No separador "Permissões efectivas" poderá reportar permissões incorrectas no Windows Server 2003

Quando utiliza o separador Permissões efectivas para determinar as permissões que um utilizador tem para um determinado recurso no domínio num computador com o Windows Server 2003, os resultados são apresentados na interface de utilizador estão inconsistentes com as permissões do utilizador para esse recurso reais. Especificamente, as caixas de verificação para permitir algumas permissões parecer não verificadas. Ou, alguns negar permissões poderão ser apresentadas caixas de verificação seleccionada.

Este problema ocorre quando uma das seguintes condições for verdadeira:

• Executar as ferramentas administrativas remotamente a partir do recurso de servidor.
• A conta de utilizador que utiliza para executar as ferramentas administrativas não estiver no mesmo domínio que o recurso.

Por exemplo, considere o seguinte cenário:

• Ter um grupo global no domínio a.
• Ter um grupo local de domínio no domínio B.
• Um recurso localizado no domínio B.
• O grupo local tem acesso total ao recurso. Este acesso inclui permissões de eliminação.
• O grupo global é um membro do grupo local. No entanto, o grupo global não tem acesso directo ao recurso.
• Visualizar as permissões recursos de um utilizador do grupo global utilizando uma conta de utilizador administrativo num domínio a. Executar esta acção remotamente a partir de um computador que aderiu domínio a.

Neste cenário, verá que o utilizador não tem permissões de eliminação para o recurso. No entanto, o utilizador, na realidade, ter permissões de eliminação para o recurso.

Se estiver a executar as ferramentas administrativas do Active Directory num membro de um domínio e as ferramentas administrativas ligar a um controlador de domínio noutro domínio, também poderá ver resultados incorrectos permissões efectivas.

Nota Porque os resultados diferentes permissões efectivas são apresentados quando são acedidos objectos através de um servidor de catálogo global está em execução no outro domínio, o Microsoft desencoraja proteger objectos no Active Directory utilizando grupos de domínio local.

A caixa de diálogo de propriedades utiliza o motor runtime do Gestor de autorizações (AuthZ.dll). Este motor utiliza um serviço Kerberos para o utilizador (Kerberos S4U) transacção para obter um token do utilizador. No entanto, este token não é relativo ao servidor de recursos. Em vez disso, este token é relativo para a estação administrativa ou o utilizador executa a ferramenta de gestão. Por este motivo, ocorre um dos seguintes cenários:

• Se o recurso estiver num domínio diferente estação administrativa ou de utilizador administrativo, o token não inclui os grupos locais de domínio do computador que hospeda o recurso.
• Se o recurso tiver permissões atribuídas a grupos incorporados, os grupos incorporados são confundidos com os grupos de domínio.

Em ambos os cenários, os resultados de incorrecto permissões efectivas são apresentados.

Para evitar este problema, certifique-se de que tomar as seguintes acções quando verifica a permissões efectivas do utilizador para um recurso:

• Verifique sempre permissões efectivas localmente num computador que hospeda o recurso.
• Se a configuração activa Kerberos S4U, certifique-se de que o utilizador administrativo e o recurso se encontram no mesmo domínio.
• Se verificar as permissões efectivas para um objecto do Active Directory, deverá executar as ferramentas administrativas num controlador de domínio que tenha uma cópia completa do objecto no servidor de catálogo global.
• Se verificar as permissões efectivas para um recurso de cluster, pode executar as ferramentas administrativas a partir de qualquer nó do cluster.

Além disso, a correcção descrita posteriormente nesta secção apresenta uma entrada de registo UseGroupRecursion permite-lhe forçar o método de recursividade de grupo.

Para utilizar a correcção

Deve aplicar esta correcção para o computador no qual pretende executar as ferramentas administrativas.

Para que nos defina a entrada de registo UseGroupRecursion por si, vá para a secção "Fix it for me". Se vai em vez disso definir a entrada de registo UseGroupRecursion manualmente, consulte a secção "Let me fix it myself".

Corrija-o para mim

Para definir a entrada de registo UseGroupRecursion automaticamente, clique na hiperligação corrigir este problema . Em seguida, clique em Executar na caixa de diálogo Transferência de ficheiros e siga os passos do assistente.



Nota que este assistente poderá estar em inglês apenas; no entanto, a correcção automática também funciona para outras versões de idioma do Windows.

Nota Se não estiverem no computador que tem o problema, pode guardar a correcção automática para uma unidade flash ou para um CD e, em seguida, pode executá-la no computador que tem o problema.

Agora vá para o "Did this fix the problem?" secção.

Deixar-me corrigi-lo manualmente

importante Esta secção, método ou tarefa contém passos que indicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorrecta. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Criar uma para protecção adicional, cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base: Para utilizar a entrada de registo UseGroupRecursion, siga estes passos:

1. Clique em Iniciar , clique em Executar , escreva regedit e, em seguida, prima ENTER.
2. Localize e, em seguida, clique na seguinte subchave do registo:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Authz
3. No menu Editar , aponte para Novo e, em seguida, clique em Valor DWORD (DWORD Value) .
4. Escreva UseGroupRecursion e, em seguida, prima ENTER.
5. Clique com o botão direito do rato UseGroupRecursion e, em seguida, clique em Modificar .
6. Na caixa dados do valor , escreva 1 e, em seguida, clique em OK .
7. Saia do Editor de registo.

Nota Por predefinição, quando o valor na caixa dados do valor é definido como 0, o runtime do Gestor de autorizações motor utiliza o método de Kerberos. Quando este valor é definido como 1, motor runtime do Gestor de autorizações utiliza o método recursiva.

Agora vá para o "Did this fix the problem?" secção.

Isto corrigiu o problema?

Depois de utilizar a entrada de registo para alterar o método de recursividade de grupo, terá de efectuar as seguintes acções:

• Verifique sempre permissões efectivas localmente num computador que hospeda o recurso.
• Certifique-se que o utilizador administrativo tem acesso de leitura para a conta de utilizador para o qual está a verificar as permissões efectivas.

Nota O utilizador administrativo e o recurso não tem de estar no mesmo domínio.

Verifique se o problema seja corrigido. Se o problema seja corrigido, está concluído com este artigo. Se o problema não for resolvido, pode contact support.

Informações sobre a correcção

Está disponível a partir da Microsoft uma correcção suportada. No entanto, esta correcção destina-se a corrigir o problema descrito neste artigo. Aplique esta correcção apenas em sistemas que tenham o problema descrito neste artigo. Esta correcção poderá submetida a testes adicionais. Por conseguinte, se não estiver a ser gravemente afectado por este problema, recomendamos que aguarde pela próxima actualização de software que contenha esta correcção.

Se a correcção está disponível para transferência, existe uma secção "denominada transferência de correcção disponível" na parte superior deste artigo da base de dados de conhecimento. Se esta secção não for apresentado, contacte o serviço de cliente do Microsoft e suporte para obter a correcção.

Nota Se ocorram problemas adicionais ou se for necessária qualquer resolução de problemas, poderá ter de criar um pedido de assistência separado. Os custos normais do suporte serão aplicados a problemas adicionais e questões de suporte que não se enquadrem esta correcção específica. Para obter uma lista completa dos números de telefone do suporte de cliente do Microsoft ou para criar um pedido serviço separado, visite o seguinte Web site da Microsoft: Nota O formulário "Transferência de correcção disponível" apresenta os idiomas para a qual a correcção está disponível. Se não vir o idioma, é porque uma correcção não está disponível para esse idioma.

Pré-requisitos

Deve ter o Windows Server 2003 Service Pack 1 ou Windows Server 2003 Service Pack 2 instalado para aplicar esta correcção. Para obter mais informações sobre service packs do Windows Server 2003, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:

Requisito de reinício

Tem de reiniciar o computador depois de aplicar esta correcção.

Informações sobre substituição de correcções

Esta correcção não substitui quaisquer outras correcções.

Informações do ficheiro

A versão inglesa desta correcção tem os atributos de ficheiro (ou atributos de ficheiro posteriores) listados na seguinte tabela. As datas e horas destes ficheiros são indicadas na hora universal coordenada (UTC). Quando visualiza as informações do ficheiro, é convertido para a hora local. Para determinar a diferença entre a UTC e a hora local, utilize o separador fuso horário no item data e hora no painel de controlo.

Windows Server 2003 com Service Pack 1, x 86 versões

Windows Server 2003 com Service Pack 2, x 86 versões

Windows Server 2003 com Service Pack 1, versões baseadas em Itanium

Windows Server 2003 com Service Pack 2, versões baseadas em Itanium

Windows Server 2003 com Service Pack 1, versões baseadas em 64 x

Windows Server 2003 com Service Pack 2, versões baseadas em 64 x

A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na secção "Aplica-se a".

Para obter mais informações sobre a terminologia de actualização de software, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:Para outra sintoma específica deste problema, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft: