Обзор параметров безопасности «Олицетворять клиента после проверки подлинности» и «Создание глобальных объектов» (821546.KB.EN-US.2.2)

Переводы статьи Переводы статьи
Код статьи: 821546 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

В данной статье рассматриваются права пользователей «Олицетворять клиента после проверки подлинности» и «Создание глобальных объектов». Эти параметры появляются после установки пакета обновления 4 (SP4) для Windows 2000 и предназначены для улучшения безопасности Windows 2000. В статье содержится обзор указанных параметров, а также рассматриваются некоторые известные проблемы и способы их устранения.

Внимание! При использовании параметров «Олицетворять клиента после проверки подлинности» и «Создание глобальных объектов» в групповой политике или в политике по умолчанию для домена необходимо учитывать следующее.
  • Данные параметры применяются только к компьютерам, работающим под управлением Windows 2000 с пакетом обновления 4 (SP4) или более поздних версий.
  • Хотя данные параметры могут использоваться в групповой политике или в политике по умолчанию для домена, если компьютеры работают под управлением Windows 2000 с пакетом обновления 2 (SP2) или более поздних версий, но применяются они только к компьютерам, работающим под управлением Windows 2000 с пакетом обновления 4 (SP4). К компьютерам, работающим под управлением Windows 2000 с пакетом обновления 2 (SP2) или Windows 2000 с пакетом обновления 3 (SP3), эти параметры не применяются.
  • Не используйте политику по умолчанию для домена или другую групповую политику для применения этихпараметров к компьютерам под управлением Windows 2000 или Windows 2000 с пакетом обновления 1 (SP1), поскольку это вызовет сбой в распространении параметров политики (т. е. политика не распространяется на компьютеры под управлением Windows 2000 или Windows 2000 с пакетом обновления 1 (SP1), а пользовательские права не отображаются в оснастке локальных параметров безопасности). В случае применения новых прав с помощью политики по умолчанию для домена или другой групповой политики на компьютере под управлением Windows 2000 или Windows 2000 с пакетом обновления 1 (SP1) возможно возникновение следующих ситуаций.
    • Дополнительные параметры политики безопасности, расположенные в том же объекте политики и предназначенные для компьютеров под управлением Windows 2000 или Windows 2000 с пакетом обновления 1 (SP1), не распространяются на эти компьютеры.
    • Дополнительные параметры политики безопасности, которые применяются с помощью другой групповой политики по схеме SDOU (узел, домен, подразделение) к компьютерам под управлением Windows 2000 или Windows 2000 с пакетом обновления 1 (SP1), которые должны распространяться на эти компьютеры.
    • Если новые параметры безопасности применяются к компьютерам под управлением Windows 2000 или Windows 2000 с пакетом обновления 1 (SP1), локальная оснастка ММС неправильно отображает такие параметры. Несмотря на это все параметры безопасности, перенесенные с других объектов групповой политики домена, которые не содержат новых параметров, применяются на компьютерах назначения.
  • Хотя данные параметры могут использоваться в политике по умолчанию для контроллеров домена, если контроллеры домена работают под управлением Windows 2000 с пакетом обновления 2 (SP2) или более поздних версий, но применяются они только к контроллерам домена, работающим под управлением Windows 2000 с пакетом обновления 4 (SP4). К контроллерам домена, работающим под управлением Windows 2000 с пакетом обновления 2 (SP2) или Windows 2000 с пакетом обновления 3 (SP3), эти параметры не применяются.

Право «Олицетворять клиента после проверки подлинности» (SeImpersonatePrivilege)

Право «Олицетворять клиента после проверки подлинности» (SeImpersonatePrivilege) представляет собой параметр политики безопасности, появившийся в пакете обновления 4 (SP4) для Windows 2000. По умолчанию данное право присваивается локальной служебной учетной записи, членам локальной группы «Администраторы», а также следующим компонентам:
  • службам, запускаемым диспетчером управления службами;
  • серверам COM (Component Object Model), настроенным для запуска от имени конкретной учетной записи и запускаемым инфраструктурой COM.
Присвоение пользователю права «Олицетворять клиента после проверки подлинности» разрешает программам, запущенным от имени данного пользователя, олицетворять клиента. Использование данного параметра предотвращает олицетворение неавторизованными серверами клиентов, подключающихся к этим серверам с помощью процедур RPC или именованных каналов. За дополнительной информацией о функции SeImpersonatePrivilege обратитесь к веб-узлу Microsoft по следующему адресу:
http://msdn2.microsoft.com/en-us/library/aa375728.aspx
Для получения дополнительной информации о таких функциях олицетворения как ImpersonateClient, ImpersonateLoggedOnUser и ImpersonateNamedPipeClient выполните поиск слова SeImpersonatePrivilege в документации по Microsoft Platform SDK, находящейся на веб-узле Microsoft по следующему адресу:
http://msdn2.microsoft.com/en-us/library/aa375728.aspx

Устранение неполадок

  • После установки пакета обновления 4 (SP4) для Windows 2000 некоторые программы, использующие олицетворение, могут работать неправильно

    После установки пакета обновления 4 (SP4) для Windows 2000 некоторые программы, использующие олицетворение, могут работать неправильно.

    Причина может заключаться в том, что учетной записи пользователя, от имени которой производится запуск программы, не присвоено право «Олицетворять клиента после проверки подлинности».

    На компьютерах под управлением Windows 2000 с пакетом обновления 3 (SP3) и более ранних версий данное право не является необходимым для олицетворения клиента, поэтому после установки пакета обновления 4 (SP4) для Windows 2000 некоторые программы могут работать неправильно.

    Для устранения проблемы определите учетную запись, от имени которой запускается подобная программа, и присвойте данной учетной записи право «Олицетворять клиента после проверки подлинности». Для этого выполните следующие действия.
    1. Нажмите кнопку Пуск и выберите последовательно пункты Программы, Администрирование и Локальная политика безопасности.
    2. Раскройте узел Локальные политики и выберите раздел Назначение прав пользователя.
    3. В правой части окна дважды щелкните Олицетворять клиента после проверки подлинности.
    4. В окне Параметр локальной политики безопасности нажмите кнопку Добавить.
    5. В окне Выбор: пользователи или группы выберите нужную учетную запись, нажмите кнопку Добавить и нажмите кнопку OK.
    6. Нажмите кнопку ОК.
    Примечание. Если необходимо выяснить, вызваны ли проблемы неправильным назначением права «Олицетворять клиента после проверки подлинности», а определить учетную запись, от имени которой запускается программа, невозможно, следует присвоить данное право группе «Все» и запустить программу. Если после этого программа будет работать нормально, значит, причиной ошибки мог быть новый параметр политики безопасности.
  • При отладке веб-приложения в Visual Studio .NET появляется сообщение об ошибке «Ошибка при попытке запустить проект»

    За дополнительной информацией об устранении данной ошибки обратитесь к следующей статье Microsoft Knowledge Base:
    821255 "Error While Trying to Run Project" Error Message When You Debug a Web Application in Visual Studio .NET

Право «Создание глобальных объектов» (SeCreateGlobalPrivilege)

Право «Создание глобальных объектов» представляет собой параметр политики безопасности, появившийся в пакете обновления 4 (SP4) для Windows 2000. Данное право необходимо учетной записи пользователя для создания глобальных объектов в сеансе работы со службой терминалов. Пользователи могут создавать объекты конкретной сессии без назначения им этого права пользователя. По умолчанию право «Создание глобальных объектов» присваивается системной учетной записи, членам группы «Администраторы» и службам, запускаемым диспетчером управления службами.

Устранение неполадок

  • После установки пакета обновления 4 (SP4) для Windows 2000 некоторые программы могут работать неправильно

    После установки пакета обновления 4 (SP4) для Windows 2000 некоторые программы могут работать неправильно. Причина может заключаться в том, что учетной записи пользователя, от имени которой производится запуск программы, не присвоено право «Создание глобальных объектов».

    Для устранения проблемы определите учетную запись, от имени которой запускается подобная программа, и назначьте данной учетной записи право «Создание глобальных объектов». Для этого выполните следующие действия.
    1. Нажмите кнопку Пуск и выберите последовательно пункты Программы, Администрирование и Локальная политика безопасности.
    2. Раскройте узел Локальные политики и выберите раздел Назначение прав пользователя.
    3. В правой части окна дважды щелкните параметр Создание глобальных объектов.
    4. В окне Параметр локальной политики безопасности нажмите кнопку Добавить.
    5. В окне Выбор: пользователи или группы выберите нужную учетную запись, нажмите кнопку Добавить и нажмите кнопку OK.
    6. Нажмите кнопку ОК.
    Примечание. Если необходимо выяснить, вызваны ли проблемы неправильным назначением права «Создание глобальных объектов», а определить учетную запись, от имени которой запускается программа, невозможно, следует присвоить данное право группе «Все» и запустить программу. Если после этого программа будет работать нормально, значит, причиной ошибки мог быть новый параметр политики безопасности.
  • В сеансе работы со службой терминалов при поиске клипов в документах Microsoft Office XP появляется сообщение об ошибке «Недостаточно памяти»

    За дополнительной информацией обратитесь к следующей статье Microsoft Knowledge Base:
    821257 "Not Enough Memory" Error Message When You Search for Clips in an Office XP Document in a Terminal Services Session
  • После установки программы McAfee Parental Control компьютер под управлением Windows 2000 зависает при перезагрузке

    За дополнительной информацией обратитесь к следующей статье Microsoft Knowledge Base:
    823043 Windows 2000 Server-Based Computer Stops Responding When You Restart After You Install McAfee Parental Controls

Ссылки

За дополнительной информацией о получении последнего пакета обновления для Windows 2000 обратитесь к следующей статье Microsoft Knowledge Base:
260910 Как получить последний пакет обновления для Windows 2000

Свойства

Код статьи: 821546 - Последний отзыв: 30 января 2007 г. - Revision: 7.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows 2000 Advanced Server
  • Операционная система Microsoft Windows 2000 Professional
  • Microsoft Windows 2000 Service Pack 4
Ключевые слова: 
kbfix kbbug KB821546

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com