有效权限选项卡可能会报告在 Windows Server 2003 中的权限不正确

文章翻译 文章翻译
文章编号: 933071 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

问题描述

当您使用 有效权限 选项卡来确定在一台基于 Windows Server 2003 的计算机上的在域中的某些资源的用户具有的权限时,用户界面中显示的结果是用户的与该资源的实际权限不一致的。专门,复选框的一些允许的权限可能会出现未选中。 或选中复选框,为某些拒绝的权限可能会出现。

当满足下列条件之一为真时,就会出现此问题:
  • 从资源服务器远程运行管理工具。
  • 用于运行管理工具的用户帐户不在与该资源在同一个域中。
例如对于请考虑以下情形:
  • 您有一个全局组在域 a。
  • B.域中有域本地组
  • 资源位于域 b。
  • 本地组具有完全访问的资源。此访问权限包括删除权限。
  • 全局组是本地组的成员。但是,全局组没有直接访问的资源。
  • 在 $ 全局组中查看资源权限的用户使用管理用户帐户在域 a。您采取此措施远程从计算机中已加入域 a。
在这种情况下,您看到用户不具有删除权限的资源。但是,用户实际上没有删除权限的资源。

如果您在上一个域的成员运行 Active Directory 管理工具,并且您连接到另一个域中的域控制器的管理工具还可以看到不正确的有效权限的结果。

注意因为通过全局编录服务器正在运行另一个域中访问对象时,会显示不同的有效权限结果,Microsoft 就会在 Active Directory 中的固定对象防止通过使用域本地组。

原因

属性对话框中,使用授权管理器运行库 (AuthZ.dll) 引擎。 此引擎使用 Kerberos 服务用户 (Kerberos S4U) 的事务以获得用户的令牌。但是,此标记不是相对于资源服务器。而是,该标记是相对于管理站或执行管理工具的用户。因此,在以下情况下会出现情况之一:
  • 如果资源是在管理工作站或管理用户比不同的域中,该标记不包括承载该资源的计算机的域本地组。
  • 如果该资源中有分配给内置组的权限内置组是与域组相混淆。
在这两种情况下将显示有效权限不正确结果。

分辨率

若要不必此问题确保您在检查资源的用户的有效权限时执行以下操作:
  • 始终检查本地计算机上的主机资源的有效权限。
  • 如果您配置启用 Kerberos S4U 请确保管理用户和资源就是在同一个域中。
  • 如果您检查的 Active Directory 对象的有效权限,您应运行具有全局编录服务器上的对象的完整副本的域控制器上的管理工具。
  • 如果您检查群集资源的有效权限,您可以从任何群集节点运行管理工具。
此外,此部分中稍后介绍的修补程序引入了 UseGroupRecursion 注册表项,您可以强制组递归方法。

若要使用此修补程序

您应将此修补程序应用到计算机您要在其运行管理工具。

若要让我们为您设置 UseGroupRecursion 注册表项,请转到"Fix it for me"一节。如果您而是将自行设置 UseGroupRecursion 注册表项,请转到"Let me fix it myself"部分。

为我对其进行修复

若要自动设置 UseGroupRecursion 注册表项,单击 修复此问题 链接。然后,单击 文件下载 对话框中的 运行,并按照向导中的步骤进行操作。

解决此问题
Microsoft Fix it 50241


注意 ; 但是,可能有此向导仅在英语中会自动修复还会对其他语言版本的 Windows。

注意如果您不具有该问题的计算机上,您可以将自动修复的保存到闪存驱动器或一个 CD,然后您可以运行它有问题的计算机上。

现在请转到该"Did this fix the problem?" 一节。

让我自己更正


重要此分区、 方法,或任务包含告诉您如何修改注册表的步骤。但是,如果注册表修改不当可能会出现严重问题。因此,请确保您仔细按照这些步骤。附加的保护注册表之前先备份您对其进行修改。 然后,您可以在出现问题时还原注册表。有关如何备份和还原注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322756如何备份和还原在 Windows 注册表
若要用于 UseGroupRecursion 注册表项,请按照下列步骤操作:
  1. 单击 开始、 单击 运行,键入 regedit,然后按 ENTER 键。
  2. 找到并单击以下注册表子项:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Authz
  3. 编辑 菜单上指向 新建,然后单击 DWORD 值
  4. 键入 UseGroupRecursion,然后按 ENTER 键。
  5. 用鼠标右键单击 UseGroupRecursion,然后单击 修改
  6. 数值数据 框中键入 1,然后单击 确定
  7. 退出注册表编辑器。
注意 默认时将 数值数据 框中的值设置为 0,授权管理器运行时引擎使用 Kerberos 方法。当此值设置为 1 时,授权管理器运行时引擎将使用递归方法。

现在请转到该"Did this fix the problem?" 一节。

这是否解决了问题吗?

若要更改组的递归方法使用该注册表项后,您必须执行下列操作:
  • 始终检查本地计算机上的主机资源的有效权限。
  • 请确保在管理用户具有对要检查其有效权限的用户帐户的读取访问权限。
注意管理用户和该资源没有在同一个域中。

检查是否在解决问题。在解决问题如果您已完成这篇文章。 如果不解决该问题,并可 contact support

修补程序信息

可以从 Microsoft 获得支持的修补程序。但是,此修补程序被用于解决本文所述的此问题。此修补程序仅应用于出现本文所述问题的系统。此修补程序可能会接受进一步的测试。因此,如果此问题没有对您造成严重的影响,我们建议您等待包含此修补程序的下一个软件更新。

是否可供下载此修补程序没有"提供修补程序下载"部分中,在这篇知识库文章的顶部。如果不会显示此部分,请联系 Microsoft 客户服务和支持以获取此修复程序。

注意如果出现其他问题,或者如果需要进行任何故障诊断,则您可能不得不创建单独的服务请求。将正常收取支持费用将应用于其他支持问题和不需要进行此特定的修补程序的问题。有关完整列表的 Microsoft 客户服务和支持的电话号码,或创建一个单独的服务请求,请访问下面的 Microsoft 网站:
http://support.microsoft.com/contactus/?ws=support
注意"提供修补程序下载"窗体所显示的此修复程序是可用的语言。如果您看不到您的语言,则是一个修复程序不能用于该语言。

系统必备组件

您必须具有 Windows Server 2003 Service Pack 1 或 Windows Server 2003 Service Pack 2 安装要应用此修补程序。 有关 Windows Server 2003 的服务包的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
889100如何获取最新的 service pack,Windows Server 2003 的

重新启动要求

应用此修补程序后,您必须重新启动计算机。

修补程序替换信息

此修补程序不替代任何其他修补程序。

文件信息

此修补程序的英文版具有的文件属性 (或更新的文件属性) 在下表中列出。日期和时间对这些文件列出在协调世界时 (UTC)。当您查看文件信息时,将转换为本地时间。若要 UTC 与本地时间之间的时差使用控制面板中的 日期和时间 项中的 时区 选项卡。
Windows Server 2003 与 x 基于 x86 版本的 Service Pack 1
收起该表格展开该表格
文件的名称文件版本文件大小日期时间平台
Authz.dll5.2.3790.322072,1922008 年十月 1 日14: 54x86
Windows Server 2003 与 x 基于 x86 版本的 Service Pack 2
收起该表格展开该表格
文件的名称文件版本文件大小日期时间平台
Authz.dll5.2.3790.438371,6802008 年十月 1 日15: 08x86
Windows Server 2003 与 Service Pack 1,基于 Itanium 的版本
收起该表格展开该表格
文件的名称文件版本文件大小日期时间平台SP 要求服务分支
Authz.dll5.2.3790.3220237,5682008 年十月 1 日12: 51IA 64sp1不适用
Wauthz.dll5.2.3790.322072,1922008 年十月 1 日12: 51x86sp1
Windows Server 2003 与 Service Pack 2,基于 Itanium 的版本
收起该表格展开该表格
文件的名称文件版本文件大小日期时间平台SP 要求服务分支
Authz.dll5.2.3790.4383237,5682008 年十月 1 日12: 55IA 64sp2不适用
Wauthz.dll5.2.3790.438371,6802008 年十月 1 日12: 55x86sp2
Windows Server 2003 与 x 基于 x64 的版本的 Service Pack 1
收起该表格展开该表格
文件的名称文件版本文件大小日期时间平台SP 要求服务分支
Authz.dll5.2.3790.3220175,6162008 年十月 1 日12: 51x64sp1不适用
Wauthz.dll5.2.3790.322072,1922008 年十月 1 日12: 51x86sp1
Windows Server 2003 与 x 基于 x64 的版本的 Service Pack 2
收起该表格展开该表格
文件的名称文件版本文件大小日期时间平台SP 要求服务分支
Authz.dll5.2.3790.4383175,6162008 年十月 1 日12: 59x64sp2不适用
Wauthz.dll5.2.3790.438371,6802008 年十月 1 日12: 59x86sp2

状态

Microsoft 已经确认这是在"适用于"一节中列出的 Microsoft 产品中的问题。

详细信息

有关软件更新术语的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
824684用于描述 Microsoft 软件更新的标准术语的说明
此问题的另一个特定症状,单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
884049访问控制列表可能会报告在 Windows Server 2003 中的信息不正确

属性

文章编号: 933071 - 最后修改: 2009年7月29日 - 修订: 3.0
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 Service Pack 2
关键字:?
kbmt kbfixme kbmsifixme kbautohotfix kbexpertiseinter kbbug kbfix kbhotfixserver kbqfe KB933071 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 933071
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com