Quando si esegue una query LDAP su un controller di dominio basato su Windows Server 2008, ottenere un elenco di attributi parziali

Traduzione articoli Traduzione articoli
Identificativo articolo: 976063 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sintomi

Quando si esegue una richiesta di Lightweight Directory Access Protocol (LDAP) su un controller di dominio basato su Windows Server 2008, Ŕ possibile ottenere un elenco di attributi parziali. Tuttavia, se si esegue la stessa query LDAP su un controller di dominio basato su Windows Server 2003, Ŕ possibile ottenere un elenco di attributi completo nella risposta.

Nota ╚ possibile eseguire la query dal controller di dominio o da un computer client che esegue Windows Vista o Windows Server 2008.

L'account utente utilizzato per eseguire la query LDAP ha le seguenti proprietÓ:
  • L'account Ŕ un membro del gruppo Administrators incorporato.
  • L'account non Ŕ l'account administrator incorporato.
  • L'account Ŕ un membro del gruppo Domain Admins.
  • L'elenco di controllo di accesso discrezionale (DACL) dell'oggetto utente contiene l'autorizzazione controllo completo per il gruppo Administrators.
  • Le autorizzazioni valide dell'oggetto che query indica che l'utente disponga dell'autorizzazione controllo completo .

Cause

Questo problema si verifica perchÚ la funzionalitÓ di modalitÓ Approvazione amministratore (AAM) Ŕ attivata per l'account utente in Windows Vista e Windows Server 2008. ╚ noto anche come "Controllo Account utente" (UAC). Per l'accesso alle risorse locali, il sistema di protezione ha un codice di loopback in modo che utilizza active Access Token dalla sessione di accesso interattivo per la sessione LDAP e controlla l'accesso durante l'elaborazione di query LDAP.

Per ulteriori informazioni sulla funzionalitÓ di modalitÓ Approvazione amministratore, visitare il seguente sito Web Microsoft TechNet:
aspx http://technet.microsoft.com/en-us/library/cc772207 (WS.10)

Workaround

Per aggirare questo problema, utilizzare uno dei metodi descritti di seguito.

Metodo 1

  1. Utilizzare il Esegui come amministratore opzione per aprire una finestra del prompt dei comandi.
  2. Nella finestra del prompt dei comandi, eseguire la query LDAP.

Metodo 2

Specificare il Nessuna richiesta valore dell'impostazione di protezione seguenti:
Controllo Account utente: Comportamento della richiesta di elevazione per gli amministratori in modalitÓ Approvazione amministratore
Per ulteriori informazioni su come specificare il valore di questa impostazione di protezione, visitare il seguente sito Web Microsoft TechNet:
aspx http://technet.microsoft.com/en-us/library/cc772207 (WS.10)

Metodo 3

  1. Creare un nuovo gruppo nel dominio.
  2. Aggiungere il gruppo Domain Admins al nuovo gruppo.
  3. Concedere l'autorizzazione di lettura sulla partizione di dominio per questo nuovo gruppo. Per effettuare questa operazione, attenersi alla seguente procedura:
    1. Fare clic su Avviare, fare clic su Eseguire, tipo Adsiedit. msc, quindi fare clic su OK.
    2. Nel Modifica ADSI finestra destro DC =<Name></Name>DC = com, quindi fare clic su ProprietÓ.
    3. Nel ProprietÓ finestra, scegliere il Protezione scheda.
    4. Nel Protezione Fare clic su Aggiungi.
    5. Nella casella di gruppo Immettere i nomi degli oggetti da selezionare, digitare il nome del nuovo gruppo e quindi fare clic su OK.
    6. Assicurarsi che il gruppo sia selezionato in Nomi utente o gruppo, fare clic per selezionare Consentire per l'autorizzazione di lettura e quindi fare clic su OK.
    7. Chiudi il Modifica ADSI finestra.
  4. Rieseguire la query LDAP.

Status

Questo comportamento legato alla progettazione.

Informazioni

Per impostazione predefinita, la funzionalitÓ di modalitÓ Approvazione amministratore Ŕ disattivata per l'account amministratore incorporato in Windows Vista e Windows Server 2008. Inoltre, la modalitÓ Approvazione amministratore Ŕ attivata per altri account che sono membri del gruppo Administrators.

Per effettuare questa verifica, eseguire il seguente comando in una finestra del prompt dei comandi.
whoami /all
Se la modalitÓ Approvazione amministratore Ŕ attivata per l'account utente, l'output Ŕ simile al seguente.
USER INFORMATION
----------------

User Name      SID                                           
============== ==============================================
MyDomain\MyUser S-1-5-21-2146773085-903363285-719344707-326360


GROUP INFORMATION
-----------------

Group Name                                    Type             SID                                               Attributes                                                     
============================================= ================ ================================================= ===============================================================
Everyone                                      Well-known group S-1-1-0                                           Mandatory group, Enabled by default, Enabled group             
BUILTIN\Administrators                        Alias            S-1-5-32-544                                      Group used for deny only
Il gruppo Administrators ha il seguente attributo:
Group used for deny only
Il gruppo "Domain Admins" Ŕ indicato come gruppo protetto con "gruppo obbligatorio, abilitato per impostazione predefinita, gruppo abilitato" in whoami /all, ma realmente Ŕ disabilitato per consentire l'ACE. Si tratta di un problema noto di Windows Server 2008 e R2.

In base a questo output, l'account utente utilizzato per eseguire la query LDAP ha attivata la funzionalitÓ di modalitÓ Approvazione amministratore. Quando si esegue la query LDAP, Ŕ possibile utilizzare un token di accesso filtrato anzichÚ un token di accesso completo. Anche se l'oggetto utente viene concesso l'autorizzazione controllo completo per il gruppo Administrators, ancora non si dispone dell'autorizzazione controllo completo . Pertanto, Ŕ possibile ottenere un elenco di attributi parziali.

ProprietÓ

Identificativo articolo: 976063 - Ultima modifica: martedý 17 luglio 2012 - Revisione: 1.0
Le informazioni in questo articolo si applicano a:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Vista Enterprise
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Ultimate
  • Windows 7 Professional
  • Windows 7 Enterprise
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
Chiavi:á
kbsurveynew kbprb kbexpertiseadvanced kbtshoot kbmt KB976063 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 976063
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com