Puede informar de la ficha "Permisos efectivos" permisos incorrectos en Windows Server 2003

Cuando se utiliza la ficha Permisos efectivos para determinar los permisos que un usuario tiene para un determinado recurso en el dominio en un equipo Windows_Server_2003-based, los resultados que se muestran en la interfaz de usuario son incoherentes con los permisos del usuario para ese recurso reales. Específicamente, casillas de verificación para permitir algunos permisos pueden aparecer desactivados. O bien, casillas de verificación para algunos denegar permisos pueden aparecer activadas.

Este problema se produce cuando se cumple una de las condiciones siguientes:

• Ejecutar las herramientas administrativas remotamente desde el servidor de recursos.
• La cuenta de usuario que utiliza para ejecutar las herramientas administrativas no está en el mismo dominio que el recurso.

Por ejemplo, considere la situación siguiente:

• Tiene un grupo global de dominio a.
• Tiene un grupo local de dominio en el dominio B.
• Un recurso se encuentra en el dominio B.
• El grupo local tiene acceso completo al recurso. Este acceso incluye permisos de eliminación.
• El grupo global es un miembro del grupo local. Sin embargo, el grupo global no tiene acceso directo al recurso.
• Ver los permisos de recurso de un usuario en el grupo global con una cuenta de usuario administrativos en el dominio a. Realizar esta acción remota desde un equipo que se ha unido dominio a.

En este escenario, verá que el usuario no tiene permisos de eliminación para el recurso. Sin embargo, el usuario realmente tiene permisos de eliminación para el recurso.

Si se ejecutan las herramientas administrativas de Active Directory en un miembro de un dominio y conectar las herramientas administrativas con un controlador de dominio en otro dominio, también puede ver permisos efectivos incorrecto de resultados.

Nota Cuando se tiene acceso a objetos a través de un servidor de catálogo global que se está ejecutando en otro dominio, se muestran resultados diferentes permisos efectivos, Microsoft disuade los actos proteger objetos en Active Directory utilizando grupos locales de dominio.

El cuadro de diálogo de propiedades utiliza el motor de Runtime de administrador de autorización (AuthZ.dll). Este motor utiliza un servicio de Kerberos para usuarios (Kerberos S4U) la transacción para obtener un testigo del usuario. Sin embargo, este símbolo (token) no es relativa al servidor de recursos. En su lugar, este token es relativa a la estación administrativa o usuario que ejecuta la herramienta de administración. Por lo tanto, produce una de las situaciones siguientes:

• Si el recurso está en un dominio diferente que la estación administrativa o que el usuario administrativo, el símbolo (token) no incluye los grupos locales de dominio del equipo que aloja el recurso.
• Si el recurso tiene permisos asignados a grupos integrados, los grupos integrados se confundirse con los grupos de dominio.

En cualquier situación, se muestran resultados incorrectos permisos efectivos.

Para evitar este problema, asegúrese de realizar las siguientes acciones cuando se protege permisos efectivos un usuario para un recurso:

• Compruebe siempre los permisos efectivos localmente en un equipo que aloja el recurso.
• Si la configuración permite Kerberos S4U, asegúrese de que el usuario administrativo y el recurso están en el mismo dominio.
• Si selecciona las permisos efectivos de un objeto Active Directory, debe ejecutar las herramientas administrativas en un controlador de dominio que tenga una copia completa del objeto en un servidor de catálogo global.
• Si comprueba los permisos efectivos para un recurso agrupado, puede ejecutar las herramientas administrativas desde cualquier nodo del clúster.

Además, la revisión que se describe más adelante en esta sección presenta una entrada de registro UseGroupRecursion que permite forzar el método de recursividad de grupo.

Para utilizar la revisión

Debe aplicar esta revisión en el equipo en el que desea ejecutar las herramientas administrativas.

Para que nos establezca la entrada de registro de UseGroupRecursion para, vaya a la sección "Fix it for me". Si sería bastante establece la entrada de registro UseGroupRecursion usted mismo, vaya a la sección "Let me fix it myself".

Corregirlo para mí

Para establecer la entrada de registro UseGroupRecursion automáticamente, haga clic en el vínculo de corregir este problema . A continuación, haga clic en Ejecutar en el cuadro de diálogo Descarga de archivos y siga los pasos del asistente.



Nota que este asistente puede estar en inglés sólo; sin embargo, la corrección automática funciona también con versiones en otros idiomas.

Nota Si no están en el equipo que tiene el problema, puede guardar la corrección automática en una unidad flash o en un CD y, a continuación, puede ejecutar en el equipo que tiene el problema.

Vaya ahora a la "Did this fix the problem?" sección.

Permitirme corregirlo yo mismo

importante Esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por tanto, asegúrese de que siga estos pasos cuidadosamente. Realice una para agregar protección, copia de seguridad del registro antes de modificarlo. A continuación, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base: Para utilizar la entrada de registro UseGroupRecursion, siga estos pasos:

1. Haga clic en Inicio , haga clic en Ejecutar , escriba regedit y, a continuación, presione ENTRAR.
2. Busque y haga clic en la siguiente subclave del Registro:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Authz
3. En el menú Edición , seleccione nuevo y, a continuación, haga clic en Valor DWORD .
4. Escriba UseGroupRecursion y, a continuación, presione ENTRAR.
5. Haga clic con el botón secundario del mouse en UseGroupRecursion y, a continuación, haga clic en Modificar .
6. En el cuadro datos del valor , escriba 1 y, a continuación, haga clic en Aceptar .
7. Editor de registro de salida.

Nota Forma predeterminada, cuando el valor en el cuadro de datos de valor se establece en 0, el Administrador de autorización Runtime motor utiliza el método de Kerberos. Cuando este valor se establece en 1, el motor de administrador de autorización Runtime utiliza el método recursivo.

Vaya ahora a la "Did this fix the problem?" sección.

¿Esto soluciona el problema?

Después de utilizar la entrada del registro para cambiar el método de recursividad de grupo, se deben realizar las acciones siguientes:

• Compruebe siempre los permisos efectivos localmente en un equipo que aloja el recurso.
• Asegúrese de que el usuario administrativo tiene acceso de lectura a la cuenta de usuario para el que está comprobando los permisos efectivos.

Nota El usuario administrativo y el recurso no tienen que estar en el mismo dominio.

Compruebe si el problema es fijo. Si el problema se corrige, haya terminado con este artículo. Si no se corrige el problema, puede contact support.

Información de revisiones

Hay una revisión compatible de Microsoft. Sin embargo, esta revisión se diseñó para corregir el problema descrito en este artículo. Esta revisión sólo se aplican a sistemas que experimenten el problema descrito en este artículo. Esta revisión podría sometida a comprobaciones adicionales. Por lo tanto, si no se ve muy afectado por este problema, recomendamos que espere a la siguiente actualización de software que contenga este hotfix.

Si la revisión está disponible para descarga, es hay una sección de "Descarga de revisión disponible" al principio de este artículo. Póngase en contacto si no aparece en esta sección, con los Microsoft cliente Servicios de y soporte técnico para obtener la revisión de.

Nota Si se producen problemas adicionales o si cualquier solución de problemas es necesario, quizás tenga que crear una solicitud de servicio independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no guarden relación con esta revisión específica. Para obtener una lista completa de números de teléfono de servicio de atención al cliente y soporte técnico o para crear una solicitud de servicio independiente, visite el siguiente sitio Web: Nota El formulario "Descarga de revisión disponibles" muestra los idiomas para que la revisión está disponible. Si no ve su idioma, es porque una revisión no está disponible para ese idioma.

Requisitos previos

Debe tener Windows Server 2003 Service Pack 1 o Windows Server 2003 Service Pack 2 instalado para aplicar esta revisión. Para obtener más información acerca de Windows Server 2003 service Pack, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

Requisito de reinicio

Debe reiniciar el equipo después de aplicar este hotfix.

Información acerca de la sustitución de la revisión

Este hotfix no sustituye a otros hotfix.

Información de archivo

La versión en inglés de este hotfix tiene los atributos de archivo (o atributos de último archivo) mostrados en la siguiente tabla. Las fechas y las horas de estos archivos se muestran en hora universal coordinada (UTC). La información de los archivos se convertirá a la hora local cuando la vea. Para averiguar la diferencia entre hora UTC y la hora local, utilice la ficha zona horaria el elemento fecha y hora en el panel de control.

Windows Server 2003 con Service Pack 1, x 86

Windows Server 2003 con Service Pack 2, x 86

Windows Server 2003 con Service Pack 1, versiones basadas en Itanium

Windows Server 2003 con Service Pack 2, versiones basadas en Itanium

Windows Server 2003 con Service Pack 1, versiones basadas en 64 x

Windows Server 2003 con Service Pack 2, versiones basadas en 64 x

Microsoft ha confirmado que se trata de un problema de los productos de Microsoft enumerados en la sección "La información de este artículo se refiere a:".

Para obtener más información acerca de la terminología relativa de la actualización de software, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:Para otro síntoma específica de este problema, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base: