Na kartě "Skutečná oprávnění" může hlásit nesprávné oprávnění v systému Windows Server 2003

Překlady článku Překlady článku
ID článku: 933071 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Popis problému

Při určování oprávnění pro určitý zdroj v doméně počítače se systémem Windows Server 2003 má uživatel použít kartu Skutečná oprávnění, výsledky, které jsou zobrazeny v uživatelském rozhraní jsou nekonzistentní skutečná oprávnění uživatele pro tento prostředek. Konkrétně zaškrtávací políčka pro některé povolit může zobrazit Nekontrolovaná oprávnění. Nebo zaškrtnuta políčka u některých Odepřít oprávnění se mohou zobrazit.

K tomuto problému dochází, pokud platí jedna z následujících podmínek:
  • Spuštění nástroje pro správu vzdáleně z prostředků serveru.
  • Uživatelský účet použít ke spuštění nástroje pro správu není ve stejné doméně jako prostředek.
Předpokládejme například následující situaci:
  • Mít globální skupiny v doméně A.
  • Mít místní skupiny domény v doméně B.
  • Prostředek je umístěn v doméně B.
  • Místní skupiny má úplný přístup k prostředku. Tento přístup zahrnuje oprávnění odstranit.
  • Globální skupina je členem místní skupiny. Globální skupina nemá přímý přístup k prostředku.
  • Zobrazení zdrojů oprávnění uživatele v globální skupině pomocí účtu správce uživatele v doméně A. Provést tuto akci vzdáleně z počítače, který byl připojen k doméně A.
V tomto scénáři naleznete uživatel nemá oprávnění odstranit zdroj. Však uživatel ve skutečnosti nemá oprávnění odstranit zdroj.

Pokud používáte nástroje pro správu služby Active Directory členem jedné domény a nástroje pro správu připojit k řadiči domény v jiné doméně, může také zobrazit skutečná oprávnění nesprávné výsledky.

Poznámka: Protože výsledky různých skutečná oprávnění jsou zobrazeny při přístupu k objektům prostřednictvím serveru globálního katalogu se systémem v jiné doméně, zabráníte Microsoft zabezpečení objektů služby Active Directory pomocí místní skupiny domény.

Příčina

Dialogové okno vlastností používá Správce autorizace modul Runtime (AuthZ.dll). Tento stroj používá službu Kerberos pro uživatele (Kerberos S4U) transakce získání tokenu uživatele. Však tento token není relativní k serveru zdroje. Tento token místo toho je relativní k stanice správce nebo uživatel, který provede nástroj pro správu. Proto dojde k jedné z následujících scénářů:
  • Pokud je prostředek v jiné doméně než stanice pro správu nebo než uživatel pro správu, neobsahuje token místní skupiny domény počítače, který je hostitelem prostředku.
  • Pokud má zdroj oprávnění, které jsou přiřazeny předdefinované skupiny, vestavěné skupiny zaměňovat s skupin domény.
Výsledky nesprávné skutečná oprávnění jsou zobrazeny v buď scénáři.

ŘEŠENÍ

Chcete-li se tomuto problému vyhnout, ujistěte se, při kontrole skutečná oprávnění uživatele pro prostředek provést následující akce:
  • Vždy zkontrolujte skutečná oprávnění místně v počítači, který je hostitelem prostředku.
  • Pokud vaše konfigurace umožňuje Kerberos S4U, ujistěte se, že uživatel s oprávněními správce a zdroje jsou ve stejné doméně.
  • Zkontrolujte skutečná oprávnění pro objekt služby Active Directory je vhodné spustit nástroje pro správu na řadič domény, který má úplná kopie objektu na serveru globálního katalogu.
  • Pokud zaškrtnete skutečná oprávnění pro clusterový prostředek, můžete spustit nástroje pro správu z libovolného uzlu clusteru.
Opravy hotfix popsané dále v této části navíc zavádí UseGroupRecursion položka registru, který umožňuje vynutit Metoda skupiny rekurze.

Použití opravy hotfix

Měli byste použít tuto opravu hotfix do počítače, který chcete spustit nástroje pro správu.

Jste nám nastavit položku registru UseGroupRecursion přejděte k části "Fix it for me". Pokud by spíše nastavíte položka registru UseGroupRecursion sami, přejděte k části "Let me fix it myself".

Automatická oprava

Nastavit položku registru UseGroupRecursion automaticky, klepněte na odkaz opravit tento problém. Potom klepněte na příkaz Spustit v dialogovém okně Stažení souboru a postupujte podle kroků v průvodci.

Tento problém
Microsoft Fix it 50241


Poznámka: Tento průvodce může být v angličtině pouze; však Automatická oprava funguje také pro jiné jazykové verze systému Windows.

Poznámka: Pokud nejste v počítači, dochází k problému, automatickou opravu můžete uložit na jednotku flash nebo na disk CD a potom můžete spustit v počítači, kde dochází k problému.

Nyní přejděte "Did this fix the problem?" oddíl.

Opravit si sám


Důležité: Tento oddíl, metoda nebo úkol obsahuje kroky, které sdělit, jak upravit registr. Po nesprávné úpravě registru však mohou nastat závažné problémy. Postupujte proto pečlivě podle uvedených kroků. Pro zvýšení bezpečnosti registr zálohujte jestě před jeho úpravami. Potom můžete v případě potíží registr obnovit. Další informace o zálohování a obnovení registru naleznete následujícím článku znalostní v databáze Microsoft Knowledge Base:
322756Zálohování a obnovení registru v systému Windows
Položka registru UseGroupRecursion použít, postupujte takto:
  1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz regedit a stiskněte klávesu ENTER.
  2. Vyhledejte následující podklíč registru a klepněte na něj:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Authz
  3. V nabídce Úpravy přejděte na příkaz Nový a potom klepněte na příkaz Hodnota DWORD.
  4. Zadejte UseGroupRecursion a stiskněte klávesu ENTER.
  5. UseGroupRecursion klepněte pravým tlačítkem myši a potom klepněte na příkaz změnit.
  6. V poli Údaj hodnoty zadejte 1 a potom klepněte na tlačítko OK.
  7. Ukončete program Editor registru.
Poznámka: Ve výchozím nastavení, pokud je hodnota v poli Údaj nastavena na 0 Runtime Správce autorizace stroj používá metodu Kerberos. Pokud tato hodnota nastavena na 1, modul Runtime Správce autorizace používá metodu rekurzivní.

Nyní přejděte "Did this fix the problem?" oddíl.

Byly potíže vyřešeny?

Po použití položka registru změnit metodu rekurze skupiny musí provést následující akce:
  • Vždy zkontrolujte skutečná oprávnění místně v počítači, který je hostitelem prostředku.
  • Zkontrolujte administrativní uživatel má přístup pro uživatelský účet, pro které jsou Kontrola skutečná oprávnění čtení.
Poznámka: Uživatel s oprávněními správce a zdroje nemají být ve stejné doméně.

Ověřte, zda jsou potíže vyřešeny. Pokud ano, v tomto článku již pro vás nejsou žádné potřebné informace. Pokud není problém opraven, můžete contact support.

Informace o opravě hotfix

K dispozici je podporovaná oprava hotfix od společnosti Microsoft. Tato oprava hotfix je však určena pouze k opravě problému popsanému v tomto článku. Tuto opravu hotfix instalujte pouze do systémů, ve kterých dochází k potížím popsaným v tomto článku. Tato oprava hotfix může být dále testována. Pokud Vás tento problém závažně nepostihuje, doporučujeme počkat na další aktualizaci softwaru, která bude tuto opravu hotfix obsahovat.

Pokud je oprava hotfix k dispozici ke stažení, v horní části tohoto článku je sekce "Hotfix stažení k dispozici". Pokud tento oddíl nevidíte, obraťte se na Technickou podpora společnosti Microsoft pro získání opravy hotfix.

Poznámka: Pokud vyskytnout další problémy nebo jakékoli řešení potíží je vyžadován, pravděpodobně budete muset vytvořit zvláštní požadavek na službu. Výdaje na technickou podporu se týkají dalších otázek a problémů, které nelze vyřešit pomocí této opravy konkrétní opravy hotfix. Navštivte následující web společnosti Microsoft pro získání telefonního čísla na Zákaznické centrum, nebo pokud chcete vytvořit samostatnou žádost o podporu:
http://support.microsoft.com/contactus/?ws=support
Poznámka: Zobrazí formulář "Hotfix stažení k dispozici" jazyky, pro které je oprava hotfix k dispozici. Pokud váš jazyk není zobrazen, oprava hotfix není k dispozici pro daný jazyk.

Požadavky

Musíte mít Windows Server 2003 Service Pack 1 nebo Windows Server 2003 Service Pack 2 nainstalovat tuto opravu hotfix. Další informace o aktualizacích Windows Server 2003 service Pack klepněte na následující číslo článku databáze Microsoft Knowledge Base:
889100Jak získat nejnovější aktualizaci Service Pack pro systém Windows Server 2003

Požadavek na restartování

Po instalaci této opravy hotfix bude třeba restartovat počítač.

Informace o nahrazení opravy hotfix

Tato oprava Hotfix nenahrazuje žádné další opravy Hotfix.

INFORMACE O SOUBORECH

Anglická verze této opravy hotfix má následující (nebo pozdější) atributy souborů. Data a časy jednotlivých souborů jsou uvedeny ve formátu UTC (Coordinated Universal Time). Pokud zobrazíte informace o souboru, bude převedena na místní čas. Rozdíl mezi místním ČASEM a najít, použijte kartu časové pásmo v položce datum a čas v ovládacím.
Windows Server 2003 s aktualizací Service Pack 1 pro procesory x86
Zmenšit tuto tabulkuRozšířit tuto tabulku
Název souboruVerze souboruVelikost souboruDatumČasPlatforma
Authz.dll5.2.3790.322072,19201 OCT 200814: 54X86
Windows Server 2003 Service Pack 2, x 86 verze
Zmenšit tuto tabulkuRozšířit tuto tabulku
Název souboruVerze souboruVelikost souboruDatumČasPlatforma
Authz.dll5.2.3790.438371,68001 OCT 200815: 08X86
Windows Server 2003 s aktualizací Service Pack 1 pro procesory Itanium
Zmenšit tuto tabulkuRozšířit tuto tabulku
Název souboruVerze souboruVelikost souboruDatumČasPlatformaPožadavek na aktualizaci SPSložka služby
Authz.dll5.2.3790.3220237,56801 OCT 200812: 51IA-64SP1Nelze použít
Wauthz.dll5.2.3790.322072,19201 OCT 200812: 51X86SP1WOW
Windows Server 2003 Service Pack 2 pro procesory Itanium
Zmenšit tuto tabulkuRozšířit tuto tabulku
Název souboruVerze souboruVelikost souboruDatumČasPlatformaPožadavek na aktualizaci SPSložka služby
Authz.dll5.2.3790.4383237,56801 OCT 200812: 55IA-64SP2Nelze použít
Wauthz.dll5.2.3790.438371,68001 OCT 200812: 55X86SP2WOW
Windows Server 2003 s aktualizací Service Pack 1 pro procesory x64
Zmenšit tuto tabulkuRozšířit tuto tabulku
Název souboruVerze souboruVelikost souboruDatumČasPlatformaPožadavek na aktualizaci SPSložka služby
Authz.dll5.2.3790.3220175,61601 OCT 200812: 51X64SP1Nelze použít
Wauthz.dll5.2.3790.322072,19201 OCT 200812: 51X86SP1WOW
Windows Server 2003 Service Pack 2 pro verze x 64
Zmenšit tuto tabulkuRozšířit tuto tabulku
Název souboruVerze souboruVelikost souboruDatumČasPlatformaPožadavek na aktualizaci SPSložka služby
Authz.dll5.2.3790.4383175,61601 OCT 200812: 59X64SP2Nelze použít
Wauthz.dll5.2.3790.438371,68001 OCT 200812: 59X86SP2WOW

Stav

Společnost Microsoft potvrzuje, že se jedná o problém v produktech této společnosti, které jsou uvedeny v části Informace v tomto článku jsou určeny pro produkt.

Další informace

Další informace o terminologii používané v aktualizacích softwaru naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
824684Popis standardní terminologie používané při popisu aktualizací softwaru společnosti Microsoft
Jiné konkrétní příznaku tento problém klepněte na následující číslo článku databáze Microsoft Knowledge Base:
884049Seznamy řízení přístupu může hlásit nesprávné informace v systému Windows Server 2003

Vlastnosti

ID článku: 933071 - Poslední aktualizace: 29. července 2009 - Revize: 3.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 Service Pack 2
Klíčová slova: 
kbmt kbfixme kbmsifixme kbautohotfix kbexpertiseinter kbbug kbfix kbhotfixserver kbqfe KB933071 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:933071

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com