No separador "Permissões efectivas" poderá reportar permissões incorrectas no Windows Server 2003

Traduções de Artigos Traduções de Artigos
Artigo: 933071 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Descrição do problema

Quando utiliza o separador Permissões efectivas para determinar as permissões que um utilizador tem para um determinado recurso no domínio num computador com o Windows Server 2003, os resultados são apresentados na interface de utilizador estão inconsistentes com as permissões do utilizador para esse recurso reais. Especificamente, as caixas de verificação para permitir algumas permissões parecer não verificadas. Ou, alguns negar permissões poderão ser apresentadas caixas de verificação seleccionada.

Este problema ocorre quando uma das seguintes condições for verdadeira:
  • Executar as ferramentas administrativas remotamente a partir do recurso de servidor.
  • A conta de utilizador que utiliza para executar as ferramentas administrativas não estiver no mesmo domínio que o recurso.
Por exemplo, considere o seguinte cenário:
  • Ter um grupo global no domínio a.
  • Ter um grupo local de domínio no domínio B.
  • Um recurso localizado no domínio B.
  • O grupo local tem acesso total ao recurso. Este acesso inclui permissões de eliminação.
  • O grupo global é um membro do grupo local. No entanto, o grupo global não tem acesso directo ao recurso.
  • Visualizar as permissões recursos de um utilizador do grupo global utilizando uma conta de utilizador administrativo num domínio a. Executar esta acção remotamente a partir de um computador que aderiu domínio a.
Neste cenário, verá que o utilizador não tem permissões de eliminação para o recurso. No entanto, o utilizador, na realidade, ter permissões de eliminação para o recurso.

Se estiver a executar as ferramentas administrativas do Active Directory num membro de um domínio e as ferramentas administrativas ligar a um controlador de domínio noutro domínio, também poderá ver resultados incorrectos permissões efectivas.

Nota Porque os resultados diferentes permissões efectivas são apresentados quando são acedidos objectos através de um servidor de catálogo global está em execução no outro domínio, o Microsoft desencoraja proteger objectos no Active Directory utilizando grupos de domínio local.

Causa

A caixa de diálogo de propriedades utiliza o motor runtime do Gestor de autorizações (AuthZ.dll). Este motor utiliza um serviço Kerberos para o utilizador (Kerberos S4U) transacção para obter um token do utilizador. No entanto, este token não é relativo ao servidor de recursos. Em vez disso, este token é relativo para a estação administrativa ou o utilizador executa a ferramenta de gestão. Por este motivo, ocorre um dos seguintes cenários:
  • Se o recurso estiver num domínio diferente estação administrativa ou de utilizador administrativo, o token não inclui os grupos locais de domínio do computador que hospeda o recurso.
  • Se o recurso tiver permissões atribuídas a grupos incorporados, os grupos incorporados são confundidos com os grupos de domínio.
Em ambos os cenários, os resultados de incorrecto permissões efectivas são apresentados.

Resolução

Para evitar este problema, certifique-se de que tomar as seguintes acções quando verifica a permissões efectivas do utilizador para um recurso:
  • Verifique sempre permissões efectivas localmente num computador que hospeda o recurso.
  • Se a configuração activa Kerberos S4U, certifique-se de que o utilizador administrativo e o recurso se encontram no mesmo domínio.
  • Se verificar as permissões efectivas para um objecto do Active Directory, deverá executar as ferramentas administrativas num controlador de domínio que tenha uma cópia completa do objecto no servidor de catálogo global.
  • Se verificar as permissões efectivas para um recurso de cluster, pode executar as ferramentas administrativas a partir de qualquer nó do cluster.
Além disso, a correcção descrita posteriormente nesta secção apresenta uma entrada de registo UseGroupRecursion permite-lhe forçar o método de recursividade de grupo.

Para utilizar a correcção

Deve aplicar esta correcção para o computador no qual pretende executar as ferramentas administrativas.

Para que nos defina a entrada de registo UseGroupRecursion por si, vá para a secção "Fix it for me". Se vai em vez disso definir a entrada de registo UseGroupRecursion manualmente, consulte a secção "Let me fix it myself".

Corrija-o para mim

Para definir a entrada de registo UseGroupRecursion automaticamente, clique na hiperligação corrigir este problema . Em seguida, clique em Executar na caixa de diálogo Transferência de ficheiros e siga os passos do assistente.

Corrigir este problema
Microsoft Fix it 50241


Nota que este assistente poderá estar em inglês apenas; no entanto, a correcção automática também funciona para outras versões de idioma do Windows.

Nota Se não estiverem no computador que tem o problema, pode guardar a correcção automática para uma unidade flash ou para um CD e, em seguida, pode executá-la no computador que tem o problema.

Agora vá para o "Did this fix the problem?" secção.

Deixar-me corrigi-lo manualmente


importante Esta secção, método ou tarefa contém passos que indicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorrecta. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Criar uma para protecção adicional, cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
322756Como efectuar uma cópia de segurança e restaurar o registo no Windows
Para utilizar a entrada de registo UseGroupRecursion, siga estes passos:
  1. Clique em Iniciar , clique em Executar , escreva regedit e, em seguida, prima ENTER.
  2. Localize e, em seguida, clique na seguinte subchave do registo:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Authz
  3. No menu Editar , aponte para Novo e, em seguida, clique em Valor DWORD (DWORD Value) .
  4. Escreva UseGroupRecursion e, em seguida, prima ENTER.
  5. Clique com o botão direito do rato UseGroupRecursion e, em seguida, clique em Modificar .
  6. Na caixa dados do valor , escreva 1 e, em seguida, clique em OK .
  7. Saia do Editor de registo.
Nota Por predefinição, quando o valor na caixa dados do valor é definido como 0, o runtime do Gestor de autorizações motor utiliza o método de Kerberos. Quando este valor é definido como 1, motor runtime do Gestor de autorizações utiliza o método recursiva.

Agora vá para o "Did this fix the problem?" secção.

Isto corrigiu o problema?

Depois de utilizar a entrada de registo para alterar o método de recursividade de grupo, terá de efectuar as seguintes acções:
  • Verifique sempre permissões efectivas localmente num computador que hospeda o recurso.
  • Certifique-se que o utilizador administrativo tem acesso de leitura para a conta de utilizador para o qual está a verificar as permissões efectivas.
Nota O utilizador administrativo e o recurso não tem de estar no mesmo domínio.

Verifique se o problema seja corrigido. Se o problema seja corrigido, está concluído com este artigo. Se o problema não for resolvido, pode contact support.

Informações sobre a correcção

Está disponível a partir da Microsoft uma correcção suportada. No entanto, esta correcção destina-se a corrigir o problema descrito neste artigo. Aplique esta correcção apenas em sistemas que tenham o problema descrito neste artigo. Esta correcção poderá submetida a testes adicionais. Por conseguinte, se não estiver a ser gravemente afectado por este problema, recomendamos que aguarde pela próxima actualização de software que contenha esta correcção.

Se a correcção está disponível para transferência, existe uma secção "denominada transferência de correcção disponível" na parte superior deste artigo da base de dados de conhecimento. Se esta secção não for apresentado, contacte o serviço de cliente do Microsoft e suporte para obter a correcção.

Nota Se ocorram problemas adicionais ou se for necessária qualquer resolução de problemas, poderá ter de criar um pedido de assistência separado. Os custos normais do suporte serão aplicados a problemas adicionais e questões de suporte que não se enquadrem esta correcção específica. Para obter uma lista completa dos números de telefone do suporte de cliente do Microsoft ou para criar um pedido serviço separado, visite o seguinte Web site da Microsoft:
http://support.microsoft.com/contactus/?ws=support
Nota O formulário "Transferência de correcção disponível" apresenta os idiomas para a qual a correcção está disponível. Se não vir o idioma, é porque uma correcção não está disponível para esse idioma.

Pré-requisitos

Deve ter o Windows Server 2003 Service Pack 1 ou Windows Server 2003 Service Pack 2 instalado para aplicar esta correcção. Para obter mais informações sobre service packs do Windows Server 2003, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
889100Como obter o service pack mais recente do Windows Server 2003

Requisito de reinício

Tem de reiniciar o computador depois de aplicar esta correcção.

Informações sobre substituição de correcções

Esta correcção não substitui quaisquer outras correcções.

Informações do ficheiro

A versão inglesa desta correcção tem os atributos de ficheiro (ou atributos de ficheiro posteriores) listados na seguinte tabela. As datas e horas destes ficheiros são indicadas na hora universal coordenada (UTC). Quando visualiza as informações do ficheiro, é convertido para a hora local. Para determinar a diferença entre a UTC e a hora local, utilize o separador fuso horário no item data e hora no painel de controlo.
Windows Server 2003 com Service Pack 1, x 86 versões
Reduzir esta tabelaExpandir esta tabela
Nome de ficheiroVersão do ficheiroTamanho do ficheiroDataTempoPlataforma
Authz.dll5.2.3790.322072,19201-Outubro de 200814: 54x 86
Windows Server 2003 com Service Pack 2, x 86 versões
Reduzir esta tabelaExpandir esta tabela
Nome de ficheiroVersão do ficheiroTamanho do ficheiroDataTempoPlataforma
Authz.dll5.2.3790.438371,68001-Outubro de 200815: 08x 86
Windows Server 2003 com Service Pack 1, versões baseadas em Itanium
Reduzir esta tabelaExpandir esta tabela
Nome de ficheiroVersão do ficheiroTamanho do ficheiroDataTempoPlataformaSP requisitoRamo de serviço
Authz.dll5.2.3790.3220237,56801-Outubro de 200812: 51IA-64SP1Não aplicável
Wauthz.dll5.2.3790.322072,19201-Outubro de 200812: 51x 86SP1IMPRESSIONANTE
Windows Server 2003 com Service Pack 2, versões baseadas em Itanium
Reduzir esta tabelaExpandir esta tabela
Nome de ficheiroVersão do ficheiroTamanho do ficheiroDataTempoPlataformaSP requisitoRamo de serviço
Authz.dll5.2.3790.4383237,56801-Outubro de 200812: 55IA-64SP2Não aplicável
Wauthz.dll5.2.3790.438371,68001-Outubro de 200812: 55x 86SP2IMPRESSIONANTE
Windows Server 2003 com Service Pack 1, versões baseadas em 64 x
Reduzir esta tabelaExpandir esta tabela
Nome de ficheiroVersão do ficheiroTamanho do ficheiroDataTempoPlataformaSP requisitoRamo de serviço
Authz.dll5.2.3790.3220175,61601-Outubro de 200812: 51x 64SP1Não aplicável
Wauthz.dll5.2.3790.322072,19201-Outubro de 200812: 51x 86SP1IMPRESSIONANTE
Windows Server 2003 com Service Pack 2, versões baseadas em 64 x
Reduzir esta tabelaExpandir esta tabela
Nome de ficheiroVersão do ficheiroTamanho do ficheiroDataTempoPlataformaSP requisitoRamo de serviço
Authz.dll5.2.3790.4383175,61601-Outubro de 200812: 59x 64SP2Não aplicável
Wauthz.dll5.2.3790.438371,68001-Outubro de 200812: 59x 86SP2IMPRESSIONANTE

Estado

A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na secção "Aplica-se a".

Mais informações

Para obter mais informações sobre a terminologia de actualização de software, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
824684Descrição da terminologia padrão utilizada para descrever actualizações de software da Microsoft
Para outra sintoma específica deste problema, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
884049Listas de controlo de acesso poderão comunicar informações incorrectas no Windows Server 2003

Propriedades

Artigo: 933071 - Última revisão: 29 de julho de 2009 - Revisão: 3.0
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 Service Pack 2
Palavras-chave: 
kbmt kbfixme kbmsifixme kbautohotfix kbexpertiseinter kbbug kbfix kbhotfixserver kbqfe KB933071 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 933071

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com