Wenn Sie eine LDAP-Abfrage für einen Windows Server 2008-basierten Domänencontroller ausführen, erhalten Sie eine Liste der partiellen Attributsatz

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 976063 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Problembeschreibung

Wenn Sie eine Lightweight Directory Access Protocol (LDAP)-Anforderung für einen Windows Server 2008-basierten Domänencontroller ausführen, erhalten Sie eine Liste der partiellen Attributsatz. Wenn Sie die gleiche LDAP-Abfrage für einen Windows Server 2003-basierten Domänencontroller ausführen, erhalten Sie eine vollständige Attributliste in der Antwort.

Hinweis Sie können diese Abfrage ausführen, von dem Domänencontroller oder von einem Client-Computer, auf der Windows Vista oder Windows Server 2008 ausgeführt wird.

Das Benutzerkonto, das Sie verwenden, um die LDAP-Abfrage ausführen, hat die folgenden Eigenschaften:
  • Das Konto ist Mitglied der integrierten Administratorengruppe.
  • Das Konto ist nicht das integrierte Administratorkonto.
  • Das Konto ist Mitglied der Gruppe Domänen-Admins.
  • Discretionary Access Control List (DACL) des Benutzerobjekts enthält die Berechtigung Vollzugriff für die Gruppe Administratoren.
  • Die effektiven Berechtigungen des Objekts, dass Sie gegen zeigt Abfragen, dass der Benutzer die Berechtigung Vollzugriff verfügt.

Ursache

Dieses Problem tritt auf, weil die Funktion Admin Approval Mode (AAM) für das Benutzerkonto in Windows Vista und Windows Server 2008 aktiviert ist. Es ist auch bekannt als "User Account Control" (UAC). Für den Zugriff auf lokale Ressourcen hat das Sicherheitssystem einen Loopback-Code so, dass es für die LDAP-Sitzung die aktiven Access Token aus der interaktive Anmeldesitzung verwendet und der Zugriff während der Verarbeitung des LDAP-Abfrage überprüft.

Weitere Informationen über die AAM-Feature finden Sie auf der folgenden Microsoft TechNet-Website:
http://technet.Microsoft.com/en-us/library/cc772207 (WS.10) aspx

Abhilfe

Verwenden Sie eine der folgenden Methoden, um dieses Problem zu umgehen.

Methode 1

  1. Verwendung der Als Administrator ausführen Option, um ein Eingabeaufforderungsfenster zu öffnen.
  2. Führen Sie die LDAP-Abfrage in das Eingabeaufforderungsfenster.

Methode 2

Geben Sie die Keine Aufforderung Wert für die folgende Einstellung:
Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren im Administratorbestätigungsmodus
Weitere Informationen zum Angeben der Wert dieser Sicherheitseinstellung finden Sie auf der folgenden Microsoft TechNet-Website:
http://technet.Microsoft.com/en-us/library/cc772207 (WS.10) aspx

Methode 3

  1. Erstellen Sie eine neue Gruppe in der Domäne.
  2. Diese neue Gruppe die Domänen-Admins-Gruppe hinzufügen.
  3. Erteilen Sie dieser neuen Gruppe die Berechtigung Lesen für die Domänenpartition. Gehen Sie hierzu folgendermaßen vor:
    1. Klicken Sie auf Start, klicken Sie auf Führen Sie, Typ "Adsiedit.msc", und klicken Sie dann auf OK.
    2. In der ADSI-Bearbeitung im Fenster mit der rechten Maustaste DC =<Name></Name>DC = com, und klicken Sie dann auf Eigenschaften.
    3. In der Eigenschaften Fenster, klicken Sie auf der Sicherheit Registerkarte.
    4. Auf der Sicherheit auf Hinzufügen.
    5. Klicken Sie unter Geben Sie die zu verwendenden Objektnamen, geben Sie den Namen der neuen Gruppe ein, und klicken Sie dann auf OK.
    6. Stellen Sie sicher, dass die Gruppe, klicken Sie unter ausgewählt ist Gruppen-oder Benutzernamen, klicken Sie auf Zulassen für die Berechtigung "Lesen" und klicken Sie dann auf OK.
    7. Schließen der ADSI-Bearbeitung Fenster.
  4. Führen Sie die LDAP-Abfrage erneut aus.

Status

Dieses Verhalten ist beabsichtigt.

Weitere Informationen

Standardmäßig wird das AAM-Feature für das integrierte Administratorkonto in Windows Vista und Windows Server 2008 deaktiviert. Darüber hinaus ist das AAM-Feature für andere Konten aktiviert, die Mitglieder der integrierten Administratorengruppe sind.

Um dies zu überprüfen, führen Sie den folgenden Befehl in ein Eingabeaufforderungsfenster.
whoami /all
Wenn AAM-Feature für das Benutzerkonto aktiviert ist, wie die Ausgabe der folgenden.
USER INFORMATION
----------------

User Name      SID                                           
============== ==============================================
MyDomain\MyUser S-1-5-21-2146773085-903363285-719344707-326360


GROUP INFORMATION
-----------------

Group Name                                    Type             SID                                               Attributes                                                     
============================================= ================ ================================================= ===============================================================
Everyone                                      Well-known group S-1-1-0                                           Mandatory group, Enabled by default, Enabled group             
BUILTIN\Administrators                        Alias            S-1-5-32-544                                      Group used for deny only
Der integrierten Administratorengruppe hat das folgende Attribut:
Group used for deny only
Die Gruppe "Domänen-Admins" wird angezeigt, mit aktivierten Gruppe "verbindliche Gruppe standardmäßig aktiviert, aktiviert Group" in Whoami/all ein, aber wirklich für ACEs zulassen deaktiviert ist. Dies ist ein bekanntes Problem in Windows Server 2008 und R2.

Auf Grundlage dieser Ausgabe, verfügt das Benutzerkonto, das Sie zum Ausführen der LDAP-Abfrage verwendet die AAM aktiviert. Wenn Sie die LDAP-Abfrage ausführen, verwenden Sie anstelle einer vollständigen Zugriffstoken ein gefilterter Zugangs-Token. Auch wenn die Berechtigung Vollzugriff für die Gruppe Administratoren auf das Benutzerobjekt gewährt wird, müssen Sie die Berechtigung Vollzugriff immer noch nicht. Somit erhalten Sie nur eine partiellen Attributsatz-Liste.

Eigenschaften

Artikel-ID: 976063 - Geändert am: Dienstag, 17. Juli 2012 - Version: 1.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Vista Enterprise
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Ultimate
  • Windows 7 Professional
  • Windows 7 Enterprise
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
Keywords: 
kbsurveynew kbprb kbexpertiseadvanced kbtshoot kbmt KB976063 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 976063
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com