Lorsque vous exécutez une requête LDAP sur un contrôleur de domaine, vous obtenez une liste d’attributs partiels

  • Article

Cet article fournit des solutions de contournement pour le problème lorsque vous exécutez une requête LDAP sur un contrôleur de domaine, vous obtenez une liste d’attributs partiels.

S’applique à : Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 976063

Symptômes

Lorsque vous exécutez une requête LDAP (Lightweight Directory Access Protocol) sur un contrôleur de domaine Windows Server 2008, vous obtenez une liste d’attributs partiels. Toutefois, si vous exécutez la même requête LDAP sur un contrôleur de domaine Windows Server 2003, vous obtenez une liste d’attributs complète dans la réponse.

Remarque

Vous pouvez exécuter cette requête à partir du contrôleur de domaine ou d’un ordinateur client exécutant Windows Vista ou Windows Server 2008.

Le compte d’utilisateur que vous utilisez pour exécuter la requête LDAP a les propriétés suivantes :

  • Le compte est membre du groupe Administrateurs intégré.
  • Le compte n’est pas le compte d’administrateur intégré.
  • Le compte est membre du groupe Administrateurs du domaine.
  • La liste de contrôle d’accès discrétionnaire (DACL) de l’objet utilisateur contient l’autorisation de contrôle total pour le groupe Administrateurs.
  • Les autorisations effectives de l’objet sur lequel vous interrogez indiquent que l’utilisateur dispose d’une autorisation de contrôle total.

Cause

Ce problème se produit parce que la fonctionnalité Administration mode d’approbation (AAM) est activée pour le compte d’utilisateur dans Windows Vista et dans Windows Server 2008. Il est également appelé « Contrôle de compte d’utilisateur » (UAC). Pour l’accès aux ressources locales, le système de sécurité dispose d’un code de bouclage afin qu’il utilise le jeton d’accès actif de la session d’ouverture de session interactive pour la session LDAP et les vérifications d’accès pendant le traitement de la requête LDAP.

Pour plus d’informations sur la fonctionnalité AAM, visitez le site web Microsoft TechNet suivant : https://technet.microsoft.com/library/cc772207(WS.10).aspx

Solution de contournement

Pour contourner ce problème, appliquez l’une des méthodes ci-dessous.

Méthode 1

  1. Utilisez l’option Exécuter en tant qu’administrateur pour ouvrir une fenêtre d’invite de commandes.
  2. Exécutez la requête LDAP dans la fenêtre d’invite de commandes.

Méthode 2

Spécifiez la valeur Aucune invite pour le paramètre de sécurité suivant :
Contrôle de compte d’utilisateur : comportement de l’invite d’élévation pour les administrateurs en mode d’approbation Administration
Pour plus d’informations sur la façon de spécifier la valeur de ce paramètre de sécurité, visitez le site Web Microsoft TechNet suivant : https://technet.microsoft.com/library/cc772207(WS.10).aspx

Méthode 3

  1. Créez un groupe dans le domaine.
  2. Ajoutez le groupe Administrateurs du domaine à ce nouveau groupe.
  3. Accordez l’autorisation Lecture sur la partition de domaine à ce nouveau groupe. Pour cela, procédez comme suit :
    1. Cliquez sur Démarrer, sur Exécuter, tapez adsiedit.msc, puis cliquez sur OK.
    2. Dans la fenêtre De modification ADSI, cliquez avec le bouton droit sur DC=<Name,DC>=com, puis cliquez sur Propriétés.
    3. Dans la fenêtre Propriétés , cliquez sur l’onglet Sécurité .
    4. Sous l’onglet Sécurité, cliquez sur Ajouter.
    5. Sous Entrez les noms d’objets à sélectionner, tapez le nom du nouveau groupe, puis cliquez sur OK.
    6. Assurez-vous que le groupe est sélectionné sous Noms de groupe ou d’utilisateur, cliquez pour sélectionner Autoriser pour l’autorisation Lecture, puis cliquez sur OK.
    7. Fermez la fenêtre De modification ADSI .
  4. Réexécutez la requête LDAP.

Statut

Ce comportement est inhérent au produit.

Plus d’informations

Par défaut, la fonctionnalité AAM est désactivée pour le compte d’administrateur intégré dans Windows Vista et Windows Server 2008. En outre, la fonctionnalité AAM est activée pour les autres comptes membres du groupe Administrateurs intégré.

Pour vérifier cela, exécutez la commande suivante dans une fenêtre d’invite de commandes.

whoami /all

Si la fonctionnalité AAM est activée pour le compte d’utilisateur, la sortie ressemble à ce qui suit.

USER INFORMATION
----------------

User Name SID 
============== ==============================================
MyDomain\MyUser S-1-5-21-2146773085-903363285-719344707-326360

GROUP INFORMATION
-----------------

Group Name Type SID Attributes 
============================================= ================ ================================================= ===============================================================
Everyone Well-known group S-1-1-0 Mandatory group, Enabled by default, Enabled group 
BUILTIN\Administrators Alias S-1-5-32-544 Group used for deny only

Le groupe Administrateurs intégré a l’attribut suivant :

Group used for deny only

Le groupe « Administrateurs de domaine » s’affiche en tant que groupe activé avec « Groupe obligatoire, Activé par défaut, Groupe Activé » dans whoami /all, mais est vraiment désactivé pour Autoriser les acees. Il s’agit d’un problème connu dans Windows Server 2008 R2 et Windows Server 2012.

Sur la base de cette sortie, la fonctionnalité AAM est activée pour le compte d’utilisateur que vous avez utilisé pour exécuter la requête LDAP. Lorsque vous exécutez la requête LDAP, vous utilisez un jeton d’accès filtré au lieu d’un jeton d’accès complet. Même si l’autorisation de contrôle total pour le groupe Administrateurs est accordée à l’objet utilisateur, vous ne disposez toujours pas de l’autorisation de contrôle total. Par conséquent, vous n’obtenez qu’une liste d’attributs partiels.