Keď spustíte dotaz LDAP proti radič domény so systémom Windows Server 2008, môžete získať zoznam čiastočné atribút

Preklady článku Preklady článku
ID článku: 976063 - Zobraziť produkty, ktorých sa tento článok týka.
Rozbaliť všetko | Zbaliť všetko

Na tejto stránke

Priznaky

Keď spustíte Lightweight Directory Access Protocol (LDAP) žiadosť proti radič domény so systémom Windows Server 2008, získate zoznam čiastočné atribút. Však, ak spustíte rovnaký dotaz LDAP proti radič domény so systémom Windows Server 2003, získate zoznam plný atribút v odpovedi.

Poznámka Môžete spustiť tento dotaz z radiča domény alebo z klientskeho počítača so systémom Windows Vista alebo Windows Server 2008.

Používateľské konto, ktoré umožňuje spustiť dotaz LDAP má nasledovné vlastnosti:
  • Konto je členom vstavanej skupine Administrators.
  • Konto nie je Vstavané konto správcu.
  • Konto je členom skupiny Domain Admins.
  • voliteľný zoznam prístupových práv (DACL) z objektu používateľa obsahuje povolenie na úplný prístup pre skupiny Administrators.
  • Platné povolenia objektu, že ste dotaz proti ukazuje, že používateľ nemá povolenie na úplný prístup.

Pricina

Tento problém sa vyskytuje, pretože funkcia Admin schválenie režime (AAM) zapnutá pre používateľské konto v systéme Windows Vista a Windows Server 2008. Je tiež známa ako kontrola používateľských kont"" (UAC). Miestnych zdrojov prístupu, bezpečnostný systém má loopback kód tak využíva aktívny prístup Token z interaktívnu prihlasovaciu reláciu na LDAP relácie a prístup kontroly počas spracovania dotaz LDAP.

Ďalšie informácie o funkcii AAM nasledujúce webovej lokalite Microsoft TechNet:
.aspx http://Technet.Microsoft.com/en-us/library/cc772207 (WS.10)

Riešenie

Tento problém obísť, použite jednu z nasledujúcich metód.

Metóda 1

  1. Použitie Spustiť ako správca možnosť otvoriť okno príkazového riadka.
  2. Spustite dotaz LDAP v okne príkazového riadka.

Metóda 2

Zadajte Výzva hodnoty pre nasledujúce nastavenie zabezpečenia:
Kontrola používateľských kont: Výzva na spustenie s právami správcu pre správcov v režim schvaľovania správcovských oprávnení správcom
Ďalšie informácie o tom, ako určiť hodnotu pre toto nastavenie zabezpečenia, tieto webovej lokalite Microsoft TechNet:
.aspx http://Technet.Microsoft.com/en-us/library/cc772207 (WS.10)

Metóda 3

  1. Vytvoriť novú skupinu v doméne.
  2. Pridanie skupiny Domain Admins do tejto novej skupiny.
  3. Udeliť povolenie na čítanie oblasti domény do tejto novej skupiny. Ak chcete urobiť, postupujte nasledovne:
    1. Kliknite na tlačidlo Štart, kliknite na tlačidlo Spustiť, typu adsiedit.msc, a potom kliknite na tlačidlo ok.
    2. V ADSI Edit okno, kliknite pravým tlačidlom myši DC =<Name></Name>DC = com, a potom kliknite na tlačidlo Vlastnosti.
    3. V Vlastnosti okno, kliknite na tlačidlo Zabezpečenia kartu.
    4. Na Zabezpečenia karte, kliknite na tlačidlo Pridať.
    5. Podľa Zadajte názvy objektov, vyberte, zadajte názov novej skupiny a kliknite na tlačidlo ok.
    6. Uistite sa, že je vybratá skupina podľa Názvy skupín alebo mená používateľov, kliknutím vyberte možnosť Umožniť pre povolenie na čítanie a potom kliknite na tlačidlo ok.
    7. Zavrieť ADSI Edit okno.
  4. Znova spustiť dotaz LDAP.

Stav

Toto správanie je zámerné.

dalsie informacie

Predvolene AAM funkcia je vypnutá pre konto vstavané správcu v systéme Windows Vista a Windows Server 2008. Okrem toho AAM funkcia zapnutá pre ostatné kontá, ktoré sú členmi vstavanej skupine Administrators.

Overiť si to, spustite nasledovný príkaz v okne príkazového riadka.
whoami /all
Ak sa pre používateľské konto je zapnutá funkcia AAM, výstup nasledovnému.
USER INFORMATION
----------------

User Name      SID                                           
============== ==============================================
MyDomain\MyUser S-1-5-21-2146773085-903363285-719344707-326360


GROUP INFORMATION
-----------------

Group Name                                    Type             SID                                               Attributes                                                     
============================================= ================ ================================================= ===============================================================
Everyone                                      Well-known group S-1-1-0                                           Mandatory group, Enabled by default, Enabled group             
BUILTIN\Administrators                        Alias            S-1-5-32-544                                      Group used for deny only
Vstavanej skupine Administrators má nasledovný atribút:
Group used for deny only
Skupiny "Domain Admins" je uvedený ako zapnuté skupiny s "povinné skupiny, zapnutá predvolene zapnuté skupiny" v whoami/all, ale naozaj vypnutá pre umožnenie ACEs. Toto je známy problém v systéme Windows Server 2008 a R2.

Na základe tohto výstupu, používateľské konto, ktoré ste použili na spustiť dotaz LDAP má funkciu AAM zapnutá. Keď spustíte dotaz LDAP, filtrované prístupového tokenu použijete namiesto tokenu úplný prístup. Aj keď do objektu používateľa je udelené povolenie úplný prístup pre skupiny Administrators, stále ešte nemáte povolenie na úplný prístup. Preto môžete získať len čiastočné atribút zoznamu.

Vlastnosti

ID článku: 976063 - Posledná kontrola: 17. júla 2012 - Revízia: 1.0
Informácie v tomto článku sa týkajú nasledujúcich produktov:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Vista Enterprise
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Ultimate
  • Windows 7 Professional
  • Windows 7 Enterprise
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
Kľúčové slová: 
kbsurveynew kbprb kbexpertiseadvanced kbtshoot kbmt KB976063 KbMtsk
Strojovo preložené
DÔLEŽITÉ: Tento článok bol preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft, nie prekladateľom. Spoločnosť Microsoft ponúka články preložené prekladateľmi aj strojovo preložené články, vďaka čomu máte možnosť prístupu ku všetkým článkom databázy Knowledge Base vo svojom jazyku. Strojovo preložený článok však nie je vždy perfektný. Môže obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky, podobne ako cudzinec môže robiť chyby, keď rozpráva vašim jazykom. Spoločnosť Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené akýmkoľvek nepresným prekladom obsahu alebo jeho použitím zo strany zákazníkov. Spoločnosť Microsoft softvér na strojový preklad pravidelne aktualizuje.
Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem: 976063

Odošlite odozvu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com