Die Registerkarte "Effektive Berechtigungen" meldet möglicherweise falsche Berechtigungen in Windows Server 2003

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 933071 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Problembeschreibung

Wenn Sie die Registerkarte Effektive Berechtigungen , verwenden um die Berechtigungen zu ermitteln, die ein Benutzer für eine bestimmte Ressource in der Domäne auf Windows Server 2003-Computer, sind die Ergebnisse, die in der Benutzeroberfläche angezeigt werden mit der tatsächlichen Berechtigungen des Benutzers für die Ressource nicht konsistent. Insbesondere die Kontrollkästchen für einige zulassen Berechtigungen scheinbar deaktiviert. Oder Kontrollkästchen für einige Berechtigungen erscheinen verweigern aktiviert.

Dieses Problem tritt auf, wenn eine der folgenden Bedingungen erfüllt ist:
  • Sie führen die Verwaltungstools remote von der Ressourcenserver.
  • Das Benutzerkonto, mit dem Sie die Verwaltungsprogramme ausführen ist nicht in derselben Domäne wie die Ressource.
Gehen wir beispielsweise von folgendem Szenario aus:
  • Sie haben eine globale Gruppe in Domäne a
  • Sie haben eine domänenlokale Gruppe in Domäne b
  • Eine Ressource befindet sich in Domäne b
  • Die lokale Gruppe verfügt über Vollzugriff auf die Ressource. Dieser Zugriff umfasst löschen Berechtigungen.
  • Die globale Gruppe ist Mitglied der lokalen Gruppe. Die globale Gruppe hat jedoch direkten Zugriff auf die Ressource keinen.
  • Sie anzeigen die Ressource Berechtigungen eines Benutzers in der globalen Gruppe mithilfe einer Benutzerkonto Administratorrechte in Domäne a Sie nutzen diese Aktion Remote von einem Computer, Domäne a beigetreten ist
In diesem Szenario erfahren Sie, dass der Benutzer nicht löschen-Berechtigungen für die Ressource verfügt. Allerdings der Benutzer tatsächlich löschen Berechtigungen für die Ressource verfügen.

Wenn Sie Active Directory-Verwaltungsprogramme auf einem Mitglied einer Domäne ausführen, und Sie die Verwaltungsprogramme auf einem Domänencontroller in einer anderen Domäne verbinden, kann auch falsche effektive Berechtigungen Ergebnisse angezeigt werden.

Hinweis: Da verschiedene effektive Berechtigungen Ergebnisse angezeigt werden, wenn Objekte über einen globalen Katalogserver zugegriffen werden, die in einer anderen Domäne ausgeführt wird, wirkt Microsoft Sichern von Objekten in Active Directory gegen, indem Sie Verwendung lokaler Domänengruppen.

Ursache

Das Dialogfeld Eigenschaften verwendet das Datenbankmodul Authorization Manager Runtime (AuthZ.dll). Dieses Modul verwendet ein Kerberos-Dienst für User (Kerberos S4U) Transaktion ein Token des Benutzers abrufen. Dieses Token ist jedoch nicht relativ zum Ressourcenserver. Stattdessen wird dieses Token relativ zu der administrativen Arbeitsstation oder der Benutzer das Verwaltungstool ausgeführt wird. Deshalb tritt eines der folgenden Szenarien:
  • Wenn die Ressource in einer anderen Domäne als die administrativen Station oder als der Benutzer mit Administratorrechten ist, sind das Token nicht Gruppen die lokalen Domäne des Computers enthalten, die die Ressource befindet.
  • Verfügt die Ressource auf Berechtigungen, die vordefinierten Gruppen zugewiesen sind, werden die integrierten Gruppen mit den Gruppen der Domäne verwechselt.
In beiden Fällen werden falsche effektive Berechtigungen Ergebnisse angezeigt.

Lösung

Um dieses Problem zu vermeiden, stellen Sie sicher, dass Sie die folgenden beim effektiven Berechtigungen für eine Ressource eines Benutzers überprüfen Aktionen:
  • Prüfen Sie immer effektive Berechtigungen lokal auf einem Computer, auf die Ressource befindet.
  • Wenn Ihre Konfiguration Kerberos S4U ermöglicht, stellen Sie sicher, dass der Benutzer mit Administratorrechten und die Ressource in der gleichen Domäne befinden.
  • Wenn Sie die effektiven Berechtigungen für ein Active Directory-Objekt aktivieren, sollten Sie die Verwaltungsprogramme auf einem Domänencontroller ausführen, die eine vollständige Kopie des Objekts auf einen globalen Katalogserver verfügt.
  • Wenn Sie die effektiven Berechtigungen für eine gruppierte Ressource überprüfen, können Sie die Verwaltungsprogramme von jedem Clusterknoten ausführen.
Darüber hinaus führt später in diesem Abschnitt beschriebenen Hotfix einen UseGroupRecursion-Registrierungseintrag mit dem Sie die Gruppe Rekursion-Methode erzwingen kann.

Um den Hotfix verwenden

Sie sollten diesen Hotfix auf dem Computer anwenden, die auf denen die Verwaltungsprogramme ausgeführt werden soll.

Um uns der UseGroupRecursion-Registrierungseintrag für Sie festgelegt haben, gehen Sie zum im Abschnitt "Fix it for me". Wenn Sie statt den UseGroupRecursion-Registrierungseintrag selbst festgelegt würde, finden Sie im Abschnitt "Let me fix it myself".

Beheben Sie für mich

Klicken Sie auf die Verknüpfung dieses Problem zu beheben , um der UseGroupRecursion-Registrierungseintrag automatisch festgelegt. Dann klicken Sie im Dialogfeld Dateidownload Ausführen und die Schritte im Assistenten.

Behebung dieses Problems
Microsoft Fix it 50241


Hinweis: dieser Assistent in Englisch nur möglicherweise jedoch, funktioniert die automatische Korrektur auch für andere Sprachversionen von Windows.

Hinweis: Wenn Sie nicht auf dem Computer sind, die das das Problem auftritt, Sie können die automatische Korrektur auf ein Flashlaufwerk oder auf eine CD speichern, und Sie können führen Sie auf dem Computer, der auf das Problem ist.

Wechseln Sie jetzt die "Did this fix the problem?" Abschnitt.

Mich selbst korrigieren


wichtig In diesem Abschnitt, Methode oder Aufgabe enthält Hinweise zum Ändern der Registrierung. Allerdings können schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Stellen Sie daher sicher, dass Sie diese Schritte sorgfältig ausführen. Für zusätzlichen Schutz sichern Sie der Registrierung, bevor Sie ihn ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756Zum Sichern und Wiederherstellen der Registrierung in Windows
Gehen Sie folgendermaßen vor um den Registrierungseintrag UseGroupRecursion verwenden,
  1. Klicken Sie auf Start , klicken Sie auf Ausführen , geben Sie regedit ein und drücken Sie anschließend die [EINGABETASTE].
  2. Klicken Sie auf folgenden Unterschlüssel in der Registrierung:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Authz
  3. Klicken Sie im Menü Bearbeiten auf neu , und klicken Sie dann auf DWORD-Wert .
  4. Geben Sie UseGroupRecursion , und drücken Sie anschließend die [EINGABETASTE].
  5. Klicken Sie mit der rechten Maustaste auf UseGroupRecursion , und klicken Sie dann auf Ändern .
  6. Geben Sie in das Feld Wertdaten 1 ein, und klicken Sie dann auf OK .
  7. Beenden Sie den Registrierungs-Editor.
Hinweis: Wenn der Wert im Feld Wertdaten auf 0, die Autorisierungs-Manager-Laufzeit festgelegt wird standardmäßig Datenbankmodul verwendet die Kerberos-Methode. Wenn dieser Wert auf 1 festgelegt ist, verwendet das Authorization Manager Runtime-Modul rekursive Methode.

Wechseln Sie jetzt die "Did this fix the problem?" Abschnitt.

Behoben das Problem dadurch?

Nachdem Sie den Registrierungseintrag Methode Rekursion Gruppe ändern möchten, müssen Sie die folgenden Aktionen ausführen:
  • Prüfen Sie immer effektive Berechtigungen lokal auf einem Computer, auf die Ressource befindet.
  • Stellen Sie sicher, dass der Benutzer mit Administratorrechten Lesezugriff auf das Benutzerkonto verfügt für die Sie effektiven Berechtigungen überprüfen.
Hinweis: Der Benutzer mit Administratorrechten und die Ressource müssen nicht in der gleichen Domäne befinden.

Überprüfen Sie, ob das Problem behoben ist. Wenn das Problem behoben ist, sind Sie mit diesem Artikel fertig. Wenn das Problem nicht behoben wird, können Sie contact support.

Hotfix-Informationen

Es ist ein unterstützter Hotfix von Microsoft erhältlich. Der Hotfix ist jedoch nur die Behebung des Problems die in diesem Artikel beschriebene vorgesehen. Installieren Sie diesen Hotfix nur auf Systemen, bei die das in diesem Artikel beschriebene Problem auftritt. Dieser Hotfix kann einem späteren Zeitpunkt zusätzliche Tests unterzogen. Wenn durch dieses Problem nicht schwerwiegend beeinträchtigt ist, empfiehlt Microsoft daher, auf die nächste Softwareupdate zu warten, das diesen Hotfix enthält.

Wenn der Hotfix zum Download verfügbar ist, ist ein Abschnitt "Hotfix Download available (Hotfixdownload verfügbar" am oberen Rand dieser Knowledge Base-Artikel. Wenn in diesem Abschnitt nicht angezeigt wird, wenden Sie sich an technischen Kundendienst und Support, um den Hotfix zu erhalten.

Hinweis: Wenn weitere Probleme auftreten oder wenn eine Problembehandlung erforderlich ist, müssen Sie möglicherweise eine separate Serviceanfrage erstellen. Die normalen Supportkosten gelten die für zusätzliche Supportfragen und Probleme, die für diesen speziellen Hotfix nicht qualifizieren. Eine vollständige Liste der technischen Kundendienst und Support-Telefonnummern oder eine separate Serviceanfrage erstellen die folgende Microsoft-Website:
http://support.microsoft.com/contactus/?ws=support
Hinweis: Das Formular "Hotfix Download available (Hotfixdownload verfügbar" zeigt die Sprachen für die der Hotfix verfügbar ist. Wenn Ihre Sprache nicht angezeigt wird, ist es, da ein Hotfix nicht für diese Sprache zur Verfügung steht.

Voraussetzungen

Sie müssen Windows Server 2003 Service Pack 1 oder Windows Server 2003 Service Pack 2 installiert haben, um diesen Hotfix installieren zu können. Weitere Informationen zu Windows Server 2003 Service Packs finden Sie im folgenden Artikel der Microsoft Knowledge Base:
889100So erhalten Sie das neueste Servicepack für Windows Server 2003

Neustartanforderung

Sie müssen den Computer neu starten, nachdem Sie diesen Hotfix installiert haben.

Ersetzte Hotfixes

Dieser Hotfix ersetzt keine anderen Hotfixes.

Dateiinformationen

Die englische Version dieses Hotfixes weist die Dateiattribute (oder höher Dateiattribute), die in der folgenden Tabelle aufgelistet werden. Die Datums- und Uhrzeitangaben für diese Dateien sind in Coordinated Universal Time (UTC) angegeben. Wenn Sie sich die Dateiinformationen ansehen, werden diese Angaben in die lokale Zeit konvertiert. Verwenden Sie die Registerkarte Zeitzone im Element Datum und Uhrzeit in der Systemsteuerung, um die Differenz zwischen UTC und der Ortszeit zu ermitteln.
Windows Server 2003 mit Service Pack 1, x 86-basierte Versionen
Tabelle minimierenTabelle vergrößern
DateinameDateiversionDateigrößeDatumUhrzeitPlattform
"Authz.dll"5.2.3790.322072,19201-Oct-200814: 54X 86
Windows Server 2003 mit Service Pack 2, x 86-basierte Versionen
Tabelle minimierenTabelle vergrößern
DateinameDateiversionDateigrößeDatumUhrzeitPlattform
"Authz.dll"5.2.3790.438371.68001-Oct-200815: 08X 86
Windows Server 2003 mit Service Pack 1, Itanium-basierte Versionen
Tabelle minimierenTabelle vergrößern
DateinameDateiversionDateigrößeDatumUhrzeitPlattformSP AnforderungServicebereich
"Authz.dll"5.2.3790.3220237,56801-Oct-200812: 51IA-64SP1Nicht zutreffend
Wauthz.dll5.2.3790.322072,19201-Oct-200812: 51X 86SP1WOW
Windows Server 2003 mit Service Pack 2, Itanium-basierte Versionen
Tabelle minimierenTabelle vergrößern
DateinameDateiversionDateigrößeDatumUhrzeitPlattformSP AnforderungServicebereich
"Authz.dll"5.2.3790.4383237,56801-Oct-200812: 55IA-64SP2Nicht zutreffend
Wauthz.dll5.2.3790.438371.68001-Oct-200812: 55X 86SP2WOW
Windows Server 2003 mit Service Pack 1, x 64-basierte Versionen
Tabelle minimierenTabelle vergrößern
DateinameDateiversionDateigrößeDatumUhrzeitPlattformSP AnforderungServicebereich
"Authz.dll"5.2.3790.3220175,61601-Oct-200812: 51X 64SP1Nicht zutreffend
Wauthz.dll5.2.3790.322072,19201-Oct-200812: 51X 86SP1WOW
Windows Server 2003 mit Service Pack 2, x 64-basierte Versionen
Tabelle minimierenTabelle vergrößern
DateinameDateiversionDateigrößeDatumUhrzeitPlattformSP AnforderungServicebereich
"Authz.dll"5.2.3790.4383175,61601-Oct-200812: 59X 64SP2Nicht zutreffend
Wauthz.dll5.2.3790.438371.68001-Oct-200812: 59X 86SP2WOW

Status

Microsoft hat bestätigt, dass dies ein Problem in Microsoft-Produkten handelt, die im Abschnitt "Gilt für" aufgeführt sind.

Weitere Informationen

Weitere Informationen zur Terminologie für Softwareupdates finden Sie im folgenden Artikel der Microsoft Knowledge Base:
824684Erläuterung von Standardbegriffen bei Microsoft Softwareupdates
Ein weiteres bestimmte Symptom dieses Problems finden Sie im folgenden Artikel der Microsoft Knowledge Base:
884049Access Control Lists meldet möglicherweise falschen Informationen in Windows Server 2003

Eigenschaften

Artikel-ID: 933071 - Geändert am: Mittwoch, 29. Juli 2009 - Version: 3.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 Service Pack 2
Keywords: 
kbmt kbfixme kbmsifixme kbautohotfix kbexpertiseinter kbbug kbfix kbhotfixserver kbqfe KB933071 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 933071
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com