當您執行 LDAP 查詢的 Windows Server 2008 為基礎的網域控制站時,會取得部分的屬性清單

文章翻譯 文章翻譯
文章編號: 976063 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

徵狀

當您執行 「 輕量型目錄存取通訊協定 (LDAP) 要求的 Windows Server 2008 為基礎的網域控制站時,會取得部分的屬性清單。不過,如果您的 Windows Server 2003 網域控制站執行相同的 LDAP 查詢,您會取得回應中的完整屬性清單。

附註從網域控制站,或從執行 Windows Vista 或 Windows Server 2008 的用戶端電腦,您可以執行這項查詢。

您用來執行 LDAP 查詢的使用者帳戶具有下列屬性:
  • 此帳戶是內建的系統管理員群組的成員。
  • 此帳戶不是內建的系統管理員帳戶。
  • 帳戶是網域系統管理員 」 群組的成員。
  • 使用者物件的判別存取控制清單 (DACL) 包含系統管理員群組的完全控制權限。
  • 查詢以具有完全控制權限的使用者所示之物件的有效權限。

發生的原因

管理核准模式 」 (AAM) 功能的使用者帳戶,Windows Vista 中,並在 Windows Server 2008 中,就會發生這個問題。它亦稱為 「 使用者帳戶控制 」 (UAC)]。存取本機資源,如安全性系統會有反向迴圈程式碼,因此它會使用作用中的存取權杖與互動式登入工作階段的 LDAP 工作階段,並存取檢查的 LDAP 查詢處理期間。

如需有關 「 AAM 」 功能的詳細資訊,請造訪下列 Microsoft TechNet 網站:
http://technet.microsoft.com/en-us/library/cc772207 (WS.10).aspx

其他可行方案

若要解決這個問題,請使用下列方法之一。

方法 1

  1. 使用 以管理員身分執行 若要開啟 [命令提示字元視窗的選項。
  2. 在 [命令提示字元] 視窗中執行 LDAP 查詢。

方法 2

指定 沒有提示 下列的安全性設定值:
使用者帳戶控制: 管理核准模式中的系統管理員之提高權限提示的行為
如需有關如何指定此安全性設定值的詳細資訊,請造訪下列 Microsoft TechNet 網站:
http://technet.microsoft.com/en-us/library/cc772207 (WS.10).aspx

方法 3

  1. 在網域中建立新的群組。
  2. 這個新的群組中加入 Domain Admins 群組。
  3. 在網域磁碟分割上的 [讀取] 權限授與此新的群組。若要這麼做,請依照下列步驟執行:
    1. 按一下 啟動按一下 執行型別 adsiedit.msc然後按一下 [確定].
    2. ADSI 編輯 視窗中,以滑鼠右鍵按一下 DC =<Name></Name>(哥倫比亞特區) = com然後按一下 屬性.
    3. 屬性 視窗中,按一下 安全性 索引標籤。
    4. 在上 安全性 索引標籤上按一下 新增.
    5. 在下 請輸入物件名稱來選取輸入新的群組名稱,然後按一下 [確定].
    6. 請確定在已選取的群組 群組或使用者名稱按一下以選取 允許 為讀取權限,然後按一下 [確定].
    7. 關閉 ADSI 編輯 視窗。
  4. 再次執行 LDAP 查詢。

狀況說明

這個行為是經過設計規劃。

其他相關資訊

預設情況下,「 AAM 」 功能已停用 Windows Vista 中,並在 Windows Server 2008 的內建系統管理員帳戶。此外,AAM 功能會啟用其他帳戶內建的系統管理員群組的成員。

若要確認這點,請在命令提示字元] 視窗中執行下列命令。
whoami /all
如果啟用 [使用者帳戶的 AAM 功能,則輸出會如下所示。
USER INFORMATION
----------------

User Name      SID                                           
============== ==============================================
MyDomain\MyUser S-1-5-21-2146773085-903363285-719344707-326360


GROUP INFORMATION
-----------------

Group Name                                    Type             SID                                               Attributes                                                     
============================================= ================ ================================================= ===============================================================
Everyone                                      Well-known group S-1-1-0                                           Mandatory group, Enabled by default, Enabled group             
BUILTIN\Administrators                        Alias            S-1-5-32-544                                      Group used for deny only
內建的系統管理員群組具有下列屬性:
Group used for deny only
"網域管理"群組都會顯示為 [已啟用的群組,使用"強制性的群組,根據預設,已啟用群組 」 中啟用 whoami/全部顯示],但實際上已停用允許 ace。這是在 Windows Server 2008 與 R2 的已知的問題。

根據此輸出,您用來執行 LDAP 查詢的使用者帳戶已經啟用了 AAM 功能。當您執行 LDAP 查詢時,您會使用已篩選的存取語彙基元,而不是一個完整的存取權杖。即使系統管理員群組的完全控制權限授與使用者物件,您還沒有完全控制權限。因此,您會取得只部分屬性清單。

屬性

文章編號: 976063 - 上次校閱: 2012年7月17日 - 版次: 1.0
這篇文章中的資訊適用於:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Vista 商用進階版
  • Windows Vista 商用入門版
  • Windows Vista 商用入門 64 位元版
  • Windows Vista 旗艦版
  • Windows 7 Professional
  • Windows 7 Enterprise
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
關鍵字:?
kbsurveynew kbprb kbexpertiseadvanced kbtshoot kbmt KB976063 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:976063
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com