Při spuštění dotazu LDAP řadiče domény se systémem Windows Server 2008 získat seznam atributů

Překlady článku Překlady článku
ID článku: 976063 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Příznaky

Při spuštění požadavek Lightweight Directory Access Protocol (LDAP) řadiče domény se systémem Windows Server 2008 získat seznam atributů. Však při spuštění téhož dotazu LDAP řadiče domény se systémem Windows Server 2003, získat úplnou atribut seznam v odpovědi.

Poznámka: Tento dotaz lze spustit z řadiče domény nebo z klientského počítače se systémem Windows Vista nebo Windows Server 2008.

Uživatelský účet, který použijete ke spuštění dotazu LDAP má následující vlastnosti:
  • Účet je členem předdefinované skupiny Administrators.
  • Účet je předdefinovaný účet správce.
  • Účet je členem skupiny Domain Admins.
  • Obsahuje seznam řízení přístupu (DACL) objektu uživatele oprávnění Úplné řízení pro skupinu Administrators.
  • Skutečná oprávnění objektu při dotazu proti ukazuje, že uživatel má oprávnění Úplné řízení .

Příčina

K tomuto problému dochází, protože Admin schválení režimu (AAM) je funkce pro uživatelský účet systému Windows Vista a Windows Server 2008. Je také známý jako "Řízení uživatelských účtů" (UAC). Pro přístup k místním prostředku systém zabezpečení má kód smyčky, používá aktivní přístup Token z interaktivní přihlašovací relaci pro relaci protokolu LDAP a kontroly přístupu během zpracování dotazu LDAP.

Další informace o funkci AAM webu následující webu Microsoft TechNet:
http://technet.microsoft.com/en-us/library/cc772207 (WS.10) .aspx

Jak potíže obejít

Tento problém vyřešit, použijte jednu z následujících metod.

Metoda 1

  1. Použití Spustit jako správce možnost otevřít okno příkazového řádku.
  2. V okně příkazového řádku spuste dotaz LDAP.

Metoda 2

Zadání Bez výzvy hodnota pro následující nastavení zabezpečení:
Řízení uživatelských účtů: Chování výzvy ke zvýšení oprávnění pro správce v režimu schválení správce
Další informace o tom, jak určit hodnotu tohoto nastavení zabezpečení, navštivte následující Microsoft TechNet Web společnosti:
http://technet.microsoft.com/en-us/library/cc772207 (WS.10) .aspx

Metoda 3

  1. Vytvoření nové skupiny v doméně.
  2. Přidáte skupinu Domain Admins do nové skupiny.
  3. Udělte oprávnění ke čtení v oddílu domény do nové skupiny. Chcete-li to provést, postupujte takto:
    1. Klepněte na tlačítko Start, klepněte na tlačítko Spustit, typ adsiedit.msca potom klepněte na tlačítko OK.
    2. V Rozhraní ADSI okno, klepněte pravým tlačítkem myši DC =<Name></Name>DC = coma potom klepněte na tlačítko Vlastnosti.
    3. V Vlastnosti okno, klepněte Zabezpečení na kartě.
    4. Na Zabezpečení karta, klepněte na tlačítko Přidat.
    5. Ve skupinovém rámečku Zadejte názvy objektů k výběru, zadejte název nové skupiny a klepněte na tlačítko OK.
    6. Ujistěte se, že skupina je vybrán přepínač Skupiny nebo jméno uživatele, klepnutím vyberte Povolit oprávnění ke čtení a klepněte na tlačítko OK.
    7. Zavřít Rozhraní ADSI okno.
  4. Spusťte znovu dotaz LDAP.

Prohlášení

Toto chování je záměrné.

Další informace

Ve výchozím nastavení je funkce AAM pro předdefinovaný účet správce systému Windows Vista a Windows Server 2008 zakázána. Navíc funkce AAM je povolena pro ostatní účty, které jsou členy předdefinované skupiny Administrators.

Chcete-li to ověřit, spusťte následující příkaz v okně příkazového řádku.
whoami /all
Pokud funkce AAM je povolena pro uživatelský účet, se podobá následující výstup.
USER INFORMATION
----------------

User Name      SID                                           
============== ==============================================
MyDomain\MyUser S-1-5-21-2146773085-903363285-719344707-326360


GROUP INFORMATION
-----------------

Group Name                                    Type             SID                                               Attributes                                                     
============================================= ================ ================================================= ===============================================================
Everyone                                      Well-known group S-1-1-0                                           Mandatory group, Enabled by default, Enabled group             
BUILTIN\Administrators                        Alias            S-1-5-32-544                                      Group used for deny only
Předdefinované skupiny Administrators má následující atribut:
Group used for deny only
Skupina "Domain Admins" je zobrazen jako povolené skupiny s "povinné skupiny zapnuto ve výchozím nastavení povoleno skupiny" v whoami/all, ale ve skutečnosti je zakázán povolit ACE. Toto je známý problém v systému Windows Server 2008 a R2.

Založené na tento výstup má uživatelský účet použitý ke spuštění dotazu LDAP povolena funkce AAM. Při spuštění dotazu LDAP, použijte místo úplné přístupový token filtrované přístupový token. I když k objektu uživatele je uděleno oprávnění Úplné řízení pro skupinu Administrators, stále nemáte oprávnění Úplné řízení . Proto získat seznam atributů.

Vlastnosti

ID článku: 976063 - Poslední aktualizace: 22. září 2012 - Revize: 6.0
Informace v tomto článku jsou určeny pro produkt:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Vista Enterprise
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Ultimate
  • Windows 7 Professional
  • Windows 7 Enterprise
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
Klíčová slova: 
kbsurveynew kbprb kbexpertiseadvanced kbtshoot kbmt KB976063 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku: 976063

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com