“身份验证后模拟客户端”和“创建全局对象”安全设置概述 (821546.KB.EN-US.2.2)

文章翻译 文章翻译
文章编号: 821546 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

本文论述了“身份验证后模拟客户端”和“创建全局对象”用户权限。这些新的安全设置最初是在 Windows 2000 Service Pack 4 (SP4) 中引入的,它们可以帮助增强 Windows 2000 的安全性。本文介绍了这些新的安全设置,还介绍了某些可能发生的已知问题及其解决方法。

重要说明:当您通过默认域策略或组策略来应用“身份验证后模拟客户端”和“创建全局对象”用户权限时,需要考虑以下问题:
  • “身份验证后模拟客户端”和“创建全局对象”用户权限仅适用于运行 Windows 2000 SP4 或更高版本的计算机。
  • 如果您的环境中的计算机运行的是 Windows 2000 Service Pack 2 (SP2) 或更高版本,则可以使用默认域策略或组策略将“身份验证后模拟客户端”安全设置和“创建全局对象”安全设置应用于这些计算机。注意,虽然您可以在包含基于 Windows 2000 SP2 和基于 Windows 2000 Service Pack 3 (SP3) 的计算机的环境中部署这些安全设置,但是这些安全设置 适用于基于 Windows 2000 SP4 的计算机。这些设置不适用于运行 Windows 2000 SP2 或 Windows 2000 SP3 的计算机。
  • 不要用默认域策略或某一其他组策略向运行Windows 2000 或 Windows 2000 Service Pack 1 (SP1) 的 计算机应用这两个新用户权限中的一种或两种权限。注意,如果用默认域策略或某个不同的组策略将这些用户权限应用于运行 Windows 2000 或 Windows 2000 Service Pack 1 (SP1) 的计算机,那么策略的安全设置传播将会 失败。也就是说,策略不会传播到 Windows 2000 或 Windows 2000 SP1 计算机,而且用户权限也不会显示在“本地安全性设置”管理单元中。如果您用默认域策略或另一个组策略将这两种新的用户权限中的一种或两种应用于运行 Windows 2000 或 Windows 2000 Service Pack 1 (SP1) 计算机,就会出现以下情形:
    • 位于同一个组策略对象中且目标为 Windows 2000 或 Windows 2000 Service Pack 1 (SP1) 设备的其他安全策略设置不会传播到目标设备。
    • 通过使用其他组策略沿着到 Windows 2000 或 Windows 2000 Service Pack 1 (SP1) 设备的 SDOU(站点、域、组织单位)路径应用的其他安全策略设置不会传播。
    • 如果这两种新安全设置的一个或两个的目标 Windows 2000 或 Windows 2000 Service Pack 1 (SP1) 设备,那么那些设备上的本地 MMC 安全管理单元不能正确显示任何安全设置。但是,从其他域端组策略对象(不包含新设置)应用于目标设备的所有安全设置还会应用于那些目标设备。
  • 类似地,如果您的环境中的域控制器运行的是 Windows 2000 SP2 或更高版本,则可以使用默认域控制器安全策略将“身份验证后模拟客户端”安全设置和“创建全局对象”安全设置应用于这些域控制器。注意,虽然您可以在包含基于 Windows 2000 SP2 和基于 Windows 2000 SP3 的域控制器的环境中部署这些安全设置,但是这些安全设置 适用于基于 Windows 2000 SP4 的域控制器。这些设置不适用于运行 Windows 2000 SP2 或 Windows 2000 SP3 的域控制器。

“身份验证后模拟客户端”用户权限 (SeImpersonatePrivilege)

“身份验证后模拟客户端”用户权限 (SeImpersonatePrivilege) 是一种 Windows 2000 安全设置,首先在 Windows 2000 SP4 中引入。默认情况下,设备的本地管理员组成员和设备的本地服务帐户被指派“身份验证后模拟客户端”用户权限。下面的组件也拥有这种用户权限:
  • 由服务控制管理器启动的服务
  • 由组件对象模型 (COM) 基础结构启动的并配置为在特定帐户下运行的 COM 服务器
当您将“身份验证后模拟客户端”用户权限指派给一个用户时,也就允许了代表该用户的程序来模拟一个客户端。这种安全设置有助于防止未经授权的服务器模拟那些通过远程过程调用或命名管道等方法与之连接的客户端。有关 SeImpersonatePrivilege 函数的更多信息,请访问下面的 Microsoft Web 站点:
http://msdn2.microsoft.com/en-us/library/aa375728.aspx
有关模拟函数(如 ImpersonateClientImpersonateLoggedOnUserImpersonateNamedPipeClient)的更多信息,请在 Microsoft 平台 SDK 文档中搜索 SeImpersonatePrivilege。若要查看此文档,请访问下面的 Microsoft Web 站点:
http://msdn2.microsoft.com/en-us/library/aa375728.aspx

疑难解答

  • 安装 Windows 2000 SP4 后,某些使用模拟方法的程序可能无法正常运行

    在计算机上安装了 Windows 2000 Service Pack 4 (SP4) 后,某些使用模拟方法的程序可能无法正常运行。

    当用于运行这些程序的用户帐户不具备“身份验证后模拟客户端”用户权限时,就可能发生此问题。

    在运行 Windows 2000 Service Pack 3 (SP3) 和更早版本的计算机上,模拟一个客户端不需要用户权限。因此,在您安装 Windows 2000 SP4 后,使用模拟方法的程序可能无法正常运行。

    若要解决这个问题,请找出用于运行该程序的用户帐户,然后将“身份验证后模拟客户端”用户权限指派给该用户帐户。为此,请按照下列步骤操作:
    1. 单击“开始”,指向“程序”,指向“管理工具”,然后单击“本地安全策略”。
    2. 展开“本地策略”,然后单击“用户权限分配”。
    3. 在右窗格中,双击“身份验证后模拟客户端”。
    4. 在“本地安全策略设置”对话框中,单击“添加”。
    5. 在“选择用户或组”对话框中,单击您想添加的用户帐户,单击“添加”,然后单击“确定”。
    6. 单击“确定”。
    注意:如果您不能确定用于运行该程序的用户帐户,但想验证遇到的症状是否由用户权限引起,请将“身份验证后模拟客户端”用户权限指派给 Everyone 组,然后启动该程序。如果该程序运行正常,则表明您所遇到的问题可能是由新的安全设置造成的。
  • 在 Visual Studio .NET 中调试一个 Web 应用程序时收到“Error While Trying to Run Project”(试图运行项目时出错)这一错误信息

    有关如何解决此问题的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    821255 在Visual Studio .NET 中调试一个 Web 应用程序时出现“Error While Trying to Run Project”(试图运行项目时出错)错误信息

“创建全局对象”用户权限 (SeCreateGlobalPrivilege)

“创建全局对象”用户权限 (SeCreateGlobalPrivilege) 是一种 Windows 2000 安全设置,首先在 Windows 2000 SP4 中引入。对于在终端服务会话中创建全局对象的用户帐号,该用户权限是必需的。注意,即使未给用户指派这种用户权限,用户仍然可以创建特定于会话的对象。默认情况下,“创建全局对象”用户权限被指派给管理员组成员、系统帐户以及由服务控制管理器启动的服务。

疑难解答

  • 安装 Windows 2000 SP4 后某些程序可能无法正常运行

    在计算机上安装 Windows 2000 Service Pack 4 (SP4) 后,某些程序可能无法正常运行。当用于运行此程序的用户帐户不具备“创建全局对象”用户权限时,就可能发生这个问题。

    若要解决这个问题,请找出用于运行此程序的用户帐户,然后将“创建全局对象”用户权限指派给该用户帐户。为此,请按照下列步骤操作:
    1. 单击“开始”,指向“程序”,指向“管理工具”,然后单击“本地安全策略”。
    2. 展开“本地策略”,然后单击“用户权限分配”。
    3. 在右窗格中,双击“创建全局对象”。
    4. 在“本地安全策略设置”对话框中,单击“添加”。
    5. 在“选择用户或组”对话框中,单击您想添加的用户帐户,单击“添加”,然后单击“确定”。
    6. 单击“确定”。
    注意:如果您不能确定用于运行该程序的用户帐户,但想验证遇到的症状是否由用户权限引起,请将“创建全局对象”用户权限指派给 Everyone 组,然后启动该程序。如果该程序运行正常,则表明您所遇到的问题可能是由新的安全设置造成的。
  • 在一个终端服务会话中,当在 Office XP 文档中搜索剪辑时收到“Not Enough Memory”(内存不足)这一错误信息

    有关此问题的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    821257 在一个终端服务会话中,当在 Office XP 文档中搜索剪辑时收到“Not Enough Memory”(内存不足)错误信息
  • 安装 McAfee 父级控件后重新启动基于 Windows 2000 Server 的计算机时,计算机停止响应(挂起)

    有关此问题的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    823043 安装 McAfee 父级控件后重新启动基于 Windows 2000 Server 的计算机时,计算机停止响应

参考

有关如何获取 Windows 2000 的最新 Service Pack 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
260910 如何获取最新的 Windows 2000 Service Pack

属性

文章编号: 821546 - 最后修改: 2007年1月30日 - 修订: 7.0
这篇文章中的信息适用于:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Service Pack 4
关键字:?
kbbug kbfix KB821546
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com