Vis�o geral das configura��es de seguran�a "Representar um cliente ap�s autentica��o" e "Criar objetos globais" (821546.KB.PT-BR.2.2)

ID do artigo: 821546 - Exibir os produtos aos quais esse artigo se aplica.

Este artigo descreve os direitos do usu�rio "Representar um cliente ap�s autentica��o" e "Criar objetos globais". Essas novas configura��es de seguran�a foram apresentadas pela primeira vez no Windows 2000 Service Pack 4 (SP4) e ajudam a aumentar a seguran�a no Windows 2000. Este artigo descreve as novas configura��es de seguran�a e tamb�m cont�m informa��es sobre alguns problemas conhecidos que podem ocorrer e sobre como solucion�-los.

Importante Considere os seguintes problemas ao aplicar os direitos do usu�rio "Representar um cliente ap�s autentica��o" e "Criar objetos globais" usando a Diretiva de dom�nio padr�o ou a Diretiva de grupo:

Os direitos de usu�rio "Representar um cliente ap�s autentica��o" e "Criar objetos globais" se aplicam somente a computadores que estiverem executando o Windows 2000 SP4 ou posterior.
� poss�vel usar a Diretiva de dom�nio padr�o ou a Diretiva de grupo para aplicar as configura��es de seguran�a "Representar um cliente ap�s autentica��o" e "Criar objetos globais" a computadores do seu ambiente se os computadores estiverem executando o Windows 2000 Service Pack 2 (SP2) ou posteriores. Observe que embora seja poss�vel implantar as configura��es de seguran�a em um ambiente que contenha computadores com Windows 2000 SP2 e Windows 2000 Service Pack 3 (SP3), as configura��es de seguran�a somente se aplicam a computadores com Windows 2000 SP4. As configura��es n�o se aplicam a computadores que estiverem executando o Windows 2000 SP2 ou o Windows 2000 SP3.
N�o use a Diretiva de dom�nio padr�o ou uma outra Diretiva de grupo para aplicar um ou mais desses novos direitos do usu�rio a computadores que estiverem executando o Windows 2000 ou o Windows 2000 Service Pack 1 (SP1). Oberve que se voc� usar a Diretiva de dom�nio padr�o ou uma Diretiva de grupo diferente para aplicar esses direitos do usu�rio a computadores que estiverem executando o Windows 2000 ou o Windows 2000 Service Pack 1 (SP1), a propaga��o das configura��es de seguran�a da diretiva ir�o falhar. Ou seja, a diretiva n�o ser� propagada aos computadores com Windows 2000 ou Windows 2000 SP1 e os direitos dos usu�rios n�o ser�o exibidos no snap-in de configura��es locais de seguran�a. As situa��es a seguir podem ocorrer se voc� usar a Diretiva de dom�nio padr�o ou outra Diretiva de grupo para aplicar um ou os dois direitos do usu�rio a computadores que estiverem executando o Windows 2000 ou Windows 2000 Service Pack 1 (SP1):
- Configura��es da diretiva de seguran�a adicionais localizadas no mesmo objeto de diretiva de grupo e que se destinam aos dispositivos com Windows 2000 ou Windows 2000 Service Pack 1 (SP1) n�o s�o propagadas aos dispositivos de destino.
- Configura��es da diretiva de seguran�a adicionais que s�o aplicadas usando outras Diretivas de grupo durante o caminho SDOU (Site, Dom�nio, Unidade organizacional) para os dispositivos com Windows 2000 ou Windows 2000 Service Pack 1 (SP1) � que ser�o propagadas.
- Se uma ou ambas as novas configura��es de seguran�a tiverem como destino os dispositivos do Windows 2000 ou do Windows 2000 Service Pack 1 (SP1), o snap-in do MMC de seguran�a local nesses dispositivos n�o poder� exibir corretamente nenhuma configura��o de seguran�a. No entanto, todas as configura��es de seguran�a aplicadas aos dispositivos alvo por outros objetos da diretiva de grupo do lado do dom�nio (que n�o contenham as novas configura��es) ainda ser�o aplicadas para esses dispositivos alvo.
Da mesma maneira, � poss�vel utilizar a diretiva de seguran�a do Controlador de dom�nio padr�o para aplicar as configura��es de seguran�a "Representar um cliente ap�s autentica��o" e "Criar objetos globais" a controladores de dom�nio do seu ambiente se os controladores de dom�nio estiverem executando o Windows 2000 SP2 ou posterior. Observe que embora seja poss�vel implantar as configura��es de seguran�a em um ambiente que contenha controladores de dom�nio com Windows 2000 SP2 e Windows 2000 SP3, as configura��es de seguran�a se aplicam somente a controladores de dom�nio com Windows 2000 SP4. As configura��es n�o se aplicam a controladores de dom�nio que estiverem executando o Windows 2000 SP2 ou o Windows 2000 SP3.

O direito de usu�rio "Representar um cliente ap�s autentica��o" (SeImpersonatePrivilege)

O direito de usu�rio "Representar um cliente ap�s autentica��o" (SeImpersonatePrivilege) � uma configura��o de seguran�a do Windows 2000 que foi apresentado pela primeira vez no Windows 2000 SP4. Por padr�o, os membros do grupo de administradores locais do dispositivo e a conta do servi�o local do dispositivo recebem o direito de usu�rio "Representar um cliente ap�s autentica��o". Os seguintes componentes tamb�m t�m esse direito de usu�rio:

Servi�os que s�o iniciados pelo gerenciador de controle de servi�o
Servidores COM (modelo de objeto componente) iniciados pela infra-estrutura COM que s�o configurados para serem executados sob uma conta espec�fica

Ao designar o direito de usu�rio "Representar um cliente ap�s autentica��o" a um usu�rio, voc� permite que programas que s�o executados em nome do usu�rio representem um cliente. Essa configura��o de seguran�a ajuda a impedir que servidores n�o autorizados representem clientes conectados por meio de m�todos como chamadas de procedimento remoto (RPC) ou pipes nomeados. Para obter mais informa��es sobre a fun��o SeImpersonatePrivilege, visite o seguinte site da Microsoft:

http://msdn2.microsoft.com/en-us/library/aa375728.aspx

(http://msdn2.microsoft.com/en-us/library/aa375728.aspx)

(site em ingl�s)

Para obter mais informa��es sobre fun��es de representa��o (como ImpersonateClient, ImpersonateLoggedOnUser e ImpersonateNamedPipeClient), procure SeImpersonatePrivilege na documenta��o do Microsoft Platform SDK. Para consultar essa documenta��o, visite o seguinte site da Microsoft:

http://msdn2.microsoft.com/en-us/library/aa375728.aspx

(http://msdn2.microsoft.com/en-us/library/aa375728.aspx)

(site em ingl�s)

Solu��o de problemas

Alguns programas que usam a representa��o podem n�o funcionar corretamente ap�s a instala��o do Windows 2000 SP4

Ap�s instalar o Windows 2000 Service Pack 4 (SP4) no seu computador, alguns programas que usam a representa��o podem n�o funcionar corretamente.

Esse problema pode ocorrer em situa��es na qual a conta de usu�rio usada para executar o programa n�o tem o direito de usu�rio "Representar um cliente ap�s autentica��o".

Em computadores que estiverem executando o Windows 2000 Service Pack 3 (SP3) ou anteriores, n�o � necess�rio ter direito de usu�rio para representar um cliente. Portanto, alguns programas que usam a representa��o podem n�o funcionar corretamente ap�s a instala��o do Windows 2000 SP4.

Para resolver esse problema, identifique a conta de usu�rio usada para executar o programa e atribua o direito de usu�rio "Representar um cliente ap�s autentica��o" para essa conta de usu�rio. Para fazer isso, execute estas etapas:
1. Clique em Iniciar, aponte para Programas, para Ferramentas administrativas e clique em Diretiva de seguran�a local.
2. Expanda Diretivas locais e clique em Atribui��o de direitos de usu�rio.
3. No painel da direita, clique duas vezes em Representar cliente ap�s autentica��o.
4. Na caixa de di�logo Configura��o da diretiva de seguran�a local, clique em Adicionar.
5. Na caixa de di�logo Selecionar usu�rios ou grupo, clique na conta de usu�rio que voc� quer adicionar, clique em Adicionar e em OK.
6. Clique em OK.
Observa��o Para solucionar problemas em situa��es nas quais n�o � poss�vel saber qual conta de usu�rio � usada para executar o programa, e nas quais voc� queira verificar se os sintomas apresentados s�o causados pelo direito de usu�rio, atribua o direito de usu�rio "Representar um cliente ap�s autentica��o" para o grupo Todos e inicie o programa. Se o programa funcionar corretamente, o problema que voc� est� tendo pode estar sendo causado pela nova configura��o de seguran�a.
Voc� recebe uma mensagem de erro "Erro ao tentar executar projeto" ao depurar um aplicativo de Web no Visual Studio .NET

Para obter mais informa��es sobre como resolver esse problema, clique no n�mero abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
821255
(http://support.microsoft.com/kb/821255/PT-BR/ )
Mensagem de erro "Erro ao tentar executar projeto" ao depurar um aplicativo da Web no Visual Studio .NET

O direito de usu�rio "Criar objetos globais" (SeCreateGlobalPrivilege)

O direito de usu�rio "Criar objetos globais" (SeCreateGlobalPrivilege) � uma configura��o de seguran�a do Windows 2000 que foi introduzida pela primeira vez no Windows 2000 SP4. O direito de usu�rio � necess�rio para criar objetos globais em uma sess�o de servi�os de terminal. Observe que os usu�rios ainda conseguem criar objetos espec�ficos da sess�o sem receber esse direito de usu�rio. Por padr�o, os membros do grupo de administradores, a conta do sistema e os servi�os iniciados pelo gerenciador de controle de servi�o recebem o direito de usu�rio "Criar objetos globais".

Solu��o de problemas

Alguns programas podem n�o funcionar corretamente ap�s a instala��o do Windows 2000 SP4

Ap�s instalar o Windows 2000 Service Pack 4 (SP4) no seu computador, alguns programas podem n�o funcionar corretamente. Esse problema pode ocorrer em situa��es nas quais a conta de usu�rio usada para executar o programa n�o tem o direito de usu�rio "Criar objeto global".

Para resolver esse problema, identifique a conta de usu�rio usada para executar o programa e atribua o direito de usu�rio "Criar objetos globais" para essa conta de usu�rio. Para fazer isso, execute estas etapas:
1. Clique em Iniciar, aponte para Programas, para Ferramentas administrativas e clique em Diretiva de seguran�a local.
2. Expanda Diretivas locais e clique em Atribui��o de direitos de usu�rio.
3. No painel direito, clique duas vezes em Criar objetos globais.
4. Na caixa de di�logo Configura��o da diretiva de seguran�a local, clique em Adicionar.
5. Na caixa de di�logo Selecionar usu�rios ou grupo, clique na conta de usu�rio que voc� quer adicionar, clique em Adicionar e em OK.
6. Clique em OK.
Observa��o Para solucionar problemas em situa��es nas quais n�o � poss�vel saber qual conta de usu�rio � utilizada para executar o programa, e nas quais voc� queira verificar se os sintomas apresentados est�o sendo causados pelo direito de usu�rio, atribua o direito de usu�rio "Criar objetos globais" para o grupo Todos e inicie o programa. Se o programa funcionar corretamente, o problema que voc� est� tendo pode ser causado pela nova configura��o de seguran�a.
Voc� recebe uma mensagem de erro "Mem�ria insuficiente" ao procurar clipes em um documento do Office XP em uma sess�o de servi�os de terminal

Para obter informa��es adicionais sobre esse problema, clique no n�mero abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
821257
(http://support.microsoft.com/kb/821257/PT-BR/ )
Mensagem de erro "Mem�ria insuficiente" ao procurar clipes em um documento do Office XP em uma sess�o de servi�os de terminal
O computador p�ra de responder (trava) ao reiniciar um computador com Windows 2000 Server ap�s a instala��o do McAfee Parental Control

Para obter informa��es adicionais sobre esse problema, clique no n�mero abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
823043
(http://support.microsoft.com/kb/823043/PT-BR/ )
Computador com Windows 2000 Server p�ra de responder ao reiniciar ap�s ter instalado o McAfee Parental Controls

Voltar para o in�cio | Submeter coment�rios

Refer�ncias

Para obter informa��es adicionais sobre como obter o service pack mais recente para o Windows 2000, clique no n�mero abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:

260910

(http://support.microsoft.com/kb/260910/PT-BR/ )

Como obter o service pack mais recente do Windows 2000

Voltar para o in�cio | Submeter coment�rios