Quando você executa uma consulta LDAP em um controlador de domínio baseado no Windows Server 2008, obter uma lista parcial de atributos

Traduções deste artigo Traduções deste artigo
ID do artigo: 976063 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sintomas

Quando você executa uma solicitação de LDAP Lightweight Directory Access Protocol () em um controlador de domínio baseado no Windows Server 2008, você pode obter uma lista parcial de atributos. No entanto, se você executar a mesma consulta LDAP em um controlador de domínio baseado no Windows Server 2003, obtenha uma lista completa de atributo na resposta.

Observação Você pode executar essa consulta do controlador de domínio ou de um computador cliente que esteja executando o Windows Vista ou Windows Server 2008.

Conta de usuário que você usar para executar a consulta LDAP tem as seguintes propriedades:
  • A conta é membro do grupo Administradores interno.
  • A conta não é a conta interna administrador.
  • A conta é membro do grupo Admins.
  • A lista de controle de acesso discricional (DACL) do objeto de usuário contém a permissão controle total para o grupo Administradores.
  • As permissões efetivas do objeto consultar mostra que o usuário tem permissão controle total .

Causa

Esse problema ocorre porque o modo de aprovação de administrador (AAM) está ativado para a conta de usuário no Windows Vista e no Windows Server 2008. Ele também é conhecido como "Controle de conta de usuário" (UAC). Para acessar recursos locais, o sistema de segurança possui um código de loopback, então usa o active Access Token de sessão de logon interativo para a sessão LDAP e verificações de acesso durante o processamento de consulta LDAP.

Para obter mais informações sobre o recurso do AAM, visite o seguinte site da Microsoft TechNet:
. aspx http://technet.microsoft.com/en-us/library/cc772207 (WS.10)

Como Contornar

Para contornar esse problema, use um dos seguintes métodos.

Método 1

  1. Use o Executar como administrador opção para abrir uma janela de Prompt de comando.
  2. Execute a consulta LDAP na janela do Prompt de comando.

Método 2

Especificar o Nenhum aviso valor para a seguinte configuração de segurança:
Controle de conta de usuário: Comportamento do prompt de elevação para administradores no modo de aprovação de administrador
Para obter mais informações sobre como especificar o valor da configuração de segurança, visite o seguinte site da Microsoft TechNet:
. aspx http://technet.microsoft.com/en-us/library/cc772207 (WS.10)

Método 3

  1. Crie um novo grupo no domínio.
  2. Adicione o grupo Administradores de domínio para esse novo grupo.
  3. Conceda a permissão de leitura na partição de domínio para este novo grupo. Para fazer isso, execute estas etapas:
    1. Clique em Iniciar, clique em Executar, tipo ADSIEdit. msce clique em OK.
    2. No ADSI Edit janela, clique com botão direito DC =<Name></Name>DC = come clique em Propriedades.
    3. No Propriedades janela, clique no Segurança guia.
    4. Sobre o Segurança Clique em Adicionar.
    5. Em Digite os nomes de objeto para selecionar, digite o nome do novo grupo e clique em OK.
    6. Certifique-se de que o grupo é selecionado em Nomes de grupo ou usuário, clique para selecionar Permitir permissão de leitura e clique em OK.
    7. Fechar o ADSI Edit janela.
  4. Execute novamente a consulta LDAP.

Situação

Esse comportamento é por design.

Mais Informações

Por padrão, o AAM está desabilitado para a conta de administrador interna no Windows Vista e no Windows Server 2008. Além disso, o AAM está ativado para outras contas que são membros do grupo Administradores interno.

Para verificar isso, execute o seguinte comando em uma janela de Prompt de comando.
whoami /all
Se o recurso AAM é habilitado para a conta de usuário, a saída semelhante à seguinte.
USER INFORMATION
----------------

User Name      SID                                           
============== ==============================================
MyDomain\MyUser S-1-5-21-2146773085-903363285-719344707-326360


GROUP INFORMATION
-----------------

Group Name                                    Type             SID                                               Attributes                                                     
============================================= ================ ================================================= ===============================================================
Everyone                                      Well-known group S-1-1-0                                           Mandatory group, Enabled by default, Enabled group             
BUILTIN\Administrators                        Alias            S-1-5-32-544                                      Group used for deny only
Grupo interno Administradores tem o seguinte atributo:
Group used for deny only
O grupo "Domain Admins" é mostrado como grupo habilitado com "grupo obrigatório, habilitado por padrão, o grupo habilitado" em whoami /All, mas realmente é desativada para permitir ACEs. Este é um problema conhecido no Windows Server 2008 e R2.

Com base neste resultado, a conta de usuário usada para executar a consulta LDAP tem o recurso AAM ativado. Quando você executar a consulta LDAP, você use um token de acesso filtrado em vez de um token de acesso completo. Mesmo se a permissão controle total para o grupo Administradores é concedido ao objeto de usuário, você ainda não tem permissão controle total . Portanto, você pode obter uma lista de atributos parciais.

Propriedades

ID do artigo: 976063 - Última revisão: terça-feira, 17 de julho de 2012 - Revisão: 1.0
A informação contida neste artigo aplica-se a:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Vista Enterprise
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Ultimate
  • Windows 7 Professional
  • Windows 7 Enterprise
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
Palavras-chave: 
kbsurveynew kbprb kbexpertiseadvanced kbtshoot kbmt KB976063 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 976063

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com