Lorsque vous exécutez une requête LDAP sur un contrôleur de domaine Windows Server 2008, vous procurer une liste d'attributs partiel

Traductions disponibles Traductions disponibles
Numéro d'article: 976063 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Symptômes

Lorsque vous exécutez une requête LDAP Lightweight Directory Access Protocol () sur un contrôleur de domaine Windows Server 2008, vous obtenez une liste d'attributs partiel. Cependant, si vous exécutez la même requête LDAP sur un contrôleur de domaine Windows Server 2003, vous obtenez une liste d'attributs complet dans la réponse.

Remarque : Vous pouvez exécuter cette requête à partir du contrôleur de domaine ou d'un ordinateur client qui exécute Windows Vista ou Windows Server 2008.

Le compte d'utilisateur que vous utilisez pour exécuter la requête LDAP a les propriétés suivantes :
  • Le compte est un membre du groupe Administrateurs intégré.
  • Le compte n'est pas le compte administrateur intégré.
  • Le compte est un membre du groupe Admins du domaine.
  • La liste de contrôle d'accès discrétionnaire (DACL) de l'objet utilisateur contient l'autorisation contrôle total pour le groupe Administrateurs.
  • Les autorisations effectives de l'objet interroger indique que l'utilisateur a l'autorisation contrôle total .

Cause

Ce problème se produit car la fonctionnalité Mode d'approbation administrateur (AAM) est activée pour le compte d'utilisateur dans Windows Vista et Windows Server 2008. Il est également appelé « contrôle de compte d'utilisateur"(UAC). Pour l'accès aux ressources locales, le système de sécurité a un code de bouclage afin qu'il utilise l'active jeton d'accès de la session d'ouverture de session interactive pour la session LDAP et l'accès vérifie lors du traitement de requête LDAP.

Pour plus d'informations sur la fonctionnalité AAM, visitez le site Web Microsoft TechNet suivant :
http://technet.Microsoft.com/en-us/library/cc772207 (WS.10) .aspx

Contournement

Pour contourner ce problème, appliquez l'une des méthodes suivantes.

Méthode 1

  1. Utiliser le Exécuter en tant qu'administrateur option pour ouvrir une fenêtre d'invite de commande.
  2. Dans la fenêtre d'invite de commandes, exécutez la requête LDAP.

Méthode 2

Spécifier le Aucune invite valeur pour le paramètre de sécurité suivant :
Contrôle de compte utilisateur : Comportement de l'invite d'élévation pour les administrateurs en Mode approbation administrateur
Pour plus d'informations sur la façon de spécifier la valeur de ce paramètre de sécurité, visitez le site Web Microsoft TechNet suivant :
http://technet.Microsoft.com/en-us/library/cc772207 (WS.10) .aspx

Méthode 3

  1. Créer un nouveau groupe dans le domaine.
  2. Ajoutez le groupe Admins du domaine à ce nouveau groupe.
  3. Accordez l'autorisation de lecture sur la partition de domaine à ce nouveau groupe. Pour ce faire, procédez comme suit :
    1. Cliquez sur Démarrer, cliquez sur Exécuter, type Adsiedit.msc, puis cliquez sur OK.
    2. Dans le ADSI Edit fenêtre, avec le bouton droit DC =<Name></Name>DC = com, puis cliquez sur Propriétés.
    3. Dans le Propriétés fenêtre, cliquez sur le Sécurité onglet.
    4. Sur la Sécurité Cliquez sur Ajouter.
    5. Sous Entrez les noms des objets à sélectionner, tapez le nom du nouveau groupe, puis cliquez sur OK.
    6. Assurez-vous que le groupe est sélectionné sous Noms d'utilisateur ou de groupe, cliquez pour sélectionner Autoriser pour l'autorisation de lecture, puis cliquez sur OK.
    7. Fermer le ADSI Edit fenêtre.
  4. Réexécutez la requête LDAP.

Statut

Ce comportement est voulu par la conception.

Plus d'informations

Par défaut, la fonctionnalité de l'AAM est désactivée pour le compte administrateur intégré dans Windows Vista et Windows Server 2008. En outre, la fonctionnalité de l'AAM est activée pour les autres comptes qui sont membres du groupe Administrateurs intégré.

Pour vérifier cela, exécutez la commande suivante dans une fenêtre d'invite de commande.
whoami /all
Si la fonctionnalité AAM est activée pour le compte d'utilisateur, la sortie ressemble à ceci.
USER INFORMATION
----------------

User Name      SID                                           
============== ==============================================
MyDomain\MyUser S-1-5-21-2146773085-903363285-719344707-326360


GROUP INFORMATION
-----------------

Group Name                                    Type             SID                                               Attributes                                                     
============================================= ================ ================================================= ===============================================================
Everyone                                      Well-known group S-1-1-0                                           Mandatory group, Enabled by default, Enabled group             
BUILTIN\Administrators                        Alias            S-1-5-32-544                                      Group used for deny only
Le groupe intégré Administrateurs possède l'attribut suivant :
Group used for deny only
« Groupe Admins du domaine » est affiché en tant que groupe activé avec « groupe obligatoire, activé par défaut, groupe activé » dans whoami /all mais vraiment est désactivée pour les entrées ACE autorisées. Il s'agit d'un problème connu dans Windows Server 2008 et R2.

En fonction de cette sortie, le compte d'utilisateur que vous avez utilisé pour exécuter la requête LDAP a activé la fonctionnalité de AAM. Lorsque vous exécutez la requête LDAP, vous utilisez un jeton d'accès filtré au lieu d'un jeton d'accès complet. Même si l'autorisation contrôle total pour le groupe Administrateurs est accordée à l'objet utilisateur, vous toujours inutile l'autorisation contrôle total . Par conséquent, vous obtenir uniquement une liste d'attributs partiel.

Propriétés

Numéro d'article: 976063 - Dernière mise à jour: mardi 17 juillet 2012 - Version: 1.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Vista Entreprise
  • Windows Vista Professionnel
  • Windows Vista Professionnel 64 bits
  • Windows Vista Édition Intégrale
  • Windows 7 Professionnel
  • Windows 7 Entreprise
  • Windows 7 Édition Integrale
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
Mots-clés : 
kbsurveynew kbprb kbexpertiseadvanced kbtshoot kbmt KB976063 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 976063
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com