Bir etki alanı denetleyicisinde LDAP sorgusu çalıştırdığınızda kısmi bir öznitelik listesi elde edebilirsiniz

  • Makale

Bu makalede, bir etki alanı denetleyicisinde LDAP sorgusu çalıştırdığınızda kısmi bir öznitelik listesi elde ettiğinizde sorun için geçici çözümler sağlanır.

Şunlar için geçerlidir: Windows Server 2012 R2
Özgün KB numarası: 976063

Belirtiler

Windows Server 2008 tabanlı bir etki alanı denetleyicisinde Basit Dizin Erişim Protokolü (LDAP) isteği çalıştırdığınızda, kısmi bir öznitelik listesi alırsınız. Ancak, Windows Server 2003 tabanlı bir etki alanı denetleyicisinde aynı LDAP sorgusunu çalıştırırsanız, yanıtta tam bir öznitelik listesi alırsınız.

Not

Bu sorguyu etki alanı denetleyicisinden veya Windows Vista veya Windows Server 2008 çalıştıran bir istemci bilgisayardan çalıştırabilirsiniz.

LDAP sorgusunu çalıştırmak için kullandığınız kullanıcı hesabı aşağıdaki özelliklere sahiptir:

  • Hesap, yerleşik Yöneticiler grubunun bir üyesidir.
  • Hesap, yerleşik yönetici hesabı değildir.
  • Hesap, Domain Admins grubunun bir üyesidir.
  • Kullanıcı nesnesinin isteğe bağlı erişim denetim listesi (DACL), Administrators grubu için tam denetim izni içerir.
  • Sorguladığınız nesnenin etkin izinleri, kullanıcının tam denetim iznine sahip olduğunu gösterir.

Neden

Windows Vista ve Windows Server 2008'de kullanıcı hesabı için Yönetici Onay Modu (AAM) özelliği etkinleştirildiğinden bu sorun oluşur. "Kullanıcı Hesabı Denetimi" (UAC) olarak da bilinir. Yerel kaynak erişimi için güvenlik sistemi bir geri döngü koduna sahiptir, bu nedenle LDAP oturumu için etkileşimli oturum açma oturumundan etkin Erişim Belirtecini kullanır ve LDAP sorgu işlemesi sırasında erişim denetimleri gerçekleştirir.

AAM özelliği hakkında daha fazla bilgi için aşağıdaki Microsoft TechNet Web sitesini ziyaret edin: https://technet.microsoft.com/library/cc772207(WS.10).aspx

Geçici Çözüm

Geçici bir çözüm olarak aşağıdaki yöntemlerden birini kullanın.

Yöntem 1

  1. Komut İstemi penceresini açmak için Yönetici olarak çalıştır seçeneğini kullanın.
  2. Komut İstemi penceresinde LDAP sorgusunu çalıştırın.

Yöntem 2

Aşağıdaki güvenlik ayarı için İstem yok değerini belirtin:
Kullanıcı Hesabı Denetimi: Yönetici Onay Modunda yöneticiler için yükseltme isteminin davranışı
Bu güvenlik ayarının değerini belirtme hakkında daha fazla bilgi için aşağıdaki Microsoft TechNet Web sitesini ziyaret edin: https://technet.microsoft.com/library/cc772207(WS.10).aspx

Yöntem 3

  1. Etki alanında yeni bir grup oluşturun.
  2. Domain Admins grubunu bu yeni gruba ekleyin.
  3. Bu yeni gruba etki alanı bölümünde Okuma izni verin. Bunu yapmak için şu adımları uygulayın:
    1. Başlat'a tıklayın, Çalıştır'a tıklayın, adsiedit.msc yazın ve ardından Tamam'a tıklayın.
    2. ADSI Düzenle penceresinde DC=Ad,DC>=<com'a sağ tıklayın ve özellikler'e tıklayın.
    3. Özellikler penceresinde Güvenlik sekmesine tıklayın.
    4. Güvenlik sekmesinde Ekle'ye tıklayın.
    5. Seçecek nesne adlarını girin altında, yeni grubun adını yazın ve Tamam'a tıklayın.
    6. Grubun Grup veya kullanıcı adları altında seçili olduğundan emin olun, Okuma izni için İzin Ver'i seçmek için tıklayın ve ardından Tamam'a tıklayın.
    7. ADSI Düzenleme penceresini kapatın.
  4. LDAP sorgusunu yeniden çalıştırın.

Durum

Bu davranış tasarımdan kaynaklanır.

Daha fazla bilgi

Varsayılan olarak, AAM özelliği Windows Vista ve Windows Server 2008'deki yerleşik yönetici hesabı için devre dışıdır. Ayrıca, AAM özelliği yerleşik Yöneticiler grubunun üyesi olan diğer hesaplar için etkinleştirilir.

Bunu doğrulamak için komut istemi penceresinde aşağıdaki komutu çalıştırın.

whoami /all

Kullanıcı hesabı için AAM özelliği etkinleştirildiyse, çıkış aşağıdakine benzer.

USER INFORMATION
----------------

User Name SID 
============== ==============================================
MyDomain\MyUser S-1-5-21-2146773085-903363285-719344707-326360

GROUP INFORMATION
-----------------

Group Name Type SID Attributes 
============================================= ================ ================================================= ===============================================================
Everyone Well-known group S-1-1-0 Mandatory group, Enabled by default, Enabled group 
BUILTIN\Administrators Alias S-1-5-32-544 Group used for deny only

Yerleşik Yöneticiler grubu aşağıdaki özniteliğe sahiptir:

Group used for deny only

"Etki Alanı Yöneticileri" grubu, whoami /all içinde "Zorunlu grup, Varsayılan olarak etkin, Etkin grup" olan etkin grup olarak gösterilir, ancak ACE'lere İzin Ver için gerçekten devre dışıdır. Bu, Windows Server 2008 R2 ve Windows Server 2012 bilinen bir sorundur.

Bu çıkışa bağlı olarak, LDAP sorgusunu çalıştırmak için kullandığınız kullanıcı hesabında AAM özelliği etkindir. LDAP sorgusunu çalıştırdığınızda, tam erişim belirteci yerine filtrelenmiş erişim belirteci kullanırsınız. Kullanıcı nesnesine Administrators grubu için tam denetim izni verilse bile tam denetim izniniz yoktur. Bu nedenle, yalnızca kısmi bir öznitelik listesi alırsınız.