При выполнении запроса LDAP к контроллеру домена вы получаете список частичных атрибутов.

  • Статья

В этой статье приводятся обходные решения проблемы, когда при выполнении запроса LDAP к контроллеру домена вы получаете частичный список атрибутов.

Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 976063

Симптомы

При выполнении запроса LDAP к контроллеру домена под управлением Windows Server 2008 вы получаете список частичных атрибутов. Однако при выполнении того же запроса LDAP к контроллеру домена под управлением Windows Server 2003 вы получите полный список атрибутов в ответе.

Примечание.

Этот запрос можно выполнить с контроллера домена или с клиентского компьютера под управлением Windows Vista или Windows Server 2008.

Учетная запись пользователя, используемая для выполнения запроса LDAP, имеет следующие свойства:

  • Учетная запись является членом встроенной группы администраторов.
  • Учетная запись не является встроенной учетной записью администратора.
  • Учетная запись является членом группы "Администраторы домена".
  • Список управления дискреционным доступом (DACL) объекта пользователя содержит разрешение на полный доступ для группы администраторов.
  • Действующие разрешения объекта, к которому выполняется запрос, показывают, что у пользователя есть разрешение на полный доступ.

Причина

Эта проблема возникает из-за включения функции режима утверждения Администратор (AAM) для учетной записи пользователя в Windows Vista и Windows Server 2008. Он также называется "Контроль учетных записей пользователей" (UAC). Для доступа к локальным ресурсам система безопасности имеет код замыкания на себя, поэтому она использует активный маркер доступа из интерактивного сеанса входа в сеанс LDAP и проверки доступа во время обработки запроса LDAP.

Дополнительные сведения о функции AAM см. на следующем веб-сайте Microsoft TechNet: https://technet.microsoft.com/library/cc772207(WS.10).aspx

Обходной путь

Для решения проблемы используйте один из указанных ниже способов.

Способ 1

  1. Используйте параметр Запуск от имени администратора, чтобы открыть окно командной строки.
  2. Выполните запрос LDAP в окне командной строки.

Способ 2

Укажите значение No prompt для следующего параметра безопасности:
Контроль учетных записей пользователей: поведение запроса на повышение прав для администраторов в режиме утверждения Администратор
Дополнительные сведения о том, как указать значение этого параметра безопасности, см. на следующем веб-сайте Microsoft TechNet: https://technet.microsoft.com/library/cc772207(WS.10).aspx

Способ 3

  1. Создайте новую группу в домене.
  2. Добавьте группу "Администраторы домена" в эту новую группу.
  3. Предоставьте этой новой группе разрешение на чтение в разделе домена. Для этого выполните следующие действия:
    1. Нажмите кнопку Пуск, нажмите кнопку Выполнить, введите adsiedit.msc, а затем нажмите кнопку ОК.
    2. В окне редактирования ADSI щелкните правой кнопкой мыши DC=<Name>, DC=com и выберите пункт Свойства.
    3. В окне Свойства откройте вкладку Безопасность .
    4. На вкладке Безопасность нажмите кнопку Добавить.
    5. В разделе Введите имена выбираемых объектов введите имя новой группы и нажмите кнопку ОК.
    6. Убедитесь, что группа выбрана в разделе Имена групп или пользователей, нажмите кнопку Разрешить для разрешения чтение, а затем нажмите кнопку ОК.
    7. Закройте окно редактирования ADSI .
  4. Снова запустите запрос LDAP.

Статус

Такое поведение является особенностью данного продукта.

Дополнительная информация

По умолчанию функция AAM отключена для встроенной учетной записи администратора в Windows Vista и Windows Server 2008. Кроме того, функция AAM включена для других учетных записей, являющихся членами встроенной группы администраторов.

Чтобы проверить это, выполните следующую команду в окне командной строки.

whoami /all

Если функция AAM включена для учетной записи пользователя, выходные данные выглядят следующим образом.

USER INFORMATION
----------------

User Name SID 
============== ==============================================
MyDomain\MyUser S-1-5-21-2146773085-903363285-719344707-326360

GROUP INFORMATION
-----------------

Group Name Type SID Attributes 
============================================= ================ ================================================= ===============================================================
Everyone Well-known group S-1-1-0 Mandatory group, Enabled by default, Enabled group 
BUILTIN\Administrators Alias S-1-5-32-544 Group used for deny only

Встроенная группа администраторов имеет следующий атрибут:

Group used for deny only

Группа "Администраторы домена" отображается как включенная группа с "Обязательной группой, включенной по умолчанию, включенной группой" в whoami /all, но на самом деле отключена для параметра Разрешить ACE. Это известная проблема в Windows Server 2008 R2 и Windows Server 2012.

На основе этих выходных данных в учетной записи пользователя, которая использовалась для выполнения запроса LDAP, включена функция AAM. При выполнении запроса LDAP вместо полного маркера доступа используется отфильтрованный маркер доступа. Даже если объекту пользователя предоставлено разрешение на полный доступ для группы администраторов, у вас по-прежнему нет разрешения на полный доступ. Таким образом, вы получаете только частичный список атрибутов.