Windows Server 2008 ベースのドメイン コント ローラーに対して LDAP クエリを実行すると、部分的な属性のリストを取得します。

文書翻訳 文書翻訳
文書番号: 976063 - 対象製品
すべて展開する | すべて折りたたむ

目次

現象

Windows Server 2008 ベースのドメイン コント ローラーに対してライトウェイト ディレクトリ アクセス プロトコル (LDAP) 要求を実行すると、部分的な属性のリストを取得します。ただし、Windows Server 2003 ベースのドメイン コント ローラーに対して LDAP クエリを実行すると、応答に属性の完全なリストを取得します。

ドメイン コント ローラーから、または Windows Vista または Windows Server 2008 を実行しているクライアント コンピューターからこのクエリを実行することができます。

LDAP クエリを実行するために使用するユーザー アカウントには、次のプロパティがあります。
  • アカウントは、ビルトインの Administrators グループのメンバーです。
  • アカウントは、ビルトインの administrator アカウントです。
  • アカウントは、Domain Admins グループのメンバーです。
  • ユーザー オブジェクトの随意アクセス制御リスト (DACL) には、Administrators グループに対してフル コントロールのアクセス許可が含まれています。
  • 有効なアクセス許可、ユーザーがフル コントロールのアクセス許可を持っていることを示していますに対してをクエリすると、オブジェクトの。

原因

この問題は Windows vista と Windows Server 2008 でユーザー アカウントを管理者承認モード (AAM) 機能が有効でないために発生します。それは「ユーザー アカウント制御」(UAC) とも呼ばれます。ローカル リソースへのアクセスをセキュリティ システムは、ループバック コード、LDAP セッションのアクティブなアクセス ・ トークン、対話型のログオン セッションを使用して、LDAP クエリの処理中に、アクセスをチェックするようがあります。

AAM 機能の詳細については、次のマイクロソフト Web サイトを参照してください。
.aspx の http://technet.microsoft.com/en-us/library/cc772207 (WS.10)

回避策

この問題を回避するには、次の方法のいずれかを使用します。

方法 1

  1. 使用して、 管理者としての実行します。 コマンド プロンプト ウィンドウを開くにはオプションです。
  2. コマンド プロンプト ウィンドウで、LDAP クエリを実行します。

方法 2

指定の 入力が要求されません。 次のセキュリティ設定の値。
ユーザー アカウント制御: 動作を管理者承認モードでの管理者に対する昇格プロンプトの
このセキュリティ設定の値を指定する方法の詳細については、次のマイクロソフト Web サイトを参照してください。
.aspx の http://technet.microsoft.com/en-us/library/cc772207 (WS.10)

方法 3

  1. ドメイン内に新しいグループを作成します。
  2. Domain Admins グループはこの新しいグループに追加します。
  3. この新しいグループにドメイン パーティションの読み取りアクセス許可を与えます。以下が手順例となります:
    1. クリックしてください。 ボタンをクリックし、[ Exchange Server 2010 SP1 をインストールした後 Outlook クライアント アプリケーションがパブリック フォルダーに接続できない] adsiedit.mscプロパティ ].
    2. で、 ウィンドウを右クリックして DC =<Name></Name>DC = comプロパティ をクリックします。.
    3. で、 をクリックします。 ウィンドウをクリックして、 セキュリティ タブします。
    4. で、 セキュリティ タブで、クリックしてください 追加.
    5. 下にあります。 選択するオブジェクト名を入力します。は、新しいグループの名前を入力し、をクリックして ].
    6. グループが選択されていることを確認してください。 グループまたはユーザーの名前を選択する] をクリックします。 許可します。 読み取りのアクセス許可をクリック ].
    7. 閉じる、 ウィンドウです。
  4. LDAP クエリを再度実行します。

状況

この動作は仕様です。

詳細

既定では、AAM 機能をビルトインの管理者アカウントでは、Windows Vista と Windows Server 2008 では無効になります。また、AAM 機能は、組み込みの Administrators グループのメンバーである他のアカウントを有効になります。

これを確認するには、コマンド プロンプト ウィンドウで次のコマンドを実行します。
whoami /all
AAM 機能のユーザー アカウントを有効にすると、出力は次のような。
USER INFORMATION
----------------

User Name      SID                                           
============== ==============================================
MyDomain\MyUser S-1-5-21-2146773085-903363285-719344707-326360


GROUP INFORMATION
-----------------

Group Name                                    Type             SID                                               Attributes                                                     
============================================= ================ ================================================= ===============================================================
Everyone                                      Well-known group S-1-1-0                                           Mandatory group, Enabled by default, Enabled group             
BUILTIN\Administrators                        Alias            S-1-5-32-544                                      Group used for deny only
ビルトインの Administrators グループには次の属性があります。
Group used for deny only
[Domain Admins] グループが有効なグループが表示されますで whoami の「必須のグループ有効有効グループ、既定で」/すべてが本当に許可の Ace は無効になります。これは、Windows Server 2008 R2 の既知の問題です。

この出力をに基づいて、AAM 機能を有効に LDAP クエリを実行するために使用するユーザー アカウントを持ちます。LDAP クエリを実行すると、フル アクセス トークンではなく、フィルターされたアクセス トークンを使用します。Administrators グループに対してフル コントロールのアクセス許可、ユーザー オブジェクトに付与されている場合でも、フル コントロールのアクセス許可も必要は。したがって、のみ部分的な属性の一覧を取得します。

プロパティ

文書番号: 976063 - 最終更新日: 2012年7月17日 - リビジョン: 1.0
この資料は以下の製品について記述したものです。
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Vista Enterprise
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Ultimate
  • Windows 7 Professional
  • Windows 7 Enterprise
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
キーワード:?
kbsurveynew kbprb kbexpertiseadvanced kbtshoot kbmt KB976063 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:976063
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com