiem SP4 lub nowszym.

  • Domyślne zasady domeny lub zasady grupy można użyć do zastosowania ustawień zabezpieczeń "Personifikuj klienta po uwierzytelnieniu" i "Utwórz obiekty globalne" na komputerach w środowisku, jeśli na komputerach działa system Windows 2000 z dodatkiem Service Pack 2 (SP2) lub nowszym. Należy pamiętać, że chociaż można wdrożyć ustawienia zabezpieczeń w środowisku zawierającym komputery z systemem Windows 2000 z dodatkiem SP2 i Windows 2000 z dodatkiem Service Pack 3 (SP3), ustawienia zabezpieczeń dotyczą tylko komputerów z systemem Windows 2000 z dodatkiem SP4. Ustawienia nie mają zastosowania do komputerów z systemem Windows 2000 z dodatkiem SP2 lub Windows 2000 z dodatkiem SP3.

  • Nie używaj domyślnych zasad domeny ani innego zasady grupy, aby zastosować jedno lub drugie z tych nowych praw użytkownika do komputerów z systemem Windows 2000 lub Windows 2000 z dodatkiem Service Pack 1 (SP1). Należy pamiętać, że jeśli używasz domyślnych zasad domeny lub innego zasady grupy, aby zastosować te prawa użytkownika do komputerów z systemem Windows 2000 lub Windows 2000 z dodatkiem Service Pack 1 (SP1), propagacja ustawień zabezpieczeń zasad kończy się niepowodzeniem. Oznacza to, że zasady nie są propagowane do komputerów z systemem Windows 2000 lub Windows 2000 z dodatkiem SP1, a prawa użytkownika nie są wyświetlane w przystawce Ustawienia zabezpieczeń lokalnych. Następujące scenariusze mogą wystąpić, jeśli użyjesz domyślnych zasad domeny lub innego zasady grupy do zastosowania obu tych nowych praw użytkownika do komputerów z systemem Windows 2000 lub Windows 2000 z dodatkiem Service Pack 1 (SP1):

    • Dodatkowe ustawienia zasad zabezpieczeń znajdujące się w tym samym obiekcie zasady grupy i docelowe urządzenia z systemem Windows 2000 lub Windows 2000 z dodatkiem Service Pack 1 (SP1) nie są propagowane do urządzeń docelowych.

    • Dodatkowe ustawienia zasad zabezpieczeń, które są stosowane przy użyciu innych zasad grupy wzdłuż ścieżki SDOU (lokacja, domena, jednostka organizacyjna) do urządzeń z systemem Windows 2000 lub Windows 2000 z dodatkiem Service Pack 1 (SP1), które będą propagowane.

    • Jeśli jedno lub oba te nowe ustawienia zabezpieczeń są przeznaczone dla urządzeń z systemem Windows 2000 lub Windows 2000 z dodatkiem Service Pack 1 (SP1), lokalna przystawka zabezpieczeń MMC na tych urządzeniach nie może poprawnie wyświetlić żadnych ustawień zabezpieczeń. Jednak wszystkie ustawienia zabezpieczeń stosowane do urządzeń docelowych z innych obiektów zasady grupy po stronie domeny (które nie zawierają nowych ustawień) będą nadal stosowane do tych urządzeń docelowych.

  • Podobnie można użyć domyślnych zasad zabezpieczeń kontrolera domeny, aby zastosować ustawienia zabezpieczeń "Personifikuj klienta po uwierzytelnieniu" i "Utwórz obiekty globalne" do kontrolerów domeny w środowisku, jeśli na kontrolerach domeny działa system Windows 2000 z dodatkiem SP2 lub nowszym. Należy pamiętać, że chociaż można wdrożyć ustawienia zabezpieczeń w środowisku zawierającym kontrolery domeny z systemem Windows 2000 z dodatkiem SP2 i Windows 2000 z dodatkiem SP3, ustawienia zabezpieczeń mają zastosowanie tylko do kontrolerów domeny opartych na systemie Windows 2000 SP4. Ustawienia nie mają zastosowania do kontrolerów domeny z systemem Windows 2000 SP2 lub Windows 2000 SP3.

Problem 1: prawo użytkownika "Personifikuj klienta po uwierzytelnieniu" (SeImpersonatePrivilege)

Prawo użytkownika "Personifikuj klienta po uwierzytelnieniu" (SeImpersonatePrivilege) to ustawienie zabezpieczeń systemu Windows 2000 wprowadzone po raz pierwszy w systemie Windows 2000 SP4. Domyślnie członkowie lokalnej grupy Administratorzy urządzenia i lokalnego konta usługi urządzenia mają przypisane prawo użytkownika "Personifikuj klienta po uwierzytelnieniu". Następujące składniki mają również to prawo użytkownika:

  • Usługi uruchamiane przez menedżera kontroli usług
  • Serwery modelu obiektów składników (COM), które są uruchamiane przez infrastrukturę COM i które są skonfigurowane do uruchamiania w ramach określonego konta

Po przypisaniu użytkownikowi prawa użytkownika "Personifikuj klienta po uwierzytelnieniu" zezwalasz programom uruchamianym w imieniu tego użytkownika na personifikowanie klienta. To ustawienie zabezpieczeń pomaga zapobiegać personifikowaniu klientów przez nieautoryzowane serwery, którzy łączą się z nim za pośrednictwem metod, takich jak zdalne wywołania procedur (RPC) lub nazwane potoki. Aby uzyskać więcej informacji na temat funkcji SeImpersonatePrivilege, odwiedź następującą witrynę internetową firmy Microsoft:
Personifikowanie klienta po uwierzytelnieniu

Aby uzyskać więcej informacji na temat funkcji personifikacji (takich jak ImpersonateClient, ImpersonateLoggedOnUser i ImpersonateNamedPipeClient), wyszukaj pozycję SeImpersonatePrivilege w dokumentacji zestawu SDK platformy Microsoft. Aby wyświetlić tę dokumentację, odwiedź następującą witrynę sieci Web firmy Microsoft:
Personifikowanie klienta po uwierzytelnieniu

Rozwiązywanie problemów z problemem 1

  • Niektóre programy używające personifikacji mogą nie działać poprawnie po zainstalowaniu systemu Windows 2000 z dodatkiem SP4.

    Po zainstalowaniu systemu Windows 2000 z dodatkiem Service Pack 4 (SP4) na komputerze niektóre programy używające personifikacji mogą nie działać poprawnie.

    Ten problem może wystąpić w sytuacjach, gdy konto użytkownika używane do uruchamiania programu nie ma prawa użytkownika "Personifikuj klienta po uwierzytelnieniu".

    Na komputerach z systemem Windows 2000 z dodatkiem Service Pack 3 (SP3) i starszym prawo użytkownika nie jest wymagane do personifikacji klienta. W związku z tym niektóre programy używające personifikacji mogą nie działać poprawnie po zainstalowaniu systemu Windows 2000 z dodatkiem SP4.

    Aby rozwiązać ten problem, zidentyfikuj konto użytkownika używane do uruchomienia programu, a następnie przypisz do tego konta użytkownika prawo użytkownika "Personifikuj klienta po uwierzytelnieniu". Aby to zrobić, wykonaj następujące kroki.

    1. Kliknij przycisk Start, wskaż pozycję Programy, wskaż pozycję Narzędzia administracyjne, a następnie kliknij pozycję Zasady zabezpieczeń lokalnych.
    2. Rozwiń węzeł Zasady lokalne, a następnie kliknij pozycję Przypisanie praw użytkownika.
    3. W okienku po prawej stronie kliknij dwukrotnie pozycję Personifikuj klienta po uwierzytelnieniu.
    4. W oknie dialogowym Ustawienie zasad zabezpieczeń lokalnych kliknij przycisk Dodaj.
    5. W oknie dialogowym Wybieranie użytkowników lub grupy kliknij konto użytkownika, które chcesz dodać, kliknij przycisk Dodaj, a następnie kliknij przycisk OK.
    6. Kliknij przycisk OK.

    Uwaga

    Aby rozwiązać problemy z sytuacjami, w których nie można określić konta użytkownika używanego do uruchamiania programu i gdzie chcesz sprawdzić, czy występujące objawy są spowodowane przez prawo użytkownika, przypisz prawo użytkownika "Personifikuj klienta po uwierzytelnieniu" do grupy Wszyscy, a następnie uruchom program. Jeśli program działa poprawnie, problem, którego dotyczy problem, może być spowodowany przez nowe ustawienie zabezpieczeń.

  • Podczas debugowania aplikacji internetowej w programie Visual Studio .NET jest wyświetlany komunikat o błędzie "Błąd podczas próby uruchomienia projektu".

Problem 2: prawo użytkownika "Tworzenie obiektów globalnych" (SeCreateGlobalPrivilege)

Prawo użytkownika "Tworzenie obiektów globalnych" (SeCreateGlobalPrivilege) to ustawienie zabezpieczeń systemu Windows 2000 wprowadzone po raz pierwszy w systemie Windows 2000 z dodatkiem SP4. Aby konto użytkownika utworzyło globalne mapowanie plików i symboliczne obiekty linku, wymagane jest prawo użytkownika. Należy pamiętać, że użytkownicy nadal mogą tworzyć obiekty specyficzne dla sesji bez przypisywania tego prawa użytkownika. Domyślnie członkowie grupy Administratorzy, konta systemowego i usług uruchamianych przez Menedżera kontroli usługi mają przypisane prawo użytkownika "Utwórz obiekty globalne".

Rozwiązywanie problemu 2

  • Niektóre programy mogą nie działać poprawnie po zainstalowaniu systemu Windows 2000 z dodatkiem SP4.

    Po zainstalowaniu systemu Windows 2000 z dodatkiem Service Pack 4 (SP4) na komputerze niektóre programy mogą nie działać poprawnie. Ten problem może wystąpić w sytuacjach, gdy konto użytkownika używane do uruchamiania programu nie ma prawa użytkownika "Utwórz obiekty globalne".

    Aby rozwiązać ten problem, zidentyfikuj konto użytkownika używane do uruchomienia programu, a następnie przypisz do tego konta użytkownika prawo użytkownika "Utwórz obiekty globalne". Aby to zrobić, wykonaj następujące kroki.

    1. Kliknij przycisk Start, wskaż pozycję Programy, wskaż pozycję Narzędzia administracyjne, a następnie kliknij pozycję Zasady zabezpieczeń lokalnych.
    2. Rozwiń węzeł Zasady lokalne, a następnie kliknij pozycję Przypisanie praw użytkownika.
    3. W okienku po prawej stronie kliknij dwukrotnie pozycję Utwórz obiekty globalne.
    4. W oknie dialogowym Ustawienie zasad zabezpieczeń lokalnych kliknij przycisk Dodaj.
    5. W oknie dialogowym Wybieranie użytkowników lub grupy kliknij konto użytkownika, które chcesz dodać, kliknij przycisk Dodaj, a następnie kliknij przycisk OK.
    6. Kliknij przycisk OK.

    Uwaga

    Aby rozwiązać problemy z sytuacjami, w których nie można określić konta użytkownika, które jest używane do uruchamiania programu, i gdzie chcesz sprawdzić, czy objawy, których doświadczasz, są spowodowane przez prawo użytkownika, przypisz prawo użytkownika "Utwórz obiekty globalne" do grupy Wszyscy, a następnie uruchom program. Jeśli program działa poprawnie, problem, którego dotyczy problem, może być spowodowany przez nowe ustawienie zabezpieczeń.

  • Podczas wyszukiwania klipów w dokumencie pakietu Office XP w sesji usług terminalowych jest wyświetlany komunikat o błędzie "Za mało pamięci".

  • Komputer przestaje odpowiadać (zawiesza się) po ponownym uruchomieniu komputera z systemem Windows 2000 Server po zainstalowaniu kontroli rodzicielskiej McAfee.