Ketika Anda menjalankan permintaan LDAP terhadap pengontrol domain berbasis Windows Server 2008, Anda mendapatkan daftar parsial atribut

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 976063 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

Pada Halaman ini

Gejala

Ketika Anda menjalankan Protokol Akses Direktori Ringan (LDAP) permintaan terhadap pengontrol domain berbasis Windows Server 2008, Anda mendapatkan daftar parsial atribut. Namun, jika Anda menjalankan query LDAP yang sama terhadap pengontrol domain berbasis Windows Server 2003, Anda mendapatkan daftar atribut penuh dalam respon.

Catatan Anda dapat menjalankan query ini dari pengendali domain atau dari komputer klien yang sedang menjalankan Windows Vista atau Windows Server 2008.

Account pengguna yang Anda gunakan untuk menjalankan LDAP query memiliki properti berikut:
  • Account adalah anggota dari grup Administrator built-in.
  • Account ini tidak built-in account administrator.
  • Account adalah Kelompok anggota admin Domain.
  • kendali daftar akses kewenangan (DACL) dari objek pengguna berisi izin kontrol penuh untuk grup Administrator.
  • Izin efektif objek bahwa Anda query melawan menunjukkan bahwa pengguna memiliki izin kontrol penuh .

Penyebab

Masalah ini terjadi karena fitur Admin persetujuan Mode (AAM) diaktifkan untuk account pengguna di Windows Vista dan Windows Server 2008. Hal ini juga dikenal sebagai "User Account Control" (UAC). Untuk mengakses sumber lokal, sistem keamanan memiliki kode loopback sehingga menggunakan akses aktif Token dari sesi interaktif log masuk untuk sesi LDAP dan akses cek selama pemrosesan permintaan LDAP.

Untuk informasi lebih lanjut tentang fitur AAM, kunjungi Website TechNet Microsoft berikut ini:
.aspx http://technet.Microsoft.com/en-us/library/cc772207 (WS.10)

Teknik pemecahan masalah

Untuk mengatasi masalah ini, gunakan salah satu metode berikut.

Metode 1

  1. Penggunaan Jalankan sebagai administrator pilihan untuk membuka jendela wantian perintah.
  2. Menjalankan LDAP query di jendela wantian perintah.

Metode 2

Menentukan Ada saran nilai pengaturan keamanan berikut:
User Account Control: Perilaku dari ketinggian prompt untuk administrator di Mode persetujuan Admin
Untuk informasi lebih lanjut tentang cara menentukan nilai pengaturan keamanan ini, kunjungi Website TechNet Microsoft berikut ini:
.aspx http://technet.Microsoft.com/en-us/library/cc772207 (WS.10)

Metode 3

  1. Buat Grup Baru di domain.
  2. Menambahkan grup admin Domain ke Grup Baru ini.
  3. Memberikan izin membaca pada domain partisi ke Grup Baru ini. Untuk melakukannya, ikuti langkah berikut:
    1. Klik Mulai, klik Menjalankan, jenis Adsiedit.MSC, lalu klik Oke.
    2. Dalam ADSI Edit jendela, klik kanan-atas DC =<Name></Name>DC = com, lalu klik Properti.
    3. Dalam Properti jendela, klik Keamanan tab.
    4. Pada Keamanan tab, klik Tambahkan.
    5. Di bawah Masukkan nama objek untuk memilih, ketik nama Grup Baru, dan kemudian klik Oke.
    6. Pastikan bahwa grup yang dipilih di bawah nama grup atau pengguna, klik untuk memilih Memungkinkan untuk Izin baca, dan kemudian klik Oke.
    7. Dekat ADSI Edit jendela.
  4. Menjalankan LDAP query lagi.

Status

Perilaku ini adalah dengan desain.

Informasi lebih lanjut

secara asali, fitur AAM dinonaktifkan untuk account built-in administrator di Windows Vista dan Windows Server 2008. Selain itu, fitur AAM diaktifkan untuk account lain yang menjadi anggota dari grup Administrator built-in.

Untuk memverifikasi, jalankan perintah berikut dalam jendela wantian perintah.
whoami /all
Jika fitur AAM diaktifkan untuk account pengguna, output yang menyerupai berikut ini.
USER INFORMATION
----------------

User Name      SID                                           
============== ==============================================
MyDomain\MyUser S-1-5-21-2146773085-903363285-719344707-326360


GROUP INFORMATION
-----------------

Group Name                                    Type             SID                                               Attributes                                                     
============================================= ================ ================================================= ===============================================================
Everyone                                      Well-known group S-1-1-0                                           Mandatory group, Enabled by default, Enabled group             
BUILTIN\Administrators                        Alias            S-1-5-32-544                                      Group used for deny only
Grup Administrators built-in memiliki atribut berikut:
Group used for deny only
Kelompok "Admin Domain" ditampilkan sebagai kelompok diaktifkan dengan "kelompok wajib, diaktifkan secara asali, Enabled kelompok" di whoami/semua, tapi benar-benar dinonaktifkan untuk memungkinkan ACEs. Ini adalah masalah pada Windows Server 2008 R2.

Berdasarkan output ini, account pengguna yang digunakan untuk menjalankan LDAP query memiliki fitur AAM diaktifkan. Ketika Anda menjalankan LDAP query, Anda menggunakan tanda akses disaring bukan tanda akses penuh. Bahkan jika izin kontrol penuh untuk grup Administrator diberikan ke objek pengguna, Anda masih tidak memiliki izin kontrol penuh . Oleh karena itu, Anda mendapatkan hanya daftar parsial atribut.

Properti

ID Artikel: 976063 - Kajian Terakhir: 17 Juli 2012 - Revisi: 1.0
Berlaku bagi:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Vista Enterprise
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Ultimate
  • Windows 7 Professional
  • Windows 7 Enterprise
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
Kata kunci: 
kbsurveynew kbprb kbexpertiseadvanced kbtshoot kbmt KB976063 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini: 976063

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com