Вкладка «Действующие разрешения» может сообщать неверные разрешения в Windows Server 2003

Переводы статьи Переводы статьи
Код статьи: 933071 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Описание проблемы

При использовании очередь Действующие разрешения Вкладка для определения Разрешения , в пользователь имеет для определенные ресурсу домена на компьютере под управлением Windows Server 2003, Результат отображаемые в пользовательском интерфейсе не согласованы от фактических разрешений пользователя Этот ресурс. В частности проверьте поля для некоторых разрешить разрешения могут появиться флажок снят. Или установите флажки для некоторых Deny разрешения могут появиться Этот флажок установлен.

Это проблема возникает при выполнении одного из следующих условий:
  • Удаленно запускать средства администрирования из ресурса сервер.
  • Учетная запись пользователя, который используется для выполнения административных Сервис не в том же домене, в качестве ресурса.
Для пример, рассмотрим следующий сценарий:
  • При наличии глобальная группа в домене A.
  • При наличии в локальную группу домена в домене б.
  • Ресурс находится в домене б.
  • Локальная группа имеет полный доступ к ресурсу. Этот доступ включает разрешения Delete.
  • Глобальная группа является членом локальной группы. Тем не менее, Глобальная группа не имеет прямой доступ к ресурсу.
  • Просмотр разрешений пользователя для ресурсов в глобальном группы с помощью учетной записи администратора в домене A. Вы делаете это удаленно на компьютере, который входит в состав домена а.
В этом случае увидеть, что у пользователя нет разрешений на удаление ресурса. Однако фактически у пользователя разрешений на удаление ресурса.

Если при работе Средства администрирования Active Directory на членами одного домена и подключение Администрирование контроллера домена в другом домене, может отображаться неправильно Результаты действующие разрешения.

Примечание Так как для отображения результатов различных действующих разрешений при доступе к объектам через сервер глобального каталога, который выполняется в другом домене, корпорация Майкрософт не рекомендует обеспечения безопасности объектов Active Directory с помощью локальные группы домена.

Причина

Диалоговое окно «Свойства» использует диспетчер авторизации Обработчик среды выполнения (AuthZ.dll). Это ядро использует службы Kerberos для пользователя (Kerberos S4U) операции для получения маркера пользователя. Однако этот маркер не является относительно ресурсов сервера. Вместо этого этот маркер по отношению к станция администратора или пользователь, который выполняет средство управления. Таким образом одно из следующих действий сценарии происходит следующее.
  • Если ресурс находится в другом домене станция администратора или чем административного пользователя не содержит маркер локальные группы домена компьютера, на котором находится ресурс.
  • Если ресурс имеет разрешения, назначаются для встроенных групп, встроенные группы путать с группами домена.
В любом случае отображаются результаты неправильного действующие разрешения.

Разрешение

Чтобы избежать этого, убедитесь, что предпринять следующие действия при проверке пользователь действующие разрешения для ресурса:
  • Всегда проверять действующие разрешения локально на компьютере содержащий ресурс.
  • Если вашей конфигурации позволяет Kerberos S4U, убедитесь, что административного пользователя и ресурс в том же домене.
  • Если проверка действующих разрешений для активного Объект каталога, следует использовать средства администрирования на контроллере домена, имеющего Полная копия объекта в сервер глобального каталога.
  • Если проверка действующих разрешений для кластера ресурс, средства администрирования можно запустить из любого узел кластера.
Кроме того исправление, описанное в данном разделе представлены запись реестра UseGroupRecursion, позволяющий принудительно метод рекурсии группы.

Для применения исправления

Следует применять исправления к компьютеру, на котором требуется запустить Администрирование.

Требуется задать параметр реестра UseGroupRecursion для вас, перейдите к»Получить помощь"раздел. Если вы бы установить параметр UseGroupRecursion самостоятельно, перейдите к»Решить самостоятельно"раздел.

Получить помощь

Чтобы задать параметр реестра UseGroupRecursion автоматически, нажмите кнопку Решить проблему связь. Нажмите кнопку Запустить В диалоговом окне Загрузка файла диалоговое окно поле и следуйте указаниям мастера.

Решить проблему
Microsoft Fix it 50241


Примечание Этот мастер может быть на английском языке Однако автоматическое исправление также работает в других языковых версиях Windows.

Примечание Если вы не являетесь компьютера, на котором выявлена проблема, можно сохранить автоматическое исправление на флэш-накопитель или компакт-диск и запустите его на компьютере, на котором возникла проблема.

Теперь перейдите к»Это неполадка устранена?" раздел.

Решить самостоятельно


Важные Этот раздел, метод или задача содержит шаги, которые показывают, как для изменения в реестр. Тем не менее, могут возникнуть серьезные проблемы при изменении реестр неправильно. Поэтому убедитесь, что вы выполните следующие действия внимательно. Для дополнительной защиты резервную копию реестра перед внесением изменений. Затем при возникновении неполадок можно восстановить реестр. Для получения дополнительных сведений о том, как резервное копирование и восстановление реестра, щелкните следующую статью номер статьи базы знаний Майкрософт:
322756 Резервное копирование и восстановление реестра Windows
Чтобы использовать параметр реестра UseGroupRecursion, выполните следующие действия.
  1. Нажмите кнопку Начало, нажмите кнопку Запустить, TYPE regedit, а затем Нажмите клавишу ВВОД.
  2. Найдите и выделите следующий подраздел реестра:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Authz
  3. На Редактирование Выберите пунктНовый, а затем нажмите кнопку Значение типа DWORD.
  4. Тип UseGroupRecursion, а затем Нажмите клавишу ВВОД.
  5. Щелкните правой кнопкой мыши UseGroupRecursion, а затем Нажмите кнопку Изменить.
  6. В Значение данных поле типа1, а затем нажмите кнопку ОК.
  7. Закройте редактор реестра.
Примечание По умолчанию когда значение в Значение данных поле имеет значение 0, время выполнения диспетчера авторизации ядро использует метод Kerberos. Если это значение равно 1, Подсистема выполнения диспетчера авторизации использует рекурсивный метод.

Теперь перейдите к»Это неполадка устранена?" раздел.

Устранена ли неполадка?

После изменения группы с помощью реестра метод рекурсии, необходимо выполнить следующие действия:
  • Всегда проверять действующие разрешения локально на компьютере содержащий ресурс.
  • Убедитесь, что администратор имеет доступ на чтение для пользователя учетная запись, для которой вы выполняется проверка действующих разрешений.
Примечание Административного пользователя и этого ресурса не которые должны находиться в том же домене.

Проверьте, устранена ли проблема. Если проблема устранена, приведенные в данной статье. Если проблема не устранена, можно ОБРАЩЕНИЕ В СЛУЖБУ ПОДДЕРЖКИ.

Сведения об исправлении

Корпорация Майкрософт выпустила исправление. Однако данное исправление предназначено для устранения проблемы, описанной в этой статье. Это исправление необходимо применяйте только в тех системах, в которых наблюдается проблема, описанная в данной статье. Это исправление может проходить дополнительное тестирование. Таким образом Если вы не представляет особой эта проблема, рекомендуется отложить ее решение до выхода ближайшего пакета обновления, содержащего это исправление.

Если исправление доступно для загрузки, имеется раздел «Исправление доступно для загрузки» в верхней части статьи базы знаний. Если этот раздел не отображается, обратитесь в службу и службу поддержки для получения исправления.

Примечание Если возникают другие проблемы или необходимо устранить неполадки, возможно создать отдельный запрос на обслуживание. Затраты на обычные службы поддержки будут применяться дополнительные вопросы и проблемы, не связанные с данным исправлением, оплачиваются. Для получения полного списка телефонов службы поддержки и обслуживания клиентов корпорации Майкрософт или создать отдельный запрос посетите следующий веб-узел корпорации Майкрософт:
http://support.Microsoft.com/contactus/?ws=Support
Примечание В форме «Исправление доступно для загрузки» отображаются языки, для которых доступно исправление. Если язык не отображается, значит исправления недоступна для данного языка.

Необходимые условия

Необходимо иметь Windows Server 2003 служба Пакет обновления 1 или Windows Server 2003 с пакетом обновления 2 установить данное исправление. Для получения дополнительных сведений о пакетах обновления для Windows Server 2003 щелкните следующий номер статьи базы знаний Майкрософт:
889100Как получить последний пакет обновления для Windows Server 2003

Необходимость перезагрузки

После установки этого исправления необходимо перезагрузить компьютер.

Сведения о замене исправлений

Это исправление не заменяет других исправлений.

Сведения о файлах

Английская версия исправления содержит атрибуты файла (или более поздними), приведенные в следующей таблице. Дата и время для файлов указаны в формате общего скоординированного времени (UTC). При просмотре сведений о файле, он преобразуется в локальное время. Чтобы узнать разницу между временем по Гринвичу и местным временем, следует использовать Часовой пояс на вкладке Дата и время элемент панели управления.
Windows Server 2003 с пакетом обновления 1, 32 разрядных выпусков
Свернуть эту таблицуРазвернуть эту таблицу
Имя файлаВерсия файлаФайл РазмерДатаВремяПлатформа
Authz.dll5.2.3790.322072,19201 Октября 2008 г.14: 54X86
Windows Server 2003 с пакетом обновления 2, 32 разрядных выпусков
Свернуть эту таблицуРазвернуть эту таблицу
Имя файлаВерсия файлаФайл РазмерДатаВремяПлатформа
Authz.dll5.2.3790.438371,68001 Октября 2008 г.15: 08X86
Windows Server 2003 с пакетом обновления 1 для систем на базе процессоров Itanium
Свернуть эту таблицуРазвернуть эту таблицу
Имя файлаВерсия файлаФайл РазмерДатаВремяПлатформаSP ТребованияВетвь службы
Authz.dll5.2.3790.3220237,56801 Октября 2008 г.12: 51IA-641 (SP1)Не Applicable
Wauthz.dll5.2.3790.322072,19201 Октября 2008 г.12: 51X861 (SP1)WOW
Windows Server 2003 с пакетом обновления 2 для систем на базе процессоров Itanium
Свернуть эту таблицуРазвернуть эту таблицу
Имя файлаВерсия файлаФайл РазмерДатаВремяПлатформаSP ТребованияВетвь службы
Authz.dll5.2.3790.4383237,56801 Октября 2008 г.12: 55IA-642 (SP2)Не Applicable
Wauthz.dll5.2.3790.438371,68001 Октября 2008 г.12: 55X862 (SP2)WOW
Windows Server 2003 с пакетом обновления 1, 64-разрядных версий
Свернуть эту таблицуРазвернуть эту таблицу
Имя файлаВерсия файлаФайл РазмерДатаВремяПлатформаSP ТребованияВетвь службы
Authz.dll5.2.3790.3220175,61601 Октября 2008 г.12: 51X641 (SP1)Не Applicable
Wauthz.dll5.2.3790.322072,19201 Октября 2008 г.12: 51X861 (SP1)WOW
Windows Server 2003 с пакетом обновления 2, 64-разрядных версий
Свернуть эту таблицуРазвернуть эту таблицу
Имя файлаВерсия файлаФайл РазмерДатаВремяПлатформаSP ТребованияВетвь службы
Authz.dll5.2.3790.4383175,61601 Октября 2008 г.12: 59X642 (SP2)Не Applicable
Wauthz.dll5.2.3790.438371,68001 Октября 2008 г.12: 59X862 (SP2)WOW

Состояние

Корпорация Майкрософт подтверждает, что это проблема в продуктах Майкрософт, перечисленных в разделе «Относится к».

Дополнительные сведения

Для получения дополнительных сведений о Терминология обновления программного обеспечения, щелкните следующий номер просмотр статьи в статье базы знаний Майкрософт:
824684 Стандартные термины, используемые при описании обновлений программных продуктов Майкрософт
Для другой конкретной симптомов этой проблемы щелкните следующий номер статьи базы знаний Майкрософт:
884049 Списки управления доступом может сообщать неверные сведения в Windows Server 2003
Примечание. Это ЭКСПРЕСС-ПУБЛИКАЦИЯ, подготовленная непосредственно службой технической поддержки Майкрософт . Сведения, содержащиеся в данном документе, предоставлены в качестве отклика на возникшие проблемы. Из-за срочности в материалах могут быть опечатки, и в любое время и без уведомления в них могут быть внесены изменения. Чтобы получить дополнительные сведения, см. Условия использования.

Свойства

Код статьи: 933071 - Последний отзыв: 18 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 Service Pack 2
Ключевые слова: 
kbfixme kbmsifixme kbautohotfix kbexpertiseinter kbbug kbfix kbqfe kbmt KB933071 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:933071

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com