Windows Server 2008 tabanlı bir etki alanı denetleyicisine karşı bir ldap sorgusu çalıştırdığınızda, kısmi öznitelik listesi elde edilir

Makale çevirileri Makale çevirileri
Makale numarası: 976063 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Bu Sayfada

Belirtiler

Windows Server 2008 tabanlı bir etki alanı denetleyicisine karşı Basit Dizin Erişimi Protokolü (ldap) isteği çalıştırdığınızda, kısmi öznitelik listesi elde edilir. Ancak, Windows Server 2003 tabanlı etki alanı denetleyicisine karşı aynı ldap sorgusunu çalıştırırsanız, yanıt tam öznitelik listesi elde edilir.

Not Bu sorgu, etki alanı denetleyicisinden veya Windows Vista veya Windows Server 2008 çalıştıran bir istemci bilgisayarından çalıştırabilirsiniz.

ldap sorgusu çalıştırmak için kullandığınız kullanıcı hesabı aşağıdaki özelliklere sahiptir:
  • Hesap yerleşik Yöneticiler grubunun bir üyesidir.
  • Hesap yerleşik administrator hesabı değildir.
  • Hesap, Domain Admins grubunun üyesidir.
  • Kullanıcı nesnesinin isteğe bağlı erişim denetimi listesi (dacl) Administrators grubuna Tam Denetim iznini içerir.
  • Kullanıcının Tam Denetim iznine sahip olduğunu gösterir karşı sorgu nesnesini etkili izinler.

Neden

Windows Vista ve Windows Server 2008 kullanıcı hesabı için yönetici onay modu (aam) özelliği etkinleştirilmiş olduğu için bu sorun oluşur. Ayrıca "Kullanıcı hesabı denetimi" (uac) olarak bilinir. Yerel kaynak erişimi için güvenlik sistemi böylece ldap oturumu için etkin erişim belirteci etkileşimli oturum açma oturumunun kullanır ve ldap sorgu işleme sırasında erişim denetimleri, geri döngü kodu vardır.

aam özelliği hakkında daha fazla bilgi için aşağıdaki Microsoft TechNet Web sitesini ziyaret edin:
http://technet.microsoft.com/en-us/library/cc772207 (ws.10) .aspx

Pratik Çözüm

Bu soruna geçici bir çözüm bulmak için aşağıdaki yöntemlerden birini kullanın.

Yöntem 1

  1. Kullan Yönetici olarak çalıştır bir komut istemi penceresi açmak için seçeneği.
  2. Komut istemi penceresinde ldap sorgusunu çalıştırın.

Yöntem 2

Belirtin Sorgu yok Aşağıdaki güvenlik ayarı değeri:
Kullanıcı Hesabı Denetimi: Yönetici Onay Modu'ndaki yöneticiler için yükselme isteminin davranışı
Bu güvenlik ayarı değerini belirtme hakkında daha fazla bilgi için aşağıdaki Microsoft TechNet Web sitesini ziyaret edin:
http://technet.microsoft.com/en-us/library/cc772207 (ws.10) .aspx

Yöntem 3

  1. Etki alanında yeni bir grup oluşturun.
  2. Domain Admins grubunun bu yeni gruba ekleyin.
  3. Bu yeni gruba etki alanı bölümü, okuma izni verin. Bunu yapmak için şu adımları izleyin:
    1. ' I tıklatın Başlat,'ı tıklatın Çalıştır, türü Adsiedit.mscve sonra tıklatın TAMAM.
    2. İçinde ADSI Düzenleme Pencerenin sağ tıklatın DC =<Name></Name>dc = comve sonra tıklatın Özellikler.
    3. İçinde Özellikler Pencere,'ı tıklatın Güvenlik sekmesini tıklatın.
    4. Üzerinde Güvenlik sekmesinde,'ı tıklatın Ekleme.
    5. Altında Seçilecek nesne adlarını girin, yeni grubun adını yazın ve sonra tıklatın TAMAM.
    6. Grup altında seçili olduğundan emin olun Grup veya kullanıcı adları, seçmek için tıklatın İzin ver Okuma izni tıklatın ve sonra için TAMAM.
    7. Kapat ADSI Düzenleme penceresini açın.
  4. ldap sorgusu yeniden çalıştırın.

Durum

Bu davranış tasarım gereğidir.

Daha fazla bilgi

Varsayılan olarak, Windows Vista ve Windows Server 2008'deki yerleşik yönetici hesabı için aam özelliği devre dışıdır. Ayrıca, aam özelliği, yerleşik Yöneticiler grubunun üyesi olan diğer hesaplar için etkindir.

Bunu doğrulamak için bir komut istemi penceresinde aşağıdaki komutu çalıştırın.
whoami /all
aam özelliği kullanıcı hesabı için etkinleştirilmişse, çıktı aşağıdakine benzer.
USER INFORMATION
----------------

User Name      SID                                           
============== ==============================================
MyDomain\MyUser S-1-5-21-2146773085-903363285-719344707-326360


GROUP INFORMATION
-----------------

Group Name                                    Type             SID                                               Attributes                                                     
============================================= ================ ================================================= ===============================================================
Everyone                                      Well-known group S-1-1-0                                           Mandatory group, Enabled by default, Enabled group             
BUILTIN\Administrators                        Alias            S-1-5-32-544                                      Group used for deny only
Aşağıdaki öznitelik yerleşik Administrators grubuna sahiptir:
Group used for deny only
"Etki alanı yöneticileri" grubu ile etkinleştirilmiş Grup olarak gösterilen "zorunlu Grup etkin etkin grup varsayılan olarak" whoami/all, ancak gerçekten izin ACE'ler için devre dışı bırakılır. Bu, Windows Server 2008 ve R2'deki bilinen bir sorundur.

Bu çıktıya dayalı, ldap sorgusu çalıştırmak için kullanılan kullanıcı hesabının etkinleştirilmiş aam özelliğine sahiptir. ldap sorgusunu çalıştırdığınızda, filtrelenmiş erişim belirteci tam erişim belirteci kullanın. Kullanıcı nesnesi için Yöneticiler grubu için Tam Denetim izni verilmiş olsa bile, yine de Tam Denetim izniniz yok. Bu nedenle, yalnızca kısmi öznitelik listesi elde edilir.

Özellikler

Makale numarası: 976063 - Last Review: 17 Temmuz 2012 Salı - Gözden geçirme: 2.0
Bu makaledeki bilginin uygulandığı durum:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Vista Enterprise
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Ultimate
  • Windows 7 Professional
  • Windows 7 Enterprise
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
Anahtar Kelimeler: 
kbsurveynew kbprb kbexpertiseadvanced kbtshoot kbmt KB976063 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir: 976063

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com