Wanneer u een LDAP-query op een domeincontroller met Windows Server 2008 uitvoeren, verkrijgen een lijst van de gedeeltelijke kenmerkset

Artikel ID: 976063 - Bekijk de producten waarop dit artikel van toepassing is.
Automatische vertalingLET OP: Dit artikel is automatisch vertaald. Meer informatie treft u aan de onderzijde van dit artikel.
Alles uitklappen | Alles samenvouwen

Op deze pagina

Symptomen

Wanneer u een LDAP (Lightweight Directory Access Protocol)-query op een domeincontroller met Windows Server 2008 uitvoert, kunt u een lijst van de gedeeltelijke kenmerkset verkrijgen. Als u dezelfde LDAP-query op een domeincontroller met Windows Server 2003 uitvoeren, bezit u een volledige kenmerklijst.

OpmerkingU kunt deze query uitvoeren op de domeincontroller of vanaf een clientcomputer waarop Windows Vista of Windows Server 2008.

De gebruikersaccount waarmee u de LDAP-query uitvoert, heeft de volgende eigenschappen:
  • De account is lid van de groep Administrators.
  • De account is niet de ingebouwde administrator-account.
  • De account is lid van de groep Domeinadministrators.
  • De discretionaire toegangsbeheerlijst (DACL) van het gebruikersobject bevatvolledig beheermachtiging voor de groep Administrators.
  • Het object query tegen geeft de gebruiker heeft de effectieve machtigingenvolledig beheermachtiging.
Naar boven | Geef ons feedback

Oorzaak

Dit probleem treedt op omdat de functie modus (Admin goedkeuring AAM) is ingeschakeld voor de gebruikersaccount in Windows Vista en Windows Server 2008.

Bezoek de volgende Microsoft TechNet-website voor meer informatie over de functie AAM:
http://technet.Microsoft.com/en-us/library/cc772207 (WS.10) .aspx
(http://technet.microsoft.com/en-us/library/cc772207(WS.10).aspx)
Naar boven | Geef ons feedback

Workaround

Dit probleem omzeilen door een van de volgende methoden te gebruiken.

Methode 1

  1. Gebruik deAls administrator uitvoerende optie voor het openen van een opdrachtpromptvenster.
  2. De LDAP-query uitvoeren in het opdrachtpromptvenster.

Methode 2

Geef deGeen promptde waarde voor de volgende instelling:
Gebruikersaccountbeheer: Gedrag van de bevoegdheden voor beheerders in de modus Goedkeuring beheerder
Bezoek de volgende Microsoft TechNet-website voor meer informatie over het opgeven van de waarde van deze beveiligingsinstelling:
http://technet.Microsoft.com/en-us/library/cc772207 (WS.10) .aspx
(http://technet.microsoft.com/en-us/library/cc772207(WS.10).aspx)

Methode 3

  1. Een nieuwe groep maken in het domein.
  2. De groep Domeinadministrators deze nieuwe groep toevoegen.
  3. De machtiging lezen op de domeinpartitie aan deze nieuwe groep. U doet dit als volgt:
    1. Klik opStart, klik opUitvoeren, typADSIEdit.msc, en klik vervolgens opOK.
    2. In deADSI bewerkenvenster met de rechtermuisknop opDC =<name></name>DC = com, en klik vervolgens opEigenschappen.
    3. In deEigenschappenvenster, klik op deBeveiligingtabblad.
    4. Op deBeveiligingen klik opToevoegen.
    5. OnderGeef de objectnamen op, typ de naam van de nieuwe groep en klik vervolgens opOK.
    6. Controleer of de groep is geselecteerd onderNamen van groepen of gebruikers, selecteerToestaanvoor de machtiging lezen en klik opOK.
    7. Sluiten deADSI bewerkenvenster.
  4. De LDAP-query opnieuw uitvoeren.
Naar boven | Geef ons feedback

Status

Dit gedrag is inherent.
Naar boven | Geef ons feedback

Meer informatie

De functie AAM is uitgeschakeld voor de ingebouwde administrator-account in Windows Vista en Windows Server 2008. Bovendien is de AAM ingeschakeld voor andere accounts die lid van de groep Administrators zijn.

Voer de volgende opdracht in een opdrachtpromptvenster om dit te controleren.
whoami /all
Als de AAM is ingeschakeld voor de gebruikersaccount, de uitvoer van de volgende strekking weergegeven.
USER INFORMATION
----------------

User Name      SID                                           
============== ==============================================
MyDomain\MyUser S-1-5-21-2146773085-903363285-719344707-326360


GROUP INFORMATION
-----------------

Group Name                                    Type             SID                                               Attributes                                                     
============================================= ================ ================================================= ===============================================================
Everyone                                      Well-known group S-1-1-0                                           Mandatory group, Enabled by default, Enabled group             
BUILTIN\Administrators                        Alias            S-1-5-32-544                                      Group used for deny only
De ingebouwde groep Administrators heeft het volgende kenmerk:
Group used for deny only
De gebruikersaccount waarmee u de LDAP-query uitvoeren heeft op basis van deze uitvoer, AAM ingeschakeld. Wanneer u de LDAP-query uitvoert, wordt het gefilterde toegangstoken gebruiken in plaats van een volledige-toegangstoken. Zelfs alsvolledig beheermachtiging voor de groep Administrators toegewezen aan het gebruikersobject, u nog steeds geenvolledig beheermachtiging. Daarom kunt u alleen een lijst van de gedeeltelijke kenmerkset verkrijgen.
Naar boven | Geef ons feedback

Eigenschappen

Artikel ID: 976063 - Laatste beoordeling: zondag 11 september 2011 - Wijziging: 3.0
De informatie in dit artikel is van toepassing op:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Vista Enterprise
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Ultimate
Trefwoorden: 
kbsurveynew kbprb kbexpertiseadvanced kbtshoot kbmt KB976063 KbMtnl
Automatische vertaling
BELANGRIJK: Dit artikel is vertaald door de vertaalmachine software van Microsoft in plaats van door een professionele vertaler. Microsoft biedt u professioneel vertaalde artikelen en artikelen vertaald door de vertaalmachine, zodat u toegang heeft tot al onze knowledge base artikelen in uw eigen taal. Artikelen vertaald door de vertaalmachine zijn niet altijd perfect vertaald. Deze artikelen kunnen fouten bevatten in de vocabulaire, zinsopbouw en grammatica en kunnen lijken op hoe een anderstalige de taal spreekt en schrijft. Microsoft is niet verantwoordelijk voor onnauwkeurigheden, fouten en schade ontstaan door een incorrecte vertaling van de content of het gebruik ervan door onze klanten. Microsoft past continue de kwaliteit van de vertaalmachine software aan door deze te updaten.
De Engelstalige versie van dit artikel is de volgende:976063
(http://support.microsoft.com/kb/976063/en-us/ )
Naar boven | Geef ons feedback

Geef ons feedback

 
Naar bovenNaar boven