Під Вільний час запуску запит на змінення LDAP проти контролера домену під керуванням Windows Server 2008, ви отримаєте список часткових атрибутів

Переклади статей Переклади статей
Номер статті: 976063 - Показ продуктів, яких стосується ця стаття.
Розгорнути все | Згорнути все

На цій сторінці

Ознаки

Під Вільний час запуску запит на змінення легкий доступ протокол каталогів (LDAP) проти контролера домену під керуванням Windows Server 2008, ви отримаєте список часткових атрибутів. Однак, якщо ви запустите ж запит на змінення LDAP проти контролера домену під керуванням Windows Server 2003, отримати повний атрибута списку у відповідь.

Примітка За виконання цього запит на змінення з контролером домену або з клієнтського комп'ютера, що працює під керуванням Windows Vista або Windows Server 2008.

обліковий запис А комп'ютера користувача, який використовується для виконання запит на змінення LDAP, має такі властивості:
  • обліковий запис А комп'ютера є членом вбудована група адміністраторів.
  • обліковий запис А комп'ютера не є вбудований адміністратора облікового запису.
  • обліковий запис А комп'ютера є членом групи адміністраторів домену.
  • Дискреційні списку керування доступом (DACL) з об'єкту користувача містить повний доступ для групи адміністраторів .
  • Чинні дозволи об'єкта, що запит проти показує, що користувач має дозвіл на повний доступ .

причина

Ця проблема виникає тому, що в режимі затвердження адміністратора (AAM) вивід для облікового запису користувача у Windows Vista і в Windows Server 2008. Це також відомий як "Користувачів UAC" (). Для доступ до місцевих ресурсів системи безпеки має код замикання на себе, тому він використовує активний доступ маркера з інтерактивного сеансу роботи сесії LDAP і доступ перевіряє під Вільний час обробки запит на змінення LDAP.

Щоб отримати додаткові відомості про функцію AAM відвідайте Microsoft TechNet веб-вузлі:
ASPX http://TechNet.Microsoft.com/EN-US/Library/cc772207 (WS.10)

Обхідний шлях

Щоб вирішити цю проблему, використовуйте один із таких методів.

Спосіб 1

  1. сценарій виконання у Запуск від імені адміністратора параметр, щоб відкрити вікно командний рядок.
  2. Виконання запит на змінення LDAP у вікні командний рядок.

Спосіб 2

Вкажіть на Немає рядка значення для такі настройки безпеки:
Служба захисту користувачів: Поведінка запит на змінення на підвищення рівня для адміністраторів у режимі адміністративного підтвердження
Щоб отримати додаткові відомості про визначення значення цієї настройки безпеки відвідайте Microsoft TechNet веб-вузлі:
ASPX http://TechNet.Microsoft.com/EN-US/Library/cc772207 (WS.10)

Метод 3

  1. Нова група в домені.
  2. запит на додавання групи адміністраторів домену до цієї нової групи.
  3. Надати дозвіл на читання у розділі домену цієї нової групи. Для цього виконайте такі дії:
    1. Натисніть кнопку Почати, натисніть кнопку Запустити, тип команду adsiedit. mscа потім натисніть кнопку Гаразд.
    2. У регіоні Редагування ADSI вікно, клацніть правою кнопкою миші DC =<Name></Name>DC = comа потім натисніть кнопку Властивості.
    3. У регіоні Властивості вікно, натисніть на Безпеки Вкладка.
    4. На що Безпеки Закладка, натисніть кнопку Додати.
    5. У розділі Введіть імена вибраних об'єктів, введіть ім'я нової групи і натисніть кнопку Гаразд.
    6. Переконайтеся, що вибрано групу під Групи або користувачі, щоб виділити Дозволити за дозволом на читання а потім клацніть Гаразд.
    7. Закрити на Редагування ADSI вікно.
  4. Виконання запит на змінення LDAP знову.

Стан

Така поведінка передбачена.

Додаткові відомості

За промовчанням AAM функція відключена для облікового запису адміністратора в Windows Vista і Windows Server 2008. Крім того, AAM функцію ввімкнуто для інших облікових записів, які є членами групи адміністраторів вбудовані.

Щоб переконатися в цьому, виконайте наступну команду в вікно командний рядок.
whoami /all
Якщо AAM вивід для облікового запису користувача, вивід такого вигляду.
USER INFORMATION
----------------

User Name      SID                                           
============== ==============================================
MyDomain\MyUser S-1-5-21-2146773085-903363285-719344707-326360


GROUP INFORMATION
-----------------

Group Name                                    Type             SID                                               Attributes                                                     
============================================= ================ ================================================= ===============================================================
Everyone                                      Well-known group S-1-1-0                                           Mandatory group, Enabled by default, Enabled group             
BUILTIN\Administrators                        Alias            S-1-5-32-544                                      Group used for deny only
вбудована група адміністраторів має таких атрибутів:
Group used for deny only
Група "Адміністратори домену" буде показано як включений група з "обов'язкового групи, увімкнуто за промовчанням, увімкнуто групи" в whoami/все, але дійсно вимкнуто для дозволити тузи. Це відома проблема в Windows Server 2008 і R2.

На основі цього виводу, обліковий запис А комп'ютера користувача, який використовувався для виконання запит на змінення LDAP має AAM увімкнуто. Під Вільний час запуску запит на змінення LDAP, замість повного доступу маркер використовується маркер відфільтрованих доступу. Навіть якщо дозвіл на повний доступ для групи адміністраторів надається до об'єкта користувача, ви все ще не мають дозвіл на повний доступ . Таким чином, ви отримати лише часткові атрибута списку.

Властивості

Номер статті: 976063 - Востаннє переглянуто: 17 липня 2012 р. - Редакція: 2.0
Застосовується до:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Vista Enterprise
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Ultimate
  • Windows 7 Professional
  • Windows 7 Enterprise
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
Ключові слова: 
kbsurveynew kbprb kbexpertiseadvanced kbtshoot kbmt KB976063 KbMtuk
Машинний переклад
УВАГА! Цю статтю переклала програма машинного перекладу Microsoft, а не людина. Корпорація Microsoft пропонує вам як машинні переклади, так і переклади фахівців, щоб Ви мали доступ до всіх статей бази знань рідною мовою. Проте стаття, яку переклав комп’ютер, не завжди бездоганна. Вона може містити лексичні, синтаксичні або граматичні помилки. Так само помиляється іноземець, спілкуючись вашою рідною мовою. Корпорація Microsoft не несе відповідальність за жодні неточності, помилки або шкоду, завдану неправильним перекладом змісту або його використанням з боку користувачів. Крім того, корпорація Microsoft часто оновлює програму машинного перекладу.
Клацніть тут, щоб переглянути цю статтю англійською мовою: 976063

Надіслати відгук

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com