「有効なアクセス許可」] タブでは、Windows Server 2003 で不適切なアクセス許可を報告ことがあります。

文書翻訳 文書翻訳
文書番号: 933071 - 対象製品
すべて展開する | すべて折りたたむ

目次

問題の説明

有効なアクセス許可 ] タブを使用して、アクセス許可をユーザー、ドメイン、Windows Server 2003 ベースのコンピューターで特定のリソースが含まれるを確認する場合は、ユーザー インターフェイスに表示される結果をそのリソースのユーザーの実際のアクセス許可と矛盾しています。 具体的には、チェック ボックス一部許可するためのアクセス許可が表示される未チェックことがあります。 または、いくつか拒否アクセス許可に見えますのチェック ボックスをチェックします。

この問題は、次の条件のいずれかに当てはまる場合に発生します。
  • 管理ツールは、リモート サーバーから実行リソース。
  • 管理ツールの実行に使用するユーザー アカウントが、リソースと同じドメイン内されません。
次のような状況の例を示します。
  • A. をドメインにグローバル グループがあります。
  • B. をドメインにドメイン ローカル グループがあります。
  • B. のドメインにリソースがあります。
  • ローカル グループはリソースへのフル アクセスは。 このアクセスには、削除のアクセス許可が含まれます。
  • グローバル グループは、ローカル グループのメンバーです。 ただし、グローバル グループには、リソースへの直接アクセスがありません。
  • 管理者ユーザー アカウント ドメイン A. を使用して、グローバル グループにリソース アクセス許可をユーザーを表示します。 このは A. をドメインに参加しているコンピューターからリモート アクションを実行します。
このシナリオでは、[ユーザーに、リソースの削除のアクセス許可がない表示されます。 ただし、ユーザー実際には削除権限が、リソースの。

1 つのドメインのメンバーで、Active Directory 管理ツールを実行する、管理ツールを別のドメインのドメイン コントローラーに接続する場合は不適切な効果的なアクセス許可の結果また表示ことがあります。

メモ 別の効果的なアクセス許可の結果は別のドメインで実行されているグローバル カタログ サーバーを使用してオブジェクトがアクセスするときに表示されるが、ため、Microsoft Active Directory のセキュリティで保護するオブジェクトをドメイン ローカル グループを使用して discourages します。

原因

[プロパティ] ダイアログ ボックスは、承認マネージャー ランタイム (AuthZ.dll) エンジンを使用します。 このエンジンがユーザー (Kerberos S4U) として、Kerberos サービスを使用、ユーザーのトークンを取得するトランザクション。 ただし、このトークンは、リソース サーバーに対するされません。 代わりに、このトークンは、管理ステーションを基準にまたは管理ツールを実行したユーザーです。 したがってのいずれか、次のシナリオが発生します。
  • リソースは別のドメインの管理ステーション未満か、管理者のユーザーの場合、トークンは、リソースをホストするコンピューターのドメイン ローカル グループを含みません。
  • リソースにビルトイン グループに割り当てられているアクセス許可がある場合、ビルトイン グループはドメイン グループと混同します。
どちらの場合、不適切な効果的なアクセス許可の結果が表示されます。

解決方法

この問題を回避作成リソースに対する効果的なアクセス許可をユーザーのチェックを行うときは、次の操作を実行すること。
  • 常に、リソースをホストするコンピューターのローカルで有効なアクセス許可をチェックします。
  • 場合は、構成では Kerberos S4U は、管理者のユーザーとリソースが同じドメイン内ことことを確認します。
  • 効果的な Active Directory オブジェクトの権限をチェックする場合はグローバル カタログ サーバーにオブジェクトの完全なコピーを持っているドメイン コントローラーで管理のツールを実行する必要があります。
  • クラスター リソースの有効なアクセス許可をチェックする場合任意のクラスター ノードから、管理ツールを実行できます。
さらに、後でここで説明されている修正プログラムは、グループの再帰メソッドを強制するための UseGroupRecursion レジストリ エントリを紹介します。

修正プログラムを使用方法

管理ツールを実行するコンピューターにこの修正プログラムを適用する必要があります。

我々 の UseGroupRecursion レジストリ エントリを設定するにはには、"Fix it for me"に進みます。 自分が UseGroupRecursion レジストリ エントリを設定するはではなく場合、「Let me fix it myself」のセクションに進みます。

私の修正します。

UseGroupRecursion レジストリ エントリを自動的に設定をするには、 この問題を修正する </a0> リンク クリックします。 次に、[ ファイルのダウンロード ] ダイアログ ボックスでの 実行 ] をクリックし、ウィザードの手順に従ってください。

この問題
Microsoft Fix it 50241


メモ このウィザードでは英語のみが、自動修正他言語バージョンの Windows に対しても機能します。

メモ 操作しているコンピュータに問題がない場合、自動的な修正をフラッシュ ドライブまたは CD に保存して、問題のあるコンピュータで実行することができます。

これで、「Did this fix the problem か?」に移動します。 セクション。

自身で修正します。


重要です このセクション、メソッド、またはタスク、レジストリを変更する方法を説明する手順がされています。 ただし、深刻な問題のレジストリを誤って変更する場合が発生する可能性があります。 このため、これらの手順を慎重に実行することを確認します。 追加の保護、するため、レジストリのバックアップを変更する前に。 問題が発生した場合に、レジストリを復元できます。 バックアップおよびレジストリを復元する方法の詳細についてはをクリックして次資料「サポート技術情報」(Microsoft Knowledge Base) 資料を参照。
322756バックアップおよび Windows のレジストリを復元する方法
UseGroupRecursion レジストリ エントリを使用して、次の手順に従います。
  1. 開始 実行 regedit 、入力 [Enter キーを押します。
  2. 次のレジストリ サブキーを見つけてクリックします:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Authz
  3. [ 編集 ] メニューの [ 新規作成 ] をポイントし、[ DWORD 値 ] をクリックします。
  4. UseGroupRecursion を入力して Enter を押します。
  5. UseGroupRecursion ] を右クリックし、 変更 を実行します。
  6. 値のデータ ] 1 と入力して [OK] をクリックします。
  7. レジストリ エディターを終了します。
メモ 既定では、 値のデータ ] ボックスに値が 0 で、承認マネージャーの実行時に設定するとエンジンが Kerberos メソッドを使用します。 この値が 1 に設定されて、再帰メソッドを使用して、承認マネージャー ランタイム エンジン。

これで、「Did this fix the problem か?」に移動します。 セクション。

問題は解決しましたか。

レジストリ エントリを使用して、グループの再帰方法を変更をした後、次の操作を実行します。
  • 常に、リソースをホストするコンピューターのローカルで有効なアクセス許可をチェックします。
  • 管理者ユーザーが有効なアクセス許可をチェックするユーザー アカウントへの読み取りアクセスを確認します。
メモ 管理者のユーザーとリソースが同じドメイン内にあるがありません。

問題を解決するかどうかを確認します。 問題が解決する場合はこの記事で完了です。 場合は、問題が解決しない、contact support </a0> できます。

修正プログラムについて

サポートされている修正プログラムが Microsoft から提供されています。 ただし、ことを目的としたこの修正プログラムものですこの資料に記載されている問題のみを修正します。 この資料に記載されている問題が発生しているシステムにのみには、この修正プログラムを適用します。 この修正プログラム テストを受ける可能性があります。 そのため場合この問題で深刻な影響を受けていないお勧めしますこの修正プログラムを含む、次回ソフトウェアの更新されるまで待つことです。

修正プログラムをダウンロードできる場合はこの資料の先頭に「修正プログラムのダウンロード」セクションです。 このセクションが表示されていない場合、は、マイクロソフト カスタマーサービス & サポート修正プログラムを入手するを問い合わせてください。

メモ 追加問題が発生する場合は、個別のサービス要求を作成した任意のトラブルシューティングが必要な場合。 通常のサポート料金が追加の質問およびこの特定の修正プログラムの対象とならない問題について適用されます。 一覧については、完了マイクロソフト カスタマーサービス & サポートの電話番号のまたは個別のサービス要求を作成する、次のマイクロソフト Web サイトを参照してください。
http://support.microsoft.com/contactus/?ws=support
メモ 「修正プログラムのダウンロード」フォームには、修正プログラムが利用する言語が表示されます。 お使いの言語が表示されない場合、修正プログラムがその言語に対応しないのでは。

前提条件

Windows Server 2003 Service Pack 1 を持っている、または Windows Server 2003 Service Pack 2 がこの修正プログラムの適用にインストールします。 Windows Server 2003 Service Pack の詳細についてはをクリックして以下「サポート技術情報」(Microsoft Knowledge Base) 資料を参照。
889100Windows Server 2003 の最新の Service Pack を入手する方法

再起動の要件

この修正プログラムの適用後、コンピュータを再起動する必要があります。

修正プログラム置き換えに関する情報

修正この修正プログラムはプログラム置き換えられることもほかありません。

ファイル情報

英語版のこの修正プログラムにファイルの属性 (またはそれ以降のファイル属性) 次の表は、されている可能性もします。 日付およびこれらのファイルの時間で世界協定時刻 (UTC) と記載します。 各ファイルの日付および時刻は、世界協定時刻 (UTC) で示されています。 UTC と現地時刻の差を検索するには、コントロール パネルの [ 日付と時刻 タイム ゾーン タブを使用します。
Windows Server 2003 Service Pack 1、x86 ベースのバージョン x
元に戻す全体を表示する
ファイル名ファイルのバージョンファイル サイズ日付時間プラットフォーム
Authz.dll5.2.3790.322072,1922008 年 10 月 01 日14: 54x86
Windows Server 2003 Service Pack 2、x86 ベースのバージョン x
元に戻す全体を表示する
ファイル名ファイルのバージョンファイル サイズ日付時間プラットフォーム
Authz.dll5.2.3790.438371,6802008 年 10 月 01 日15: 08x86
Windows Server 2003 Service Pack 1、Itanium ベースのバージョン
元に戻す全体を表示する
ファイル名ファイルのバージョンファイル サイズ日付時間プラットフォームSP の必要性区分
Authz.dll5.2.3790.3220237,5682008 年 10 月 01 日12: 5164SP1該当なし
Wauthz.dll5.2.3790.322072,1922008 年 10 月 01 日12: 51x86SP1おっと
Windows Server 2003 Service Pack 2、Itanium ベースのバージョン
元に戻す全体を表示する
ファイル名ファイルのバージョンファイル サイズ日付時間プラットフォームSP の必要性区分
Authz.dll5.2.3790.4383237,5682008 年 10 月 01 日12: 5564SP2該当なし
Wauthz.dll5.2.3790.438371,6802008 年 10 月 01 日12: 55x86SP2おっと
Windows Server 2003 Service Pack 1、x64 ベース バージョン x
元に戻す全体を表示する
ファイル名ファイルのバージョンファイル サイズ日付時間プラットフォームSP の必要性区分
Authz.dll5.2.3790.3220175,6162008 年 10 月 01 日12: 51x64SP1該当なし
Wauthz.dll5.2.3790.322072,1922008 年 10 月 01 日12: 51x86SP1おっと
Windows Server 2003 Service Pack 2、x64 ベース バージョン x
元に戻す全体を表示する
ファイル名ファイルのバージョンファイル サイズ日付時間プラットフォームSP の必要性区分
Authz.dll5.2.3790.4383175,6162008 年 10 月 01 日12: 59x64SP2該当なし
Wauthz.dll5.2.3790.438371,6802008 年 10 月 01 日12: 59x86SP2おっと

ステータス

マイクロソフトとして認識していますこの問題を記載されているいるマイクロソフト製品の問題。

詳細

ソフトウェア更新の用語についてについては、資料の「サポート技術情報」(Microsoft Knowledge Base) を表示する次の資料番号をクリック。
824684マイクロソフトのソフトウェアの更新で使用される一般的な用語の説明
この問題の別の特定症状は、クリック次資料、資料の「サポート技術情報」(Microsoft Knowledge Base) を表示します。
884049アクセス制御リストでは、Windows Server 2003 で間違った情報を報告ことがあります。

プロパティ

文書番号: 933071 - 最終更新日: 2009年7月29日 - リビジョン: 3.0
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 Service Pack 2
キーワード:?
kbbug kbfix kbqfe kbexpertiseinter kbhotfixserver kbautohotfix kbmt kbfixme kbmsifixme KB933071 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:933071
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com