Când executați o interogare LDAP împotriva unui controler de domeniu Windows Server 2008, obțineți o listă parțială de atribut

ID articol: 976063 - Vizualizați produsele pentru care se aplică acest articol.
Traducere automatăFace?i clic aici pentru a vedea declara?ia privind exonerarea de răspundere a Bazei de cuno?tin?e tradusă automat
Măriți totul | Reduceți totul

În această pagină

Simptome

Când executați o cerere lightweight directory access protocol (LDAP) împotriva unui controler de domeniu Windows Server 2008, obțineți o listă parțială de atribut. Cu toate acestea, dacă executați interogarea LDAP același împotriva unui controler de domeniu Windows Server 2003, obțineți o listă completă de atribut în răspunsul.

Notă Se poate executa această interogare din controlerul de domeniu sau de pe un computer client care execută Windows Vista sau Windows Server 2008.

Contul de utilizator pe care le utilizați pentru a executa interogarea LDAP are următoarele proprietăți:
  • Contul este un membru al grup de Administratori predefinite.
  • Contul nu este cont administrator predefinite.
  • Contul este un membru al grup de Administratori de domeniu.
  • listă de control al accesului discreționare (DACL) al obiectului utilizator conține permisiunea full control pentru al grup de Administratori.
  • Permisiunile efective a obiectului interogați împotriva arată că utilizatorul are permisiunea full control .
Înapoi la început | Trimite?i feedback

Cauză

Această problemă apare deoarece caracteristica Admin aprobarea modul (AAM) este activată pentru contul de utilizator în Windows Vista ?i Windows Server 2008. Acesta este, de asemenea, cunoscut ca "Control cont utilizator" (UAC). Pentru acorda acces la resurse locale, sistemul de securitate are un cod de buclă locală astfel încât acesta utilizează activă acces Token la sesiunea de conecta interactiv pentru sesiunea LDAP și accesul controalelor în timpul prelucrării interogarea LDAP.

Pentru mai multe informații despre caracteristica AAM, vizitați următorul site Microsoft TechNet Web:
http://technet.Microsoft.com/en-us/library/cc772207 (WS.10) .aspx
(http://technet.microsoft.com/en-us/library/cc772207(WS.10).aspx)
Înapoi la început | Trimite?i feedback

Remediere

Pentru a soluționa această problemă, utilizați una dintre următoarele metode.

Metoda 1

  1. Utilizarea Executare ca administrator opțiune la spre deschidere un fereastra liniei de comandă.
  2. Executați interogarea LDAP în fereastra Prompt comandă.

Metoda 2

Specificați Nici o solicitare valoarea pentru următoarea setare securitate:
Control cont utilizator: Comportament de eleva?ie pentru administratori în Mod aprobare administrator
Pentru mai multe informații despre modul de a specifica valoarea de această setare de securitate, vizitați următorul site Microsoft TechNet Web:
http://technet.Microsoft.com/en-us/library/cc772207 (WS.10) .aspx
(http://technet.microsoft.com/en-us/library/cc772207(WS.10).aspx)

Metoda 3

  1. Creați un Grup nou în domeniu.
  2. Adăugați grupul Administratori de domeniu pentru acest Grup nou.
  3. Acordați permisiunea de citire pe partiția de domeniu acestui Grup nou. Pentru aceasta, urmați acești pași:
    1. Faceți clic pe Începe, faceți clic pe A alerga, tip Adsiedit.msc, apoi faceți clic pe ok.
    2. În ADSI Edit cadru fereastră, faceți clic dreapta pe DC =<Name></Name>DC = com, apoi faceți clic pe Proprietăți.
    3. În Proprietăți cadru fereastră, faceți clic pe Securitate fila.
    4. Pe Securitate fila, faceți clic pe Adăuga.
    5. Sub Introducere nume de obiecte pentru a selecta, tastați nume de sign-in noul grup și apoi faceți clic pe ok.
    6. Asigurați-vă că grupul este selectată sub nume de sign-in grupului sau utilizatorului, faceți clic pentru a selecta Permite pentru permisiunea de citire și apoi faceți clic pe ok.
    7. Închidere ADSI Edit fereastra.
  4. Executa din nou interogarea LDAP.
Înapoi la început | Trimite?i feedback

Stare

Acest comportament este cel proiectat.
Înapoi la început | Trimite?i feedback

Informații suplimentare

implicit, caracteristica AAM este dezactivată pentru cont administrator predefinită în Windows Vista ?i Windows Server 2008. În plus, este activată caracteristica AAM pentru alte conturi care sunt membri ai grupului Administratori predefinite.

Pentru a verifica aceasta, executați următoarea comandă într-o cadru fereastră de Prompt de comandă.
whoami /all
Dacă este activată caracteristica AAM pentru contul de utilizator, produc?ia se aseamănă cu următorul.
USER INFORMATION
----------------

User Name      SID                                           
============== ==============================================
MyDomain\MyUser S-1-5-21-2146773085-903363285-719344707-326360


GROUP INFORMATION
-----------------

Group Name                                    Type             SID                                               Attributes                                                     
============================================= ================ ================================================= ===============================================================
Everyone                                      Well-known group S-1-1-0                                           Mandatory group, Enabled by default, Enabled group             
BUILTIN\Administrators                        Alias            S-1-5-32-544                                      Group used for deny only
Built-in grupul Administratori are următorul atribut:
Group used for deny only
Grupul "Domeniu Admins" este indicat ca grup activat cu "grup obligatorii, Enabled by lipsă, grupul activat" în whoami/toate, dar într-adevăr este dezactivată pentru ași permite. Aceasta este o problemă cunoscută în Windows Server 2008 și R2.

Bazat pe această produc?ie, contul de utilizator utilizată pentru a executa interogarea LDAP are caracteristica AAM activat. Când executați interogarea LDAP, utilizați un simbol acces filtrate în loc de un simbol acces complet. Chiar în cazul în care este acordată permisiunea full control pentru al grup de Administratori al obiectului utilizator, încă nu aveți permisiunea full control . Prin urmare, obțineți o listă parțială de atribut.
Înapoi la început | Trimite?i feedback

Proprietă?i

ID articol: 976063 - Ultima examinare: 17 iulie 2012 - Revizie: 2.0
Se aplică la:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Vista Enterprise
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Ultimate
  • Windows 7 Professional
  • Windows 7 Enterprise
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
Cuvinte cheie: 
kbsurveynew kbprb kbexpertiseadvanced kbtshoot kbmt KB976063 KbMtro
Traducere automată
IMPORTANT: Acest articol a fost tradus de software-ul de traducere automată Microsoft, si nu de un traducător. Microsoft vă oferă atât articole traduse de persoane, cât și articole traduse automat, astfel incat aveti access la toate articolele din Baza noastră de informatii în limba dvs. materna. Totuși, un articol tradus automat nu este întotdeauna perfect. Acesta poate conține greșeli de vocabular, sintaxă sau gramatică, la fel cum un vorbitor străin poate face greșeli vorbind limba dvs. materna. Compania Microsoft nu este responsabilă pentru nici o inexactitate, eroare sau daună cauzată de traducerea necorespunzătoare a conținutului sau de utilizarea traducerii necorespunzătoare de către clienții nostri. De asemenea, Microsoft actualizează frecvent software-ul de traducere automată.
Face?i clic aici pentru a vizualiza versiunea în limba engleză a acestui articol: 976063
(http://support.microsoft.com/kb/976063/en-us/ )
Înapoi la început | Trimite?i feedback

Trimite?i feedback

 
Înapoi la începutÎnapoi la început