عند تشغيل استعلام LDAP مقابل وحدة تحكم مجال المستندة إلى Windows Server 2008، يمكنك الحصول على قائمة السمات الجزئية

هام: تمت ترجمة هذا المقال باستخدام برنامج ترجمة آلية لشركة مايكروسوفت بدلاً من الاستعانة بمترجم بشري. تقدم شركة مايكروسوفت كلاً من المقالات المترجمة بواسطة المترجمين البشر والمقالات المترجمة آليًا وبالتالي ستتمكن من الوصول إلى كل المقالات الموجودة في قاعدة المعرفة الخاصة بنا وباللغة الخاصة بك. بالرغم من ذلك، فإن المقالة المترجمة آليًا لا تكون دقيقة دائمًا وقد تحتوي على أخطاء إملائية أو لغوية أو نحوية، مثل تلك الأخطاء الصادرة عن متحدث أجنبي عندما يتحدث بلغتك. لا تتحمل شركة مايكروسوفت مسئولية عدم الدقة أو الأخطاء أو الضرر الناتج عن أية أخطاء في ترجمة المحتوى أو استخدامه من قبل عملائنا. تعمل شركة مايكروسوفت باستمرار على ترقية برنامج الترجمة الآلية

اضغط هنا لرابط المقالة باللغة الانجليزية976063
الأعراض
عندما تقوم بتشغيل طلب بروتوكول الخفيف لتغيير بيانات دليل (LDAP) إلى وحدة تحكم مجال المستندة إلى Windows Server 2008، يمكنك الحصول على قائمة السمات جزئية. ومع ذلك، إذا قمت بتشغيل نفس استعلام LDAP مقابل وحدة تحكم مجال المستندة إلى Windows Server 2003، يمكنك الحصول على قائمة كاملة سمة في الاستجابة.

ملاحظة يمكنك تشغيل هذا الاستعلام من وحدة التحكم بالمجال أو من جهاز كمبيوتر عميل يعمل بنظام التشغيل Windows Vista أو Windows Server 2008.

حساب المستخدم الذي تستخدمه لتشغيل استعلام LDAP يحتوي على الخصائص التالية:
  • الحساب عضو مجموعة Administrators المضمنة.
  • الحساب غير حساب المسؤول المضمن.
  • الحساب عضو مجموعة Domain Admins.
  • تحتوي قائمة التحكم بالوصول المستقل (DACL) لكائن المستخدم على إذن التحكم الكامل لمجموعة المسؤولين.
  • الأذونات الفعالة الخاصة بالكائن الاستعلام مقابل يظهر أن المستخدم لديه إذن " التحكم الكامل ".
السبب
تحدث هذه المشكلة بسبب تمكين ميزة "وضع موافقة المسؤول (AAM)" لحساب المستخدم في نظام التشغيل Windows Vista وفي Windows Server 2008. أنها تعرف أيضا باسم "التحكم في حساب المستخدم" (UAC). للوصول إلى مورد محلي، على نظام الأمان رمز استرجاع حيث أنه يستخدم في النشط Access Token من جلسة عمل تسجيل دخول تبادلي لجلسة عمل LDAP ويتحقق من الوصول أثناء معالجة استعلام LDAP.

لمزيد من المعلومات حول ميزة عم، قم بزيارة موقع Microsoft TechNet على ويب التالي:
الحل البديل
للتغلب على هذه المشكلة، استخدم إحدى الطرق التالية.

الطريقة الأولى

  1. استخدام تشغيل كمسؤول الخيار لفتح إطار موجه الأوامر.
  2. تشغيل استعلام LDAP في إطار موجه الأوامر.

الطريقة الثانية

تحديد عدم المطالبة قيمة لإعداد الأمان التالية:
التحكم في حساب المستخدم: سلوك مطالبة الترقية للمسؤولين في "وضع موافقة المسؤول"
لمزيد من المعلومات حول كيفية تحديد قيمة إعداد الأمان هذا، قم بزيارة موقع Microsoft TechNet على ويب التالي:

الطريقة الثالثة

  1. إنشاء مجموعة جديدة في المجال.
  2. إضافة مجموعة Domain Admins إلى هذه المجموعة الجديدة.
  3. منح إذن القراءة على القسم المجال إلى هذه المجموعة الجديدة. للقيام بذلك، اتبع الخطوات التالية:
    1. انقر فوق بدء تشغيل، انقر فوق تشغيل، نوع adsiedit.msc، ثم انقر فوق موافق.
    2. في تحرير ADSI إطار، انقر بالزر الأيمن DC =<Name></Name>، DC = com، ثم انقر فوق خصائص.
    3. في خصائص الإطار، انقر فوق أمان من علامة التبويب.
    4. على أمان ، انقر فوق إضافة.
    5. تحت أدخل أسماء الكائنات المراد تحديدها، اكتب اسم المجموعة الجديد، وانقر فوق موافق.
    6. تأكد من تحديد المجموعة تحت أسماء المجموعات أو المستخدمين، انقر لتحديد السماح لإذن "القراءة"، ثم انقر فوق موافق.
    7. إغلاق تحرير ADSI إطار.
  4. تشغيل استعلام LDAP مرة أخرى.
تصريح
هذا السلوك حسب التصميم.
معلومات أخرى
بشكل افتراضي، يتم تعطيل ميزة عم لحساب المسؤول المضمن في نظام التشغيل Windows Vista وفي Windows Server 2008. بالإضافة إلى ذلك، يتم تمكين ميزة الرأي العام للحسابات الأخرى التي أعضاء في مجموعة Administrators المضمنة.

للتحقق من ذلك، بتشغيل الأمر التالي في إطار موجه الأوامر.
whoami /all
إذا تم تمكين ميزة عم لحساب المستخدم، الإخراج يشبه ما يلي.
USER INFORMATION----------------User Name      SID                                           ============== ==============================================MyDomain\MyUser S-1-5-21-2146773085-903363285-719344707-326360GROUP INFORMATION-----------------Group Name                                    Type             SID                                               Attributes                                                     ============================================= ================ ================================================= ===============================================================Everyone                                      Well-known group S-1-1-0                                           Mandatory group, Enabled by default, Enabled group             BUILTIN\Administrators                        Alias            S-1-5-32-544                                      Group used for deny only
مجموعة Administrators المضمنة على السمة التالية:
Group used for deny only
تظهر مجموعة "مسؤولي المجال" كمجموعة الممكنة مع "مجموعة إلزامية، ممكناً بشكل افتراضي، مجموعة ممكن" في whoami/كافة، ولكن يتم تعطيل حقاً ل ACEs السماح. هذه مشكلة معروفة في Windows Server 2008 و R2.

استناداً إلى هذا الإخراج، لدى حساب المستخدم الذي استخدمته لتشغيل استعلام LDAP تمكين ميزة عم. عند تشغيل استعلام LDAP، يمكنك استخدام رمز حق وصول التي تم تصفيتها بدلاً من رمز حق وصول كامل. حتى إذا تم منح إذن التحكم الكامل لمجموعة المسؤولين على كائن المستخدم، لا يزال ليس لديك إذن " التحكم الكامل ". لذلك، يمكنك الحصول على قائمة السمات جزئية فقط.

تحذير: تمت ترجمة هذه المقالة تلقائيًا

خصائص

رقم الموضوع: 976063 - آخر مراجعة: 07/17/2012 15:37:00 - المراجعة: 1.0

Windows Server 2008 Datacenter, Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Vista Enterprise, Windows Vista Business, Windows Vista Business 64-bit edition, Windows Vista Ultimate, Windows 7 Professional, Windows 7 Enterprise, Windows 7 Ultimate, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise

  • kbsurveynew kbprb kbexpertiseadvanced kbtshoot kbmt KB976063 KbMtar
تعليقات