Cuando se ejecuta una consulta LDAP en un controlador de dominio, se obtiene una lista de atributos parcial
En este artículo se proporcionan soluciones alternativas para el problema cuando se ejecuta una consulta LDAP en un controlador de dominio y se obtiene una lista de atributos parcial.
Se aplica a: Windows Server 2012 R2
Número de KB original: 976063
Síntomas
Cuando se ejecuta una solicitud ldap (Protocolo ligero de acceso a directorios) en un controlador de dominio basado en Windows Server 2008, se obtiene una lista de atributos parcial. Sin embargo, si ejecuta la misma consulta LDAP en un controlador de dominio basado en Windows Server 2003, obtendrá una lista completa de atributos en la respuesta.
Nota:
Puede ejecutar esta consulta desde el controlador de dominio o desde un equipo cliente que ejecute Windows Vista o Windows Server 2008.
La cuenta de usuario que se usa para ejecutar la consulta LDAP tiene las siguientes propiedades:
- La cuenta es miembro del grupo integrado Administradores.
- La cuenta no es la cuenta de administrador integrada.
- La cuenta es miembro del grupo Administradores de dominio.
- La lista de control de acceso discrecional (DACL) del objeto de usuario contiene permiso de control total para el grupo Administradores.
- Los permisos efectivos del objeto en el que se consulta muestra que el usuario tiene permiso de control total.
Causa
Este problema se produce porque la característica modo de aprobación de Administración (AAM) está habilitada para la cuenta de usuario en Windows Vista y en Windows Server 2008. También se conoce como "Control de cuentas de usuario" (UAC). Para el acceso a recursos locales, el sistema de seguridad tiene un código de bucle invertido, por lo que usa el token de acceso activo de la sesión de inicio de sesión interactiva para la sesión LDAP y las comprobaciones de acceso durante el procesamiento de consultas LDAP.
Para obtener más información sobre la característica AAM, visite el siguiente sitio web de Microsoft TechNet: https://technet.microsoft.com/library/cc772207(WS.10).aspx
Solución alternativa
Para evitar este problema, utilice uno de los métodos siguientes.
Método 1
- Use la opción Ejecutar como administrador para abrir una ventana del símbolo del sistema.
- Ejecute la consulta LDAP en la ventana del símbolo del sistema.
Método 2
Especifique el valor Sin aviso para la siguiente configuración de seguridad:
Control de cuentas de usuario: comportamiento de la solicitud de elevación de los administradores en Administración modo de aprobación
Para obtener más información sobre cómo especificar el valor de esta configuración de seguridad, visite el siguiente sitio web de Microsoft TechNet: https://technet.microsoft.com/library/cc772207(WS.10).aspx
Método 3
- Cree un nuevo grupo en el dominio.
- Agregue el grupo Administradores de dominio a este nuevo grupo.
- Conceda el permiso Leer en la partición de dominio a este nuevo grupo. Para ello, siga estos pasos:
- Haga clic en Inicio, en Ejecutar, escriba adsiedit.msc y, a continuación, haga clic en Aceptar.
- En la ventana Edición de ADSI, haga clic con el botón derecho en DC=<Name,DC>=com y, a continuación, haga clic en Propiedades.
- En la ventana Propiedades , haga clic en la pestaña Seguridad .
- En la ficha Seguridad, haga clic en Agregar.
- En Escriba los nombres de objeto que desea seleccionar, escriba el nombre del nuevo grupo y, a continuación, haga clic en Aceptar.
- Asegúrese de que el grupo está seleccionado en Nombres de grupo o de usuario, haga clic para seleccionar Permitir para el permiso Leer y, a continuación, haga clic en Aceptar.
- Cierre la ventana Edición de ADSI .
- Vuelva a ejecutar la consulta LDAP.
Estado
Este comportamiento es una característica del diseño de la aplicación.
Más información
De forma predeterminada, la característica AAM está deshabilitada para la cuenta de administrador integrada en Windows Vista y en Windows Server 2008. Además, la característica AAM está habilitada para otras cuentas que son miembros del grupo integrado Administradores.
Para comprobarlo, ejecute el siguiente comando en una ventana del símbolo del sistema.
whoami /all
Si la característica AAM está habilitada para la cuenta de usuario, la salida es similar a la siguiente.
USER INFORMATION
----------------
User Name SID
============== ==============================================
MyDomain\MyUser S-1-5-21-2146773085-903363285-719344707-326360
GROUP INFORMATION
-----------------
Group Name Type SID Attributes
============================================= ================ ================================================= ===============================================================
Everyone Well-known group S-1-1-0 Mandatory group, Enabled by default, Enabled group
BUILTIN\Administrators Alias S-1-5-32-544 Group used for deny only
El grupo de administradores integrado tiene el atributo siguiente:
Group used for deny only
El grupo "Administradores de dominio" se muestra como grupo habilitado con "Grupo obligatorio, Habilitado de forma predeterminada, Grupo habilitado" en whoami /all, pero realmente está deshabilitado para Permitir ACE. Se trata de un problema conocido en Windows Server 2008 R2 y Windows Server 2012.
En función de esta salida, la cuenta de usuario que usó para ejecutar la consulta LDAP tiene habilitada la característica AAM. Al ejecutar la consulta LDAP, se usa un token de acceso filtrado en lugar de un token de acceso completo. Incluso si se concede el permiso de control total para el grupo Administradores al objeto de usuario, todavía no tiene permiso de control total. Por lo tanto, solo se obtiene una lista de atributos parcial.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de