Na guia "Permissões efetivas" pode reportar permissões incorretas no Windows Server 2003

Traduções deste artigo Traduções deste artigo
ID do artigo: 933071 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Descrição do problema

Quando você usa a guia Permissões efetivas para determinar as permissões que um usuário tem para um determinado recurso no domínio em um computador com Windows Server 2003, os resultados que são exibidos na interface do usuário são inconsistentes com as permissões reais do usuário para esse recurso. Especificamente, caixas de seleção para permitir algumas permissões podem aparecer não verificadas. Ou, caixas de seleção para alguns negar permissões podem aparecer marcadas.

Esse problema ocorre quando uma das seguintes condições for verdadeira:
  • Você executar remotamente as ferramentas administrativas do servidor de recurso.
  • A conta de usuário que você usa para executar as ferramentas administrativas não está no mesmo domínio que o recurso.
Por exemplo, considere o seguinte cenário:
  • Você tiver um grupo global no domínio a.
  • Você tiver um grupo local de domínio no domínio B.
  • Um recurso está localizado no domínio B.
  • O grupo local tem acesso completo ao recurso. Esse acesso inclui permissões de exclusão.
  • O grupo global é um membro do grupo local. No entanto, o grupo global não tem acesso direto ao recurso.
  • Exibir as permissões recursos de um usuário no grupo de global usando uma conta de usuário administrativo no domínio a. Execute esta ação remotamente de um computador que ingressou domínio a.
Nesse cenário, você verá que o usuário não tem permissões de exclusão para o recurso. No entanto, o usuário realmente tem permissões de exclusão para o recurso.

Se você estiver executando as ferramentas administrativas do Active Directory em um membro de um domínio e você conectar-se as ferramentas administrativas a um controlador de domínio em outro domínio, você também poderá ver resultados incorretos permissões efetivas.

Observação Porque as permissões efetivas diferentes resultados são exibidos quando objetos são acessados através de um servidor de catálogo global que está sendo executado em outro domínio, o Microsoft desencoraja proteger objetos no Active Directory usando grupos de domínio local.

Causa

A caixa de diálogo de propriedades usa o mecanismo Runtime do Gerenciador de autorização (AuthZ.dll). Esse mecanismo usa um serviço Kerberos para o usuário (Kerberos S4U) transação para obter um token do usuário. No entanto, esse token não é em relação ao servidor de recurso. Em vez disso, esse token é em relação a estação administrativa ou para o usuário que executa a ferramenta de gerenciamento. Portanto, uma das seguintes situações ocorrerá:
  • Se o recurso estiver em um domínio diferente que a estação administrativa ou de usuário administrativo, o token não inclui os grupos locais de domínio do computador que hospeda o recurso.
  • Se o recurso tiver permissões que são atribuídas a grupos internos, os grupos internos são confundidos com os grupos de domínio.
Em qualquer cenário, resultados incorretos permissões efetivas são exibidos.

Resolução

Para evitar esse problema, certifique-se de que você conheça as seguintes ações quando você verifica permissões efetivas do usuário para um recurso:
  • Sempre verifique as permissões efetivas localmente em um computador que hospeda o recurso.
  • Se sua configuração permite Kerberos S4U, certifique-se de que o usuário administrativo e o recurso estão no mesmo domínio.
  • Se você verificar as permissões efetivas de um objeto do Active Directory, você deve executar as ferramentas administrativas em um controlador de domínio que tenha uma cópia completa do objeto em um servidor de catálogo global.
  • Se você verificar as permissões efetivas de um recurso de cluster, você pode executar as ferramentas administrativas de qualquer nó de cluster.
Além disso, o hotfix descrito posteriormente nesta seção apresenta uma entrada de registro UseGroupRecursion que permite que você forçar o método de recursão de grupo.

Para usar o hotfix

Deve aplicar esse hotfix para o computador no qual você deseja executar as ferramentas administrativas.

Para que nós definir a entrada de registro UseGroupRecursion para você, vá para a seção "Fix it for me". Se você em vez disso seria definir a entrada de registro UseGroupRecursion você mesmo, vá para a seção "Let me fix it myself".

Corrigi-lo para mim

Para definir a entrada de registro UseGroupRecursion automaticamente, clique no link corrigir este problema . Em seguida, clique em Executar na caixa de diálogo Download de arquivo e siga as etapas no assistente.

Corrigir o problema
Microsoft Fix it 50241


Observação que este assistente pode estar em inglês apenas; no entanto, a correção automática também funciona para outras versões de idioma do Windows.

Observação Se você não estiver no computador que tem o problema, você pode salvar a correção automática em uma unidade flash ou em um CD e, em seguida, poderá executá-lo no computador que tem o problema.

Agora vá para o "Did this fix the problem?" seção.

Deixe-me corrigi-lo por conta própria


importante Esta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o registro incorretamente. Por isso, certifique-se que você execute essas etapas cuidadosamente. Para proteção adicional, fazer backup do registro antes de modificá-lo. Em seguida, você pode restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
322756Como fazer backup e restaurar o registro no Windows
Para usar a entrada de registro UseGroupRecursion, execute estas etapas:
  1. Clique em Iniciar , clique em Executar , digite regedit e pressione ENTER.
  2. Localize e, em seguida, clique na seguinte subchave do Registro:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Authz
  3. No menu Editar , aponte para novo e, em seguida, clique em Valor DWORD .
  4. Digite UseGroupRecursion e, em seguida, pressione ENTER.
  5. Clique com o botão direito do mouse UseGroupRecursion e, em seguida, clique em Modificar .
  6. Na caixa dados do valor , digite 1 e, em seguida, clique em OK .
  7. Feche o Editor do Registro.
Observação Por padrão, quando o valor na caixa dados do valor é definido como 0, o Runtime do Gerenciador de autorização mecanismo usa o método Kerberos. Quando esse valor é definido como 1, o mecanismo de Runtime do Gerenciador de autorização usa o método recursiva.

Agora vá para o "Did this fix the problem?" seção.

Isso corrigiu o problema?

Após usar a entrada do Registro para alterar o método de recursão de grupo, você deve tomar as seguintes ações:
  • Sempre verifique as permissões efetivas localmente em um computador que hospeda o recurso.
  • Certifique-se que o usuário administrativo tenha acesso de leitura à conta de usuário para o qual você estiver verificando as permissões efetivas.
Observação O usuário administrativo e o recurso não são necessário estar no mesmo domínio.

Verifique se o problema é corrigido. Se o problema é corrigido, você terá concluído com este artigo. Se o problema não for corrigido, você pode contact support.

Informações sobre o hotfix

Um hotfix suportado está disponível no Microsoft. No entanto, esse hotfix destina-se a corrigir o problema descrito neste artigo. Aplique-o somente aos sistemas que apresentarem o problema descrito neste artigo. Esta correcção poderá submetida a testes adicionais. Portanto, se você não tiver sido gravemente afetado por esse problema, recomendamos que você aguarde a próxima atualização de software que contém esse hotfix.

Se o hotfix está disponível para download, há uma seção "Download de Hotfix disponível" na parte superior neste artigo da Base de dados de Conhecimento. Se esta seção não for exibida, contate o atendimento e suporte para obter o hotfix.

Observação Se ocorrerem problemas adicionais ou se qualquer solução de problemas é necessária, talvez você precise criar uma solicitação de serviço separada. Os custos normais de suporte serão aplicados a questões de suporte adicionais e problemas que não se qualificam para esse hotfix específico. Para obter uma lista completa de números de telefone de suporte e Atendimento Microsoft ou para criar uma solicitação de serviço separada, visite o seguinte site:
http://support.microsoft.com/contactus/?ws=support
Observação O formulário "Download de Hotfix disponível" exibe os idiomas para os quais o hotfix está disponível. Se você não vir seu idioma, é porque um hotfix não está disponível para esse idioma.

Pré-requisitos

Você deve ter o Windows Server 2003 Service Pack 1 ou Windows Server 2003 Service Pack 2 instalado para aplicar esse hotfix. Para obter mais informações sobre service packs do Windows Server 2003, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
889100Como obter o service pack mais recente para o Windows Server 2003

Requisitos de reinicialização

Reinicie o computador após aplicar esse hotfix.

Informações sobre a substituição do hotfix

Esse hotfix não substitui outros hotfixes.

Informações sobre o arquivo

A versão em inglês deste hotfix tem atributos de arquivo (ou atributos de arquivo posteriores) listados na tabela a seguir. As datas e horas desses arquivos estão listadas no horário de universal coordenado (UTC). Quando você exibe as informações do arquivo, ele é convertido para a hora local. Para encontrar a diferença entre o UTC e a hora local, use a guia fuso horário no item Data e hora no painel de controle.
Windows Server 2003 com Service Pack 1, versões com base em 86 x
Recolher esta tabelaExpandir esta tabela
Nome de arquivoVersão do arquivoTamanho do arquivoDataTempoPlataforma
Authz.dll5.2.3790.322072.19201-Out-200814: 54x 86
Windows Server 2003 com Service Pack 2, x 86-based versões
Recolher esta tabelaExpandir esta tabela
Nome de arquivoVersão do arquivoTamanho do arquivoDataTempoPlataforma
Authz.dll5.2.3790.438371,68001-Out-200815: 08x 86
Windows Server 2003 com Service Pack 1, versões com base em Itanium
Recolher esta tabelaExpandir esta tabela
Nome de arquivoVersão do arquivoTamanho do arquivoDataTempoPlataformaSP requisitoRamificação do serviço
Authz.dll5.2.3790.3220237,56801-Out-200812: 51IA-64SP1Não aplicável
Wauthz.dll5.2.3790.322072.19201-Out-200812: 51x 86SP1UAU
Windows Server 2003 com Service Pack 2, versões com base em Itanium
Recolher esta tabelaExpandir esta tabela
Nome de arquivoVersão do arquivoTamanho do arquivoDataTempoPlataformaSP requisitoRamificação do serviço
Authz.dll5.2.3790.4383237,56801-Out-200812: 55IA-64SP2Não aplicável
Wauthz.dll5.2.3790.438371,68001-Out-200812: 55x 86SP2UAU
Windows Server 2003 com Service Pack 1, versões com base em 64 x
Recolher esta tabelaExpandir esta tabela
Nome de arquivoVersão do arquivoTamanho do arquivoDataTempoPlataformaSP requisitoRamificação do serviço
Authz.dll5.2.3790.3220175,61601-Out-200812: 51x 64SP1Não aplicável
Wauthz.dll5.2.3790.322072.19201-Out-200812: 51x 86SP1UAU
Windows Server 2003 com Service Pack 2, versões com base em 64 x
Recolher esta tabelaExpandir esta tabela
Nome de arquivoVersão do arquivoTamanho do arquivoDataTempoPlataformaSP requisitoRamificação do serviço
Authz.dll5.2.3790.4383175,61601-Out-200812: 59x 64SP2Não aplicável
Wauthz.dll5.2.3790.438371,68001-Out-200812: 59x 86SP2UAU

Status

A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na seção "Aplica-se a".

Obter mais informações

Para obter mais informações sobre terminologia de atualização de software, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
824684Descrição da terminologia padrão que é usada para descrever as atualizações de software
Para outra sintoma específica desse problema, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
884049Listas de controle de acesso podem reportar informações incorretas no Windows Server 2003

Propriedades

ID do artigo: 933071 - Última revisão: quarta-feira, 29 de julho de 2009 - Revisão: 3.0
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 Service Pack 2
Palavras-chave: 
kbmt kbfixme kbmsifixme kbautohotfix kbexpertiseinter kbbug kbfix kbhotfixserver kbqfe KB933071 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 933071

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com