Puede informar de la ficha "Permisos efectivos" permisos incorrectos en Windows Server 2003

Seleccione idioma Seleccione idioma
Id. de artículo: 933071 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Descripción del problema

Cuando se utiliza la ficha Permisos efectivos para determinar los permisos que un usuario tiene para un determinado recurso en el dominio en un equipo Windows_Server_2003-based, los resultados que se muestran en la interfaz de usuario son incoherentes con los permisos del usuario para ese recurso reales. Específicamente, casillas de verificación para permitir algunos permisos pueden aparecer desactivados. O bien, casillas de verificación para algunos denegar permisos pueden aparecer activadas.

Este problema se produce cuando se cumple una de las condiciones siguientes:
  • Ejecutar las herramientas administrativas remotamente desde el servidor de recursos.
  • La cuenta de usuario que utiliza para ejecutar las herramientas administrativas no está en el mismo dominio que el recurso.
Por ejemplo, considere la situación siguiente:
  • Tiene un grupo global de dominio a.
  • Tiene un grupo local de dominio en el dominio B.
  • Un recurso se encuentra en el dominio B.
  • El grupo local tiene acceso completo al recurso. Este acceso incluye permisos de eliminación.
  • El grupo global es un miembro del grupo local. Sin embargo, el grupo global no tiene acceso directo al recurso.
  • Ver los permisos de recurso de un usuario en el grupo global con una cuenta de usuario administrativos en el dominio a. Realizar esta acción remota desde un equipo que se ha unido dominio a.
En este escenario, verá que el usuario no tiene permisos de eliminación para el recurso. Sin embargo, el usuario realmente tiene permisos de eliminación para el recurso.

Si se ejecutan las herramientas administrativas de Active Directory en un miembro de un dominio y conectar las herramientas administrativas con un controlador de dominio en otro dominio, también puede ver permisos efectivos incorrecto de resultados.

Nota Cuando se tiene acceso a objetos a través de un servidor de catálogo global que se está ejecutando en otro dominio, se muestran resultados diferentes permisos efectivos, Microsoft disuade los actos proteger objetos en Active Directory utilizando grupos locales de dominio.

Causa

El cuadro de diálogo de propiedades utiliza el motor de Runtime de administrador de autorización (AuthZ.dll). Este motor utiliza un servicio de Kerberos para usuarios (Kerberos S4U) la transacción para obtener un testigo del usuario. Sin embargo, este símbolo (token) no es relativa al servidor de recursos. En su lugar, este token es relativa a la estación administrativa o usuario que ejecuta la herramienta de administración. Por lo tanto, produce una de las situaciones siguientes:
  • Si el recurso está en un dominio diferente que la estación administrativa o que el usuario administrativo, el símbolo (token) no incluye los grupos locales de dominio del equipo que aloja el recurso.
  • Si el recurso tiene permisos asignados a grupos integrados, los grupos integrados se confundirse con los grupos de dominio.
En cualquier situación, se muestran resultados incorrectos permisos efectivos.

Resolución

Para evitar este problema, asegúrese de realizar las siguientes acciones cuando se protege permisos efectivos un usuario para un recurso:
  • Compruebe siempre los permisos efectivos localmente en un equipo que aloja el recurso.
  • Si la configuración permite Kerberos S4U, asegúrese de que el usuario administrativo y el recurso están en el mismo dominio.
  • Si selecciona las permisos efectivos de un objeto Active Directory, debe ejecutar las herramientas administrativas en un controlador de dominio que tenga una copia completa del objeto en un servidor de catálogo global.
  • Si comprueba los permisos efectivos para un recurso agrupado, puede ejecutar las herramientas administrativas desde cualquier nodo del clúster.
Además, la revisión que se describe más adelante en esta sección presenta una entrada de registro UseGroupRecursion que permite forzar el método de recursividad de grupo.

Para utilizar la revisión

Debe aplicar esta revisión en el equipo en el que desea ejecutar las herramientas administrativas.

Para que nos establezca la entrada de registro de UseGroupRecursion para, vaya a la sección "Fix it for me". Si sería bastante establece la entrada de registro UseGroupRecursion usted mismo, vaya a la sección "Let me fix it myself".

Corregirlo para mí

Para establecer la entrada de registro UseGroupRecursion automáticamente, haga clic en el vínculo de corregir este problema . A continuación, haga clic en Ejecutar en el cuadro de diálogo Descarga de archivos y siga los pasos del asistente.

Corregir este problema
Microsoft Fix it 50241


Nota que este asistente puede estar en inglés sólo; sin embargo, la corrección automática funciona también con versiones en otros idiomas.

Nota Si no están en el equipo que tiene el problema, puede guardar la corrección automática en una unidad flash o en un CD y, a continuación, puede ejecutar en el equipo que tiene el problema.

Vaya ahora a la "Did this fix the problem?" sección.

Permitirme corregirlo yo mismo


importante Esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por tanto, asegúrese de que siga estos pasos cuidadosamente. Realice una para agregar protección, copia de seguridad del registro antes de modificarlo. A continuación, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756Cómo realizar una copia de seguridad y restaurar el registro de Windows
Para utilizar la entrada de registro UseGroupRecursion, siga estos pasos:
  1. Haga clic en Inicio , haga clic en Ejecutar , escriba regedit y, a continuación, presione ENTRAR.
  2. Busque y haga clic en la siguiente subclave del Registro:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Authz
  3. En el menú Edición , seleccione nuevo y, a continuación, haga clic en Valor DWORD .
  4. Escriba UseGroupRecursion y, a continuación, presione ENTRAR.
  5. Haga clic con el botón secundario del mouse en UseGroupRecursion y, a continuación, haga clic en Modificar .
  6. En el cuadro datos del valor , escriba 1 y, a continuación, haga clic en Aceptar .
  7. Editor de registro de salida.
Nota Forma predeterminada, cuando el valor en el cuadro de datos de valor se establece en 0, el Administrador de autorización Runtime motor utiliza el método de Kerberos. Cuando este valor se establece en 1, el motor de administrador de autorización Runtime utiliza el método recursivo.

Vaya ahora a la "Did this fix the problem?" sección.

¿Esto soluciona el problema?

Después de utilizar la entrada del registro para cambiar el método de recursividad de grupo, se deben realizar las acciones siguientes:
  • Compruebe siempre los permisos efectivos localmente en un equipo que aloja el recurso.
  • Asegúrese de que el usuario administrativo tiene acceso de lectura a la cuenta de usuario para el que está comprobando los permisos efectivos.
Nota El usuario administrativo y el recurso no tienen que estar en el mismo dominio.

Compruebe si el problema es fijo. Si el problema se corrige, haya terminado con este artículo. Si no se corrige el problema, puede contact support.

Información de revisiones

Hay una revisión compatible de Microsoft. Sin embargo, esta revisión se diseñó para corregir el problema descrito en este artículo. Esta revisión sólo se aplican a sistemas que experimenten el problema descrito en este artículo. Esta revisión podría sometida a comprobaciones adicionales. Por lo tanto, si no se ve muy afectado por este problema, recomendamos que espere a la siguiente actualización de software que contenga este hotfix.

Si la revisión está disponible para descarga, es hay una sección de "Descarga de revisión disponible" al principio de este artículo. Póngase en contacto si no aparece en esta sección, con los Microsoft cliente Servicios de y soporte técnico para obtener la revisión de.

Nota Si se producen problemas adicionales o si cualquier solución de problemas es necesario, quizás tenga que crear una solicitud de servicio independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no guarden relación con esta revisión específica. Para obtener una lista completa de números de teléfono de servicio de atención al cliente y soporte técnico o para crear una solicitud de servicio independiente, visite el siguiente sitio Web:
http://support.microsoft.com/contactus/?ws=support
Nota El formulario "Descarga de revisión disponibles" muestra los idiomas para que la revisión está disponible. Si no ve su idioma, es porque una revisión no está disponible para ese idioma.

Requisitos previos

Debe tener Windows Server 2003 Service Pack 1 o Windows Server 2003 Service Pack 2 instalado para aplicar esta revisión. Para obtener más información acerca de Windows Server 2003 service Pack, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
889100Cómo obtener la versión más reciente del Service Pack para Windows Server 2003

Requisito de reinicio

Debe reiniciar el equipo después de aplicar este hotfix.

Información acerca de la sustitución de la revisión

Este hotfix no sustituye a otros hotfix.

Información de archivo

La versión en inglés de este hotfix tiene los atributos de archivo (o atributos de último archivo) mostrados en la siguiente tabla. Las fechas y las horas de estos archivos se muestran en hora universal coordinada (UTC). La información de los archivos se convertirá a la hora local cuando la vea. Para averiguar la diferencia entre hora UTC y la hora local, utilice la ficha zona horaria el elemento fecha y hora en el panel de control.
Windows Server 2003 con Service Pack 1, x 86
Contraer esta tablaAmpliar esta tabla
Nombre de archivoArchivo VersiónTamaño de archivoFechaTiempoPlataforma
Authz.dll5.2.3790.322072,19201 De octubre de 200814: 54x 86
Windows Server 2003 con Service Pack 2, x 86
Contraer esta tablaAmpliar esta tabla
Nombre de archivoArchivo VersiónTamaño de archivoFechaTiempoPlataforma
Authz.dll5.2.3790.438371,68001 De octubre de 200815: 08x 86
Windows Server 2003 con Service Pack 1, versiones basadas en Itanium
Contraer esta tablaAmpliar esta tabla
Nombre de archivoArchivo VersiónTamaño de archivoFechaTiempoPlataformaRequisito de SPTipo de servicio
Authz.dll5.2.3790.3220237.56801 De octubre de 200812: 51IA-64SP1No aplicable
Wauthz.dll5.2.3790.322072,19201 De octubre de 200812: 51x 86SP1GUAU
Windows Server 2003 con Service Pack 2, versiones basadas en Itanium
Contraer esta tablaAmpliar esta tabla
Nombre de archivoArchivo VersiónTamaño de archivoFechaTiempoPlataformaRequisito de SPTipo de servicio
Authz.dll5.2.3790.4383237.56801 De octubre de 200812: 55IA-64SP2No aplicable
Wauthz.dll5.2.3790.438371,68001 De octubre de 200812: 55x 86SP2GUAU
Windows Server 2003 con Service Pack 1, versiones basadas en 64 x
Contraer esta tablaAmpliar esta tabla
Nombre de archivoArchivo VersiónTamaño de archivoFechaTiempoPlataformaRequisito de SPTipo de servicio
Authz.dll5.2.3790.3220175,61601 De octubre de 200812: 51x 64SP1No aplicable
Wauthz.dll5.2.3790.322072,19201 De octubre de 200812: 51x 86SP1GUAU
Windows Server 2003 con Service Pack 2, versiones basadas en 64 x
Contraer esta tablaAmpliar esta tabla
Nombre de archivoArchivo VersiónTamaño de archivoFechaTiempoPlataformaRequisito de SPTipo de servicio
Authz.dll5.2.3790.4383175,61601 De octubre de 200812: 59x 64SP2No aplicable
Wauthz.dll5.2.3790.438371,68001 De octubre de 200812: 59x 86SP2GUAU

Estado

Microsoft ha confirmado que se trata de un problema de los productos de Microsoft enumerados en la sección "La información de este artículo se refiere a:".

Obtener más información

Para obtener más información acerca de la terminología relativa de la actualización de software, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
824684Descripción de la terminología estándar utilizada para describir las actualizaciones de software de Microsoft
Para otro síntoma específica de este problema, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
884049Listas de control de acceso pueden informar de la información incorrecta en Windows Server 2003

Propiedades

Id. de artículo: 933071 - Última revisión: miércoles, 29 de julio de 2009 - Versión: 3.0
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 Service Pack 2
Palabras clave: 
kbmt kbfixme kbmsifixme kbautohotfix kbexpertiseinter kbbug kbfix kbhotfixserver kbqfe KB933071 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 933071

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com