概觀"模擬一個用戶端在驗證之後 」 和 「 建立通用物件 」 安全性設定 (821546.KB.EN US.2.2)

文章翻譯 文章翻譯
文章編號: 821546 - 檢視此文章適用的產品。
注意事項
這份文件適用於 Windows 2000。Windows 2000 支援的結束 2010 7 月 13,Windows 2000 End-of-Support Solution Center 是規劃您的遷移策略,從 Windows 2000 的起點。如需詳細資訊請參閱 Microsoft Support Lifecycle Policy]。
全部展開 | 全部摺疊

在此頁中

結論

本文將告訴您,在驗證後模擬用戶端 」 和 「 建立全域物件"] 使用者權限。在 Windows 2000 服務套件 4 (SP4),並協助增加在 Windows 2000 的安全性是首次引入這些新的安全性設定。 本文將說明新的安全性設定,並也包含某些可能會發生的已知的問題和如何疑難排解這些資訊。

重要 當您使用 [預設網域原則] 或 [群組原則套用驗證後模擬用戶端 」 和 「 建立通用物件 」] 使用者權限,請考慮下列問題:
  • 在驗證後模擬用戶端 」 和 「 建立全域物件"] 使用者權限只套用到正在執行 Windows 2000 SP4 的電腦或更新版本。
  • 您可以使用 [預設網域原則] 或 [群組原則來套用 」 在驗證後模擬用戶端 」 及 「 建立通用物件 」 安全性設定至電腦,在您的環境中如果電腦執行 Windows 2000 Service Pack 2 (SP2) 或更新版本。 請注意雖然您可以部署的環境中的 [安全性] 設定,包含 Windows 2000 SP2 及 Windows 2000 Service Pack 3 (SP3)-根據電腦,安全性設定 套用到 Windows 2000 SP4 電腦。 設定並不會套用到正在執行 Windows 2000 SP2 或 Windows 2000 SP3 的電腦。
  • 不要使用 「 預設網域原則或一個 ,不論是套用 其他 群組原則或兩個 these新 使用者的權限執行 Windows 2000 或 Windows 2000 Service Pack 1 (SP1) 的電腦。 請注意是否您使用 [預設網域原則] 或 [不同 群組原則],以套用這些使用者權限,以執行 Windows 2000 或 Windows 2000 Service Pack 1 (SP1) 原則 傳播的電腦安全性設定 失敗。 也就是原則不會傳播到 Windows 2000 或 Windows 2000 SP1 的電腦,並且使用者權限不會顯示在 [本機安全性設定] 嵌入式管理單元中。如果您使用使用預設網域原則] 或 [其他群組原則來套用或兩者的這些新的使用者權限到正在執行 Windows 2000 或 Windows 2000 Service Pack 1 (SP1) 的電腦,可能就會發生下列情況:
    • 位於相同的群組原則物件和該目標 Windows 2000 或 Windows 2000 Service Pack 1 (SP1) 裝置的額外的安全性原則設定不會傳送至目的裝置。
    • 額外的安全性原則設定會藉由使用沿著 SDOU (網站網域,組織單位) 路徑到 Windows 2000 或 Windows 2000 Service Pack 1 (SP1) 裝置,就會傳送其他群組原則套用。
    • 如果在 Windows 2000 或 Windows 2000 Service Pack 1 (SP1) 裝置為目標或兩者這些新的安全性設定,本機 MMC 安全性嵌入式管理單元上的裝置無法正確地顯示任何安全性設定。不過,從 (包含新的設定) 的其他網域端群組原則物件套用至目標裝置的所有安全性設定仍然會都套用到那些目標裝置。
  • 同樣地,您可以使用預設網域控制站安全性原則來套用 」 在驗證後模擬用戶端 」 及 「 建立通用物件 」 安全性設定的網域控制站,在您的環境中如果網域控制站正在執行 Windows 2000 SP2 或更新版本。 請注意雖然您可以部署安全性設定的環境中包含 Windows 2000 SP2 並且 Windows 2000 SP3 網域控制器,安全性設定 套用到 Windows 2000 SP4 網域控制站。 設定不會套用到正在執行 Windows 2000 SP2 或 Windows 2000 SP3 的網域控制站。

"模擬用戶端 AfterAuthentication 」 使用者右 (SeImpersonatePrivilege)

模擬用戶端在驗證之後,「 使用者權限 (SeImpersonatePrivilege) 是 Windows 2000 安全性設定,已在 Windows 2000 SP4 首次引入。 預設情況下,裝置的成員是本機 系統管理員群組及 裝置本機 服務帳戶指派 「 驗證後模擬用戶端 」 使用者權限。下列元件也會具有這個使用者權限:
  • 由服務控制管理員啟動的服務
  • 由 COM 基礎架構會啟動,且該設定為特定帳戶下執行的元件物件模型 (COM) 伺服器
當您指派 」 在驗證後模擬用戶端 」 使用者權限給使用者時,會允許該使用者能夠模擬用戶端的身份執行的程式。 此安全性設定有助於防止未經授權的伺服器模擬用戶端,例如遠端程序呼叫 (RPC) 或具名管道,透過方法連接到它。如需有關 SeImpersonatePrivilege 函式的詳細資訊,請造訪下列 Microsoft 網站]:
http://msdn2.microsoft.com/en-us/library/aa375728.aspx
如需有關模擬功能 (例如 ImpersonateClientImpersonateLoggedOnUserImpersonateNamedPipeClient) 的詳細資訊,搜尋 SeImpersonatePrivilege Microsoft 平台 SDK 文件中。 若要欲這份文件請造訪下列 Microsoft 網站]:
http://msdn2.microsoft.com/en-us/library/aa375728.aspx

疑難排解

  • 某些程式的使用模擬可能無法正確運作之後您安裝 Windows 2000 SP4

    在您的電腦上安裝 Windows 2000 服務套件 4 (SP4) 之後使用模擬的某些程式可能無法正常運作。

    用來執行程式的使用者帳戶不具有模擬用戶端在驗證之後,「 使用者權限時,這個問題可能會發生在情況。

    正在執行 Windows 2000 Service Pack 3 (SP3) 的電腦上而且稍早,使用者權限不需要能夠模擬用戶端。 因此,使用模擬的某些程式可能無法正常運作安裝 Windows 2000 SP4 之後。

    如果要解決這個問題,識別用來執行該程式的使用者帳戶,並將模擬用戶端在驗證之後,「 使用者指定權限至該使用者帳戶]。要這麼做,請您執行下列步驟:
    1. 按一下 [開始],指向 [程式集]、 指向 [系統管理工具],然後再按一下 [本機安全性原則]。
    2. 展開 [本機原則],] 然後按一下 [使用者權限指派]
    3. 在右邊的窗格中, 連按兩下 [在驗證後模擬用戶端
    4. 在 [本機安全性原則設定] 對話方塊中,按一下 [新增]。
    5. 在 [選取使用者或群組] 對話方塊按一下 [您想要新增、 按一下 [新增],然後按一下 [確定] 使用者帳戶]。
    6. 按一下 [確定]
    附註如果要疑難排解無法判斷使用者的情況下,用來執行該程式,並在您想要確認您所遇到的徵狀會因使用者權限的地方將模擬用戶端在驗證之後,「 使用者指派給 「 每個人權限帳戶群組,然後再啟動程式。 如果可以正確地運作程式,您所遇到的問題可能被因新的安全性設定。
  • 接收錯誤發生於嘗試執行專案錯誤訊息時您偵錯在 Visual Studio.NET Web 應用程式

    如需有關如何解決這個問題的詳細資訊,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
    821255當您偵錯 Web 應用程式在 Visual Studio.NET 的 「 嘗試執行專案時錯誤 」 的錯誤訊息

將 [建立全域物件] 使用者權限 (SeCreateGlobalPrivilege)

在 Windows 2000 SP4 中引進先到 [建立全域物件] 使用者權限 (SeCreateGlobalPrivilege) 是 Windows 2000 安全性設定的。 使用者權限時,需要在終端機服務工作階段中建立全域物件的使用者帳戶。 請注意使用者仍然可以建立工作階段特定物件沒有被指定此使用者權限。 預設成員的系統管理員群組 「 系統 」 帳戶,並由服務控制管理員啟動的服務會指派 [建立全域物件] 使用者權限。

疑難排解

  • 當您安裝 Windows 2000 SP4 中某些程式作業可能無法正常運作

    在您的電腦上安裝 Windows 2000 服務套件 4 (SP4) 之後某些程式可能無法正常運作。用來執行程式的使用者帳戶不具有 「 建立通用物件 」 使用者權限時,這個問題可能會發生在情況。

    如果要解決這個問題,識別用來執行該程式的使用者帳戶,並將 [建立全域物件] 使用者指定權限至該使用者帳戶]。要這麼做,請您執行下列步驟:
    1. 按一下 [開始],指向 [程式集]、 指向 [系統管理工具],然後再按一下 [本機安全性原則]。
    2. 展開 [本機原則],] 然後按一下 [使用者權限指派]
    3. 在右邊的窗格中, 連按兩下 [建立全域物件
    4. 在 [本機安全性原則設定] 對話方塊中,按一下 [新增]。
    5. 在 [選取使用者或群組] 對話方塊按一下 [您想要新增、 按一下 [新增],然後按一下 [確定] 使用者帳戶]。
    6. 按一下 [確定]
    附註若要疑難排解的情況下您無法判斷使用者帳戶,用來執行程式,而且想要確認您所遇到的徵狀會因使用者權限,指派在 「 建立通用物件 」 」 使用者權限以每個人] 群組,然後再啟動程式。 如果可以正確地運作程式,您所遇到的問題可能被因新的安全性設定。
  • 接收 「 記憶體不足 」 錯誤訊息,當您搜尋多媒體項目在終端機服務工作階段中的 Office XP 文件中

    如需有關這個問題的詳細資訊,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
    821257當您在終端機服務工作階段中搜尋多媒體項目在 Office XP 文件中的 「 沒有足夠記憶體 」 的錯誤訊息
  • 電腦停止回應 (擱置) 當您重新啟動之後您安裝 McAfee 家長監護將 Windows 2000 Server 中的電腦

    如需有關這個問題的詳細資訊,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
    823043Windows 2000 Server 電腦停止回應重新啟動安裝 McAfee 家長監護之後時

?考

如需有關如何取得最新的 Service Pack 為 Windows 2000 的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
260910如何取得最新的 Windows 2000 Service Pack

屬性

文章編號: 821546 - 上次校閱: 2007年1月30日 - 版次: 7.2
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Advanced Server SP4
  • Microsoft Windows 2000 Professional SP4
  • Microsoft Windows 2000 Server SP4
關鍵字:?
kbmt kbfix kbbug KB821546 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:821546
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com