当对基于 Windows Server 2008 的域控制器运行 LDAP 查询时,您将获得部分属性列表

文章翻译 文章翻译
文章编号: 976063 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

症状

当对基于 Windows Server 2008 的域控制器运行一个轻量目录访问协议 (LDAP) 请求时,您将获得部分属性列表。但是,如果对基于 Windows Server 2003 的域控制器运行相同的 LDAP 查询,您将获得响应中完整的属性列表。

注意从域控制器或正在运行 Windows Vista 或 Windows Server 2008 的客户端计算机,您可以运行此查询。

用于运行 LDAP 查询的用户帐户具有以下属性:
  • 该帐户是内置的管理员组的成员。
  • 帐户不是内置的管理员帐户。
  • 该帐户是域管理员组的成员。
  • 用户对象的自由访问控制列表 (DACL) 包含管理员组的完全控制权限。
  • 查询显示用户具有完全控制权限的对象的有效权限。

原因

由于在 Windows Vista 和 Windows Server 2008 中的用户帐户启用了管理审批模式 (AAM) 功能,则会出现此问题。它也是"用户帐户控制"(UAC)。对于本地资源访问,安全系统有环回代码,以便使用的 LDAP 会话活动访问令牌从交互式登录会话和访问检查 LDAP 查询处理过程中。

AAM 功能的详细信息,请访问下面的 Microsoft TechNet Web 站点:
http://technet.microsoft.com/en-us/library/cc772207 (WS.10).aspx

替代方法

若要解决此问题,请使用下列方法之一。

方法 1

  1. 使用 以管理员身份运行 若要打开命令提示符窗口的选项。
  2. 在命令提示符窗口中运行 LDAP 查询。

方法 2

指定 无提示 以下安全设置的值:
管理审批模式下的管理员的提升提示用户帐户控制: 行为
有关如何指定该安全设置的值的详细信息,请访问下面的 Microsoft TechNet Web 站点:
http://technet.microsoft.com/en-us/library/cc772207 (WS.10).aspx

方法 3

  1. 在域中创建新组。
  2. 将域管理员组添加到该新组中。
  3. 到此新组授予读取权限的域分区上。请执行以下步骤:
    1. 单击 开始单击 运行键入 adsiedit.msc然后单击 确定.
    2. 在中 ADSI 编辑 窗口中,用鼠标右键单击 DC =<Name></Name>DC = com然后单击 属性.
    3. 在中 属性 窗口中,单击 安全 选项卡。
    4. 在上 安全 选项卡上单击 添加.
    5. 在下 输入要选择的对象名称键入新组的名称,然后单击 确定.
    6. 确保选中了组下 组或用户名称单击以选中 允许 然后单击读取权限,以及 确定.
    7. 关闭 ADSI 编辑 窗口。
  4. 再次运行 LDAP 查询。

状态

此行为是设计使然。

更多信息

默认情况下在 Windows Vista 和 Windows Server 2008 中的内置管理员帐户被禁用 AAM 功能。此外,AAM 功能是内置的管理员组的成员的其他帐户为启用。

若要验证这一点,请在命令提示符窗口中运行以下命令。
whoami /all
如果 AAM 功能启用了用户帐户,则输出类似于以下。
USER INFORMATION
----------------

User Name      SID                                           
============== ==============================================
MyDomain\MyUser S-1-5-21-2146773085-903363285-719344707-326360


GROUP INFORMATION
-----------------

Group Name                                    Type             SID                                               Attributes                                                     
============================================= ================ ================================================= ===============================================================
Everyone                                      Well-known group S-1-1-0                                           Mandatory group, Enabled by default, Enabled group             
BUILTIN\Administrators                        Alias            S-1-5-32-544                                      Group used for deny only
内置管理员组具有以下属性:
Group used for deny only
"域管理员"组显示为已启用组在"必需的组,默认情况下已启用组"中启用 whoami/所有,但实际上禁用的允许 Ace。这是 Windows Server 2008 和 R2 中已知的问题。

根据此输出,用来运行 LDAP 查询的用户帐户已启用的 AAM 功能。时运行 LDAP 查询时,您将使用筛选的访问令牌,而不是一个完整的访问令牌。即使管理员组的完全控制权限授予用户对象,您仍然没有完全控制权限。因此,您将获得部分属性列表。

属性

文章编号: 976063 - 最后修改: 2012年7月17日 - 修订: 1.0
这篇文章中的信息适用于:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Vista Enterprise
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Ultimate
  • Windows 7 Professional
  • Windows 7 Enterprise
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
关键字:?
kbsurveynew kbprb kbexpertiseadvanced kbtshoot kbmt KB976063 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 976063
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com