Cuando ejecuta una consulta LDAP en un controlador de dominio basado en Windows Server 2008, obtener una lista de atributos parciales

Seleccione idioma Seleccione idioma
Id. de artículo: 976063 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Síntomas

Al ejecutar una solicitud de Protocolo ligero de acceso a directorios (LDAP) en un controlador de dominio basado en Windows Server 2008, obtener una lista de atributos parciales. Sin embargo, si ejecuta la misma consulta LDAP en un controlador de dominio basado en Windows Server 2003, obtener una lista completa de atributo en la respuesta.

Nota Puede ejecutar esta consulta desde el controlador de dominio o desde un equipo cliente que ejecuta Windows Vista o Windows Server 2008.

La cuenta de usuario que utiliza para ejecutar la consulta LDAP tiene las siguientes propiedades:
  • La cuenta es miembro del grupo Administradores integrado.
  • La cuenta no es la cuenta Administrador integrado.
  • La cuenta es un miembro del grupo Administradores de dominio.
  • La lista de control de acceso discrecional (DACL) del objeto de usuario contiene el permiso control total para el grupo Administradores.
  • Los permisos efectivos del objeto consultar muestra que el usuario tiene el permiso control total .

Causa

Este problema se produce porque la característica modo de aprobación de administrador (AAM) está habilitada para la cuenta de usuario en Windows Vista y Windows Server 2008. Es también conocida como "Control de cuentas de usuario" (UAC). Para el acceso a recursos locales, el sistema de seguridad tiene un código de bucle invertido, por lo que utiliza el activo testigo de acceso de la sesión de inicio de sesión interactivo para la sesión LDAP y comprueba el acceso durante el procesamiento de consultas LDAP.

Para obtener más información acerca de la característica AAM, visite el siguiente sitio Web de Microsoft TechNet:
http://technet.Microsoft.com/en-us/library/cc772207 (WS.10) .aspx

Solución

Para evitar este problema, utilice uno de los métodos siguientes.

Método 1

  1. Utilice el Ejecutar como administrador opción para abrir una ventana de símbolo del sistema.
  2. Ejecutar la consulta LDAP en la ventana de símbolo del sistema.

Método 2

Especificar la Sin preguntar valor de la configuración de seguridad siguientes:
Control de cuentas de usuario: Comportamiento del indicador de elevación para los administradores en modo de aprobación de administrador
Para obtener más información sobre cómo especificar el valor de esta configuración de seguridad, visite el siguiente sitio Web de Microsoft TechNet:
http://technet.Microsoft.com/en-us/library/cc772207 (WS.10) .aspx

Método 3

  1. Crear un nuevo grupo en el dominio.
  2. Agregue el grupo de administradores de dominio a este nuevo grupo.
  3. Conceder el permiso de lectura en la partición del dominio a este nuevo grupo. Para ello, siga estos pasos:
    1. Haga clic en Inicio, haga clic en Ejecutar, tipo ADSIEdit.mscy, a continuación, haga clic en ACEPTAR.
    2. En el Edición de ADSI ventana, haga clic en DC =<Name></Name>DC = comy, a continuación, haga clic en Propiedades.
    3. En el Propiedades ventana, haga clic en el Seguridad ficha.
    4. En el Seguridad Haga clic en Agregar.
    5. Bajo Escriba los nombres de objeto para seleccionar, escriba el nombre del nuevo grupo y, a continuación, haga clic en ACEPTAR.
    6. Asegúrese de que el grupo está seleccionado en Nombres de usuario o grupo, haga clic para seleccionar Permitir para el permiso de lectura y haga clic en ACEPTAR.
    7. Cerrar el Edición de ADSI ventana.
  4. Ejecute de nuevo la consulta LDAP.

Estado

Este comportamiento es por diseño.

Más información

De forma predeterminada, la característica AAM está deshabilitada para la cuenta de administrador integrada en Windows Vista y Windows Server 2008. Además, la característica AAM está habilitada para otras cuentas que son miembros del grupo de administradores integrados.

Para comprobarlo, ejecute el siguiente comando en una ventana de símbolo del sistema.
whoami /all
Si está habilitada la característica AAM para la cuenta de usuario, el resultado similar al siguiente.
USER INFORMATION
----------------

User Name      SID                                           
============== ==============================================
MyDomain\MyUser S-1-5-21-2146773085-903363285-719344707-326360


GROUP INFORMATION
-----------------

Group Name                                    Type             SID                                               Attributes                                                     
============================================= ================ ================================================= ===============================================================
Everyone                                      Well-known group S-1-1-0                                           Mandatory group, Enabled by default, Enabled group             
BUILTIN\Administrators                        Alias            S-1-5-32-544                                      Group used for deny only
El grupo de administradores integrado tiene el siguiente atributo:
Group used for deny only
El grupo "Administradores de dominio" se muestra como un grupo habilitado con "grupo obligatorio, habilitado de forma predeterminada, el grupo habilitado" en whoami /all, pero realmente está deshabilitado para permitir ACE. Se trata de un problema conocido en Windows Server 2008 y R2.

Según este resultado, la cuenta de usuario que utilizó para ejecutar la consulta LDAP tiene habilitada la característica AAM. Al ejecutar la consulta LDAP, utilice un token de acceso filtrado en lugar de un token de acceso total. Incluso si se concede el permiso control total para el grupo Administradores para el objeto de usuario, todavía no tiene el permiso control total . Por lo tanto, se puede obtener sólo una lista de atributos parciales.

Propiedades

Id. de artículo: 976063 - Última revisión: martes, 17 de julio de 2012 - Versión: 1.0
La información de este artículo se refiere a:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Vista Enterprise
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Ultimate
  • Windows 7 Professional
  • Windows 7 Enterprise
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
Palabras clave: 
kbsurveynew kbprb kbexpertiseadvanced kbtshoot kbmt KB976063 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 976063

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com