При запуске запроса LDAP для контроллера домена под управлением Windows Server 2008, можно получить список атрибутов

Переводы статьи Переводы статьи
Код статьи: 976063 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Проблема

При выполнении запроса Lightweight Directory Access Protocol (LDAP) на контроллере домена под управлением Windows Server 2008, можно получить список атрибутов. Тем не менее если выполнить один и тот же запрос LDAP для контроллера домена под управлением Windows Server 2003, получить атрибут полного списка.

Примечание Этот запрос можно выполнить с контроллера домена или с клиентского компьютера под управлением Windows Vista или Windows Server 2008.

Учетная запись пользователя, используется для выполнения запроса LDAP имеет следующие свойства:
  • Учетная запись является членом группы администраторов.
  • Учетная запись не является встроенной учетной записи администратора.
  • Учетная запись является членом группы «Администраторы домена».
  • Содержит список управления доступом на уровне пользователей (DACL) объекта пользователя Полный доступ разрешение для группы «Администраторы».
  • Действующие разрешения на объект, запрос в отношении показывает, что пользователь имеет Полный доступ разрешение.

Причина

Эта проблема возникает, если для учетной записи пользователя в Windows Vista и Windows Server 2008 включена функция режим одобрения администратором (AAM).

Для получения дополнительных сведений о функции AAM посетите следующий веб-узел Microsoft TechNet Web:
http://TechNet.Microsoft.com/en-us/library/cc772207 (WS.10) .aspx

Временное решение

Чтобы обойти эту проблему, используйте один из следующих способов.

Способ 1

  1. Использование Запуск от имени администратора параметр, чтобы открыть окно командной строки.
  2. Выполните запрос LDAP в окне командной строки.

Способ 2

Укажите Без запроса значение параметра безопасности, следующие:
Управление учетными записями пользователей: Поведение запроса повышения прав для администраторов в режиме одобрения администратором
Для получения дополнительных сведений о том, как задать значение данного параметра безопасности, посетите следующий веб-узел Microsoft TechNet Web:
http://TechNet.Microsoft.com/en-us/library/cc772207 (WS.10) .aspx

Способ 3

  1. Создание новой группы в домене.
  2. Добавьте в эту новую группу в группу «Администраторы домена».
  3. Предоставьте разрешение на чтение раздела домена в эту новую группу. Чтобы сделать это, выполните следующие действия.
    1. Нажмите кнопку Начало, нажмите кнопку Запустить, тип Adsiedit.msc, а затем нажмите кнопку ОК.
    2. В «Редактирование ADSI» окно, щелкните правой кнопкой мыши DC =<name></name>DC = com, а затем нажмите кнопку Свойства.
    3. В Свойства окно, нажмите кнопку Безопасность Вкладка.
    4. На Безопасность Щелкните Добавить.
    5. В группе Введите имена выбираемых объектов, введите имя новой группы и нажмите кнопку ОК.
    6. Убедитесь, что выбрана группа в группе Имена групп или пользователей, выберите Разрешить разрешение на чтение и нажмите кнопку ОК.
    7. Закрыть «Редактирование ADSI» окно.
  4. Снова запустите запрос LDAP.

Статус

Данное поведение является особенностью.

Дополнительная информация

По умолчанию AAM отключения для встроенной учетной записи администратора в Windows Vista и Windows Server 2008. Кроме того функция AAM включена для других учетных записей, которые являются членами встроенной группы «Администраторы».

Чтобы проверить это, выполните следующую команду в окне командной строки.
whoami /all
Если включена функция AAM для учетной записи пользователя, на экран будет выведена ниже.
USER INFORMATION
----------------

User Name      SID                                           
============== ==============================================
MyDomain\MyUser S-1-5-21-2146773085-903363285-719344707-326360


GROUP INFORMATION
-----------------

Group Name                                    Type             SID                                               Attributes                                                     
============================================= ================ ================================================= ===============================================================
Everyone                                      Well-known group S-1-1-0                                           Mandatory group, Enabled by default, Enabled group             
BUILTIN\Administrators                        Alias            S-1-5-32-544                                      Group used for deny only
Встроенной группы «Администраторы» имеет следующий атрибут:
Group used for deny only
На основе этого выпуска, учетная запись пользователя, используемая для запуска запроса LDAP имеет включена функция AAM. При выполнении запроса LDAP использовать маркер фильтрованного доступа, а не маркера полного доступа. Даже если Полный доступ объект пользователя предоставляется разрешение для группы «Администраторы», по-прежнему нет Полный доступ разрешение. Таким образом получить список атрибутов.

Свойства

Код статьи: 976063 - Последний отзыв: 11 сентября 2011 г. - Revision: 5.0
Информация в данной статье относится к следующим продуктам.
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Vista Enterprise
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Ultimate
Ключевые слова: 
kbsurveynew kbprb kbexpertiseadvanced kbtshoot kbmt KB976063 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:976063

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com