Omówienie personifikacji klienta po uwierzytelnieniu i ustawienia zabezpieczeń tworzenia obiektów globalnych
W tym artykule omówiono personifikowanie klienta po uwierzytelnieniu i tworzenie globalnych praw użytkownika obiektów .
Dotyczy: Windows Server 2012 R2
Oryginalny numer KB: 821546
Podsumowanie
W tym artykule omówiono prawa użytkownika "Personifikuj klienta po uwierzytelnieniu" i "Tworzenie obiektów globalnych". Te nowe ustawienia zabezpieczeń zostały po raz pierwszy wprowadzone w systemie Windows 2000 z dodatkiem Service Pack 4 (SP4) i pomagają zwiększyć bezpieczeństwo w systemie Windows 2000. W tym artykule opisano nowe ustawienia zabezpieczeń, a także zawarto informacje o niektórych znanych problemach, które mogą wystąpić, i sposobie ich rozwiązywania.
Ważna
Podczas stosowania praw użytkownika "Personifikuj klienta po uwierzytelnieniu" i "Tworzenie obiektów globalnych" należy wziąć pod uwagę następujące problemy przy użyciu domyślnych zasad domeny lub zasady grupy:
Prawa użytkownika "Personifikuj klienta po uwierzytelnieniu" i "Utwórz obiekty globalne" mają zastosowanie tylko do komputerów z systemem Windows 2000 z dodatkiem SP4 lub nowszym.
Domyślne zasady domeny lub zasady grupy można użyć do zastosowania ustawień zabezpieczeń "Personifikuj klienta po uwierzytelnieniu" i "Utwórz obiekty globalne" na komputerach w środowisku, jeśli na komputerach działa system Windows 2000 z dodatkiem Service Pack 2 (SP2) lub nowszym. Należy pamiętać, że chociaż można wdrożyć ustawienia zabezpieczeń w środowisku zawierającym komputery z systemem Windows 2000 z dodatkiem SP2 i Windows 2000 z dodatkiem Service Pack 3 (SP3), ustawienia zabezpieczeń dotyczą tylko komputerów z systemem Windows 2000 z dodatkiem SP4. Ustawienia nie mają zastosowania do komputerów z systemem Windows 2000 z dodatkiem SP2 lub Windows 2000 z dodatkiem SP3.
Nie używaj domyślnych zasad domeny ani innego zasady grupy, aby zastosować jedno lub drugie z tych nowych praw użytkownika do komputerów z systemem Windows 2000 lub Windows 2000 z dodatkiem Service Pack 1 (SP1). Należy pamiętać, że jeśli używasz domyślnych zasad domeny lub innego zasady grupy, aby zastosować te prawa użytkownika do komputerów z systemem Windows 2000 lub Windows 2000 z dodatkiem Service Pack 1 (SP1), propagacja ustawień zabezpieczeń zasad kończy się niepowodzeniem. Oznacza to, że zasady nie są propagowane do komputerów z systemem Windows 2000 lub Windows 2000 z dodatkiem SP1, a prawa użytkownika nie są wyświetlane w przystawce Ustawienia zabezpieczeń lokalnych. Następujące scenariusze mogą wystąpić, jeśli użyjesz domyślnych zasad domeny lub innego zasady grupy do zastosowania obu tych nowych praw użytkownika do komputerów z systemem Windows 2000 lub Windows 2000 z dodatkiem Service Pack 1 (SP1):
Dodatkowe ustawienia zasad zabezpieczeń znajdujące się w tym samym obiekcie zasady grupy i docelowe urządzenia z systemem Windows 2000 lub Windows 2000 z dodatkiem Service Pack 1 (SP1) nie są propagowane do urządzeń docelowych.
Dodatkowe ustawienia zasad zabezpieczeń, które są stosowane przy użyciu innych zasad grupy wzdłuż ścieżki SDOU (lokacja, domena, jednostka organizacyjna) do urządzeń z systemem Windows 2000 lub Windows 2000 z dodatkiem Service Pack 1 (SP1), które będą propagowane.
Jeśli jedno lub oba te nowe ustawienia zabezpieczeń są przeznaczone dla urządzeń z systemem Windows 2000 lub Windows 2000 z dodatkiem Service Pack 1 (SP1), lokalna przystawka zabezpieczeń MMC na tych urządzeniach nie może poprawnie wyświetlić żadnych ustawień zabezpieczeń. Jednak wszystkie ustawienia zabezpieczeń stosowane do urządzeń docelowych z innych obiektów zasady grupy po stronie domeny (które nie zawierają nowych ustawień) będą nadal stosowane do tych urządzeń docelowych.
Podobnie można użyć domyślnych zasad zabezpieczeń kontrolera domeny, aby zastosować ustawienia zabezpieczeń "Personifikuj klienta po uwierzytelnieniu" i "Utwórz obiekty globalne" do kontrolerów domeny w środowisku, jeśli na kontrolerach domeny działa system Windows 2000 z dodatkiem SP2 lub nowszym. Należy pamiętać, że chociaż można wdrożyć ustawienia zabezpieczeń w środowisku zawierającym kontrolery domeny z systemem Windows 2000 z dodatkiem SP2 i Windows 2000 z dodatkiem SP3, ustawienia zabezpieczeń mają zastosowanie tylko do kontrolerów domeny opartych na systemie Windows 2000 SP4. Ustawienia nie mają zastosowania do kontrolerów domeny z systemem Windows 2000 SP2 lub Windows 2000 SP3.
Problem 1: prawo użytkownika "Personifikuj klienta po uwierzytelnieniu" (SeImpersonatePrivilege)
Prawo użytkownika "Personifikuj klienta po uwierzytelnieniu" (SeImpersonatePrivilege) to ustawienie zabezpieczeń systemu Windows 2000 wprowadzone po raz pierwszy w systemie Windows 2000 SP4. Domyślnie członkowie lokalnej grupy Administratorzy urządzenia i lokalnego konta usługi urządzenia mają przypisane prawo użytkownika "Personifikuj klienta po uwierzytelnieniu". Następujące składniki mają również to prawo użytkownika:
- Usługi uruchamiane przez menedżera kontroli usług
- Serwery modelu obiektów składników (COM), które są uruchamiane przez infrastrukturę COM i które są skonfigurowane do uruchamiania w ramach określonego konta
Po przypisaniu użytkownikowi prawa użytkownika "Personifikuj klienta po uwierzytelnieniu" zezwalasz programom uruchamianym w imieniu tego użytkownika na personifikowanie klienta. To ustawienie zabezpieczeń pomaga zapobiegać personifikowaniu klientów przez nieautoryzowane serwery, którzy łączą się z nim za pośrednictwem metod, takich jak zdalne wywołania procedur (RPC) lub nazwane potoki. Aby uzyskać więcej informacji na temat funkcji SeImpersonatePrivilege, odwiedź następującą witrynę internetową firmy Microsoft:
Personifikowanie klienta po uwierzytelnieniu
Aby uzyskać więcej informacji na temat funkcji personifikacji (takich jak ImpersonateClient, ImpersonateLoggedOnUser i ImpersonateNamedPipeClient), wyszukaj pozycję SeImpersonatePrivilege w dokumentacji zestawu SDK platformy Microsoft. Aby wyświetlić tę dokumentację, odwiedź następującą witrynę sieci Web firmy Microsoft:
Personifikowanie klienta po uwierzytelnieniu
Rozwiązywanie problemów z problemem 1
Niektóre programy używające personifikacji mogą nie działać poprawnie po zainstalowaniu systemu Windows 2000 z dodatkiem SP4.
Po zainstalowaniu systemu Windows 2000 z dodatkiem Service Pack 4 (SP4) na komputerze niektóre programy używające personifikacji mogą nie działać poprawnie.
Ten problem może wystąpić w sytuacjach, gdy konto użytkownika używane do uruchamiania programu nie ma prawa użytkownika "Personifikuj klienta po uwierzytelnieniu".
Na komputerach z systemem Windows 2000 z dodatkiem Service Pack 3 (SP3) i starszym prawo użytkownika nie jest wymagane do personifikacji klienta. W związku z tym niektóre programy używające personifikacji mogą nie działać poprawnie po zainstalowaniu systemu Windows 2000 z dodatkiem SP4.
Aby rozwiązać ten problem, zidentyfikuj konto użytkownika używane do uruchomienia programu, a następnie przypisz do tego konta użytkownika prawo użytkownika "Personifikuj klienta po uwierzytelnieniu". Aby to zrobić, wykonaj następujące kroki.
- Kliknij przycisk Start, wskaż pozycję Programy, wskaż pozycję Narzędzia administracyjne, a następnie kliknij pozycję Zasady zabezpieczeń lokalnych.
- Rozwiń węzeł Zasady lokalne, a następnie kliknij pozycję Przypisanie praw użytkownika.
- W okienku po prawej stronie kliknij dwukrotnie pozycję Personifikuj klienta po uwierzytelnieniu.
- W oknie dialogowym Ustawienie zasad zabezpieczeń lokalnych kliknij przycisk Dodaj.
- W oknie dialogowym Wybieranie użytkowników lub grupy kliknij konto użytkownika, które chcesz dodać, kliknij przycisk Dodaj, a następnie kliknij przycisk OK.
- Kliknij przycisk OK.
Uwaga
Aby rozwiązać problemy z sytuacjami, w których nie można określić konta użytkownika używanego do uruchamiania programu i gdzie chcesz sprawdzić, czy występujące objawy są spowodowane przez prawo użytkownika, przypisz prawo użytkownika "Personifikuj klienta po uwierzytelnieniu" do grupy Wszyscy, a następnie uruchom program. Jeśli program działa poprawnie, problem, którego dotyczy problem, może być spowodowany przez nowe ustawienie zabezpieczeń.
Podczas debugowania aplikacji internetowej w programie Visual Studio .NET jest wyświetlany komunikat o błędzie "Błąd podczas próby uruchomienia projektu".
Problem 2: prawo użytkownika "Tworzenie obiektów globalnych" (SeCreateGlobalPrivilege)
Prawo użytkownika "Tworzenie obiektów globalnych" (SeCreateGlobalPrivilege) to ustawienie zabezpieczeń systemu Windows 2000 wprowadzone po raz pierwszy w systemie Windows 2000 z dodatkiem SP4. Aby konto użytkownika utworzyło globalne mapowanie plików i symboliczne obiekty linku, wymagane jest prawo użytkownika. Należy pamiętać, że użytkownicy nadal mogą tworzyć obiekty specyficzne dla sesji bez przypisywania tego prawa użytkownika. Domyślnie członkowie grupy Administratorzy, konta systemowego i usług uruchamianych przez Menedżera kontroli usługi mają przypisane prawo użytkownika "Utwórz obiekty globalne".
Rozwiązywanie problemu 2
Niektóre programy mogą nie działać poprawnie po zainstalowaniu systemu Windows 2000 z dodatkiem SP4.
Po zainstalowaniu systemu Windows 2000 z dodatkiem Service Pack 4 (SP4) na komputerze niektóre programy mogą nie działać poprawnie. Ten problem może wystąpić w sytuacjach, gdy konto użytkownika używane do uruchamiania programu nie ma prawa użytkownika "Utwórz obiekty globalne".
Aby rozwiązać ten problem, zidentyfikuj konto użytkownika używane do uruchomienia programu, a następnie przypisz do tego konta użytkownika prawo użytkownika "Utwórz obiekty globalne". Aby to zrobić, wykonaj następujące kroki.
- Kliknij przycisk Start, wskaż pozycję Programy, wskaż pozycję Narzędzia administracyjne, a następnie kliknij pozycję Zasady zabezpieczeń lokalnych.
- Rozwiń węzeł Zasady lokalne, a następnie kliknij pozycję Przypisanie praw użytkownika.
- W okienku po prawej stronie kliknij dwukrotnie pozycję Utwórz obiekty globalne.
- W oknie dialogowym Ustawienie zasad zabezpieczeń lokalnych kliknij przycisk Dodaj.
- W oknie dialogowym Wybieranie użytkowników lub grupy kliknij konto użytkownika, które chcesz dodać, kliknij przycisk Dodaj, a następnie kliknij przycisk OK.
- Kliknij przycisk OK.
Uwaga
Aby rozwiązać problemy z sytuacjami, w których nie można określić konta użytkownika, które jest używane do uruchamiania programu, i gdzie chcesz sprawdzić, czy objawy, których doświadczasz, są spowodowane przez prawo użytkownika, przypisz prawo użytkownika "Utwórz obiekty globalne" do grupy Wszyscy, a następnie uruchom program. Jeśli program działa poprawnie, problem, którego dotyczy problem, może być spowodowany przez nowe ustawienie zabezpieczeń.
Podczas wyszukiwania klipów w dokumencie pakietu Office XP w sesji usług terminalowych jest wyświetlany komunikat o błędzie "Za mało pamięci".
Komputer przestaje odpowiadać (zawiesza się) po ponownym uruchomieniu komputera z systemem Windows 2000 Server po zainstalowaniu kontroli rodzicielskiej McAfee.
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla