เมื่อคุณรันการสอบถาม LDAP กับตัวควบคุมโดเมนที่ใช้ Windows Server 2008 คุณดูรายการของแอตทริบิวต์บางส่วน

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 976063 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

อาการ

เมื่อคุณรันการสอบถามโพรโทคอลการเข้าถึงไดเรกทอรีของ Lightweight (LDAP) กับตัวควบคุมโดเมนที่ใช้ Windows Server 2008 คุณได้รับข้อความแสดงรายชื่อแอตทริบิวต์บางส่วน อย่างไรก็ตาม ถ้าคุณรันการสอบถาม LDAP เดียวกันกับตัวควบคุมโดเมนที่ใช้ Windows Server 2003 คุณดูแอตทริบิวต์เต็มรูปแบบรายการ

หมายเหตุ:คุณสามารถรันการสอบถามนี้ จากตัวควบคุมโดเมน หรือ จากไคลเอ็นต์คอมพิวเตอร์ที่ใช้ Windows Vista หรือ Windows Server 2008

บัญชีผู้ใช้คุณใช้ในการรันการสอบถาม LDAP มีคุณสมบัติต่อไปนี้:
  • บัญชีเป็นสมาชิกของกลุ่มผู้ดูแลระบบภายใน
  • บัญชีไม่ใช่บัญชีผู้ดูแลที่มีอยู่แล้ว
  • บัญชีเป็นสมาชิกของกลุ่ม Domain Admins
  • ประกอบด้วย discretionary การเข้าถึงตัวควบคุมรายการ (DACL) ของวัตถุผู้ใช้ควบคุมทั้งหมดสิทธิ์สำหรับกลุ่มผู้ดูแล
  • สิทธิ์ของวัตถุที่คุณแบบสอบถามกับแสดงว่า มีผู้ใช้ที่ใช้งานควบคุมทั้งหมดสิทธิ์

สาเหตุ

ปัญหานี้เกิดขึ้นเนื่องจากมีการเปิดใช้งานลักษณะการทำงานในการจัดการระบบการอนุมัติโหมด (AAM) สำหรับบัญชีผู้ใช้ ใน Windows Vista และ Windows Server 2008

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับลักษณะการทำงานในการ AAM แวะไป Microsoft TechNet เว็บไซต์ต่อไปนี้:
.aspx http://technet.microsoft.com/en-us/library/cc772207 (WS.10)

การหลีกเลี่ยงปัญหา

ถ้าต้องการหลีกเลี่ยงปัญหานี้ ใช้วิธีการใดวิธีการหนึ่งต่อไปนี้:

วิธีที่ 1:

  1. ใช้แบบเรียกใช้ในฐานะผู้ดูแลตัวเลือกเพื่อเปิดหน้าต่างพร้อมรับคำสั่ง
  2. รันการสอบถาม LDAP ในหน้าต่างพร้อมรับคำสั่ง

วิธีที่ 2

ระบุการไม่มีพร้อมท์ค่าสำหรับการตั้งค่าการรักษาความปลอดภัยต่อไปนี้:
การควบคุมบัญชีผู้ใช้: ลักษณะการทำงานของพร้อมท์การยกระดับสิทธิ์สำหรับผู้ดูแลระบบใน Admin Approval Mode
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการระบุค่าของการตั้งค่าการรักษาความปลอดภัยนี้ แวะไป Microsoft TechNet เว็บไซต์ต่อไปนี้:
.aspx http://technet.microsoft.com/en-us/library/cc772207 (WS.10)

วิธีที่ 3

  1. สร้างกลุ่มใหม่ในโดเมน
  2. เพิ่มกลุ่ม Domain Admins กลุ่มนี้ใหม่
  3. ให้สิทธิ์ในการอ่านบนพาร์ติชันของโดเมนไปยังกลุ่มนี้ใหม่ โดยให้ทำตามขั้นตอนต่อไปนี้::
    1. คลิกเริ่มการทำงานคลิกเรียกใช้ประเภท:Adsiedit.mscแล้ว คลิกตกลง.
    2. ในการแก้ไข adsiหน้าต่าง คลิกขวาdc =<name></name>, DC = comแล้ว คลิกคุณสมบัติ.
    3. ในการคุณสมบัติหน้าต่าง คลิกการการรักษาความปลอดภัยแท็บ
    4. ในการการรักษาความปลอดภัยแท็บ คลิกadd.
    5. ภายใต้ป้อนชื่อวัตถุที่เลือกพิมพ์ชื่อของกลุ่มใหม่ และจากนั้น คลิกตกลง.
    6. ตรวจสอบให้แน่ใจว่า มีเลือกกลุ่มภายใต้ชื่อกลุ่มหรือผู้ใช้คลิกเพื่อเลือกอนุญาตให้สำหรับสิทธิ์ในการอ่าน แล้วคลิกตกลง.
    7. ปิดการแก้ไข adsiหน้าต่าง
  4. Run the LDAP query again.

สถานะ

ลักษณะการทำงานนี้เกิดจากการออกแบบ

ข้อมูลเพิ่มเติม

By default, the AAM feature is disabled for the built-in administrator account in Windows Vista and in Windows Server 2008. Additionally, the AAM feature is enabled for other accounts that are members of the built-in Administrators group.

To verify this, run the following command in a Command Prompt window.
whoami /all
If the AAM feature is enabled for the user account, the output resembles the following.
USER INFORMATION
----------------

User Name      SID                                           
============== ==============================================
MyDomain\MyUser S-1-5-21-2146773085-903363285-719344707-326360


GROUP INFORMATION
-----------------

Group Name                                    Type             SID                                               Attributes                                                     
============================================= ================ ================================================= ===============================================================
Everyone                                      Well-known group S-1-1-0                                           Mandatory group, Enabled by default, Enabled group             
BUILTIN\Administrators                        Alias            S-1-5-32-544                                      Group used for deny only
The built-in Administrators group has the following attribute:
Group used for deny only
Based on this output, the user account that you used to run the LDAP query has the AAM feature enabled. When you run the LDAP query, you use a filtered access token instead of a full access token. Even iffull controlpermission for the Administrators group is granted to the user object, you still do not havefull controlสิทธิ์ Therefore, you obtain only a partial attribute list.

คุณสมบัติ

หมายเลขบทความ (Article ID): 976063 - รีวิวครั้งสุดท้าย: 11 กันยายน 2554 - Revision: 3.0
ใช้กับ
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Vista Enterprise
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Ultimate
Keywords: 
kbsurveynew kbprb kbexpertiseadvanced kbtshoot kbmt KB976063 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:976063

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com