Na kartě "Skutečná oprávnění" může hlásit nesprávné oprávnění v systému Windows Server 2003

Popis problému

Pokud na kartě Skutečná oprávnění lze zjistit oprávnění, která má uživatel pro určitý zdroj v doméně počítače se systémem Windows Server 2003, jsou výsledky, které jsou zobrazeny v uživatelském rozhraní nekonzistentní s opravdovými oprávněními uživatele k danému prostředku. Konkrétně může zobrazit zaškrtávací políčka pro některá oprávnění povolit Nekontrolovaná. Nebo zaškrtávací políčka pro některé oprávnění Odepřít se zobrazí zaškrtnutí.

K tomuto problému dochází, pokud platí jedna z následujících podmínek:
  • Spuštění nástroje pro správu vzdáleně ze serveru prostředků.
  • Uživatelský účet, který použijete ke spuštění nástroje pro správu není ve stejné doméně jako prostředek.
Například zvažte následující scénář:
  • Máte-li globální skupiny v doméně A.
  • Máte místní skupiny domény v doméně B.
  • Prostředek je umístěn v doméně B.
  • Místní skupina má úplný přístup k prostředku. Tento přístup zahrnuje oprávnění k odstranění.
  • Globální skupina je členem místní skupiny. Globální skupina nemá přímý přístup k prostředku.
  • Zobrazit zdroj oprávnění uživatele do globální skupiny pomocí účtu správce v doméně A. Provést vzdáleně z počítače, který byl připojen k doméně A.
V tomto scénáři se zobrazí, že uživatel nemá oprávnění odstranit zdroj. Však uživatel skutečně nemá oprávnění odstranit zdroj.

Pokud používáte nástroje pro správu služby Active Directory v jedné doméně a nástroje pro správu připojení k řadiči domény v jiné doméně, může také zobrazit výsledky nesprávné skutečná oprávnění.

Poznámka: Vzhledem k tomu, že výsledky různých skutečná oprávnění jsou zobrazeny při přístupu k objektům prostřednictvím serveru globálního katalogu se systémem v jiné doméně, odrazuje od Microsoft zabezpečení objektů služby Active Directory pomocí místní skupiny domény.

Příčina

Dialogové okno Vlastnosti používá modul Runtime Správce autorizace (AuthZ.dll). Tento stroj používá k získání tokenu uživatele protokolu Kerberos služby pro uživatele (Kerberos S4U) transakce. Tento token se však vzhledem k serveru zdroje. Místo toho tento token je vzhledem k stanice správce nebo uživatel, který spustí nástroj pro správu. Proto dojde jedné z následující scénáře:
  • Pokud se zdroj nachází v jiné doméně než stanice pro správu nebo než administrativní uživatel, token neobsahuje místní skupiny domény počítače, který je hostitelem prostředku.
  • Pokud má zdroj oprávnění, které jsou přiřazeny předdefinované skupiny, předdefinované skupiny jsou zaměňovány s skupiny domény.
V obou těchto případech jsou zobrazeny výsledky nesprávné skutečná oprávnění.

Řešení

Chcete-li se tomuto problému vyhnout, ujistěte se, při kontrole skutečná oprávnění uživatele pro prostředek provést následující akce:
  • Vždy zkontrolujte skutečná oprávnění místně v počítači, který je hostitelem prostředku.
  • Pokud vaše konfigurace umožňuje Kerberos S4U, ujistěte se, že uživatel oprávnění správce a zdroje jsou ve stejné doméně.
  • Pokud zaškrtnete skutečná oprávnění pro objekt služby Active Directory, měli byste spustit nástroje pro správu v řadiči domény, který má úplná kopie objektu na serveru globálního katalogu.
  • Pokud zaškrtnete skutečná oprávnění pro prostředek clusteru, můžete spustit nástroje pro správu z libovolného uzlu clusteru.
Navíc opravu hotfix, která je popsána dále v tomto oddílu zavádí UseGroupRecursion položka registru, který umožňuje vynutit metodu rekurze skupiny.

Chcete-li použít opravu hotfix

Měli byste použít tuto opravu hotfix do počítače, ve kterém chcete spustit nástroje pro správu.

Chcete-li nastavit položku registru UseGroupRecursion automaticky, přejděte "Opravit za mě" oddílu. Pokud by spíše nastavíte položka registru UseGroupRecursion sami, přejděte "opravit sám" oddíl.

Automatická oprava

Chcete-li nastavit položku registru UseGroupRecursion automaticky, klepněte na odkaz Opravit tyto potíže . Potom klepněte na příkaz Spustit v dialogovém okně Stažení souboru a postupujte podle pokynů v průvodci.





Poznámka: Tento průvodce může být v angličtině pouze; Automatická oprava však také funguje pro ostatní jazykové verze systému Windows.

Poznámka: Pokud nejste na počítači, který má problém, automatickou opravu můžete uložit na jednotku flash nebo na disk CD a potom můžete spustit v počítači, který má potíže.

Nyní přejděte "b yl problém?" sekce.

Opravím si sám


Důležité: Tento oddíl, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. Při nesprávné úpravě registru mohou nastat závažné problémy Proto se ujistěte, že budete opatrně postupovat podle těchto kroků Pro zvýšení ochrany před úpravou zálohujte registr. Pokud dojde k potížím, pak můžete registr obnovit ze zálohy. Pro další informace o zálohování a obnovení registru klepněte na následující číslo článku databáze Microsoft Knowledge Base:
322756 postup zálohování a obnovení registru v systému Windows
Položka registru UseGroupRecursion použít, postupujte takto:
  1. Klepněte na tlačítko Start, na příkaz Spustit, zadejte příkaz regedit a stiskněte klávesu ENTER.
  2. Vyhledejte a vyberte následující podklíč registru:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Authz
  3. V nabídce Úpravy přejděte na příkaz
    Novýa potom klepněte na příkaz Hodnota DWORD.
  4. Zadejte UseGroupRecursiona stiskněte klávesu ENTER.
  5. UseGroupRecursionklepněte pravým tlačítkem myši a potom klepněte na příkaz změnit.
  6. Do pole Údaj hodnoty zadejte
    1a klepněte na tlačítko OK.
  7. Ukončete Editor registru.
Poznámka: Ve výchozím nastavení pokud je nastavena hodnota v poli Údaj hodnoty na 0, modul Runtime Správce autorizace používá metodu Kerberos. Pokud tato hodnota nastavena na 1, modul Runtime Správce autorizace používá rekurzivní metody.

Nyní přejděte "b yl problém?" sekce.

Byl problém vyřešen?

Po použití položka registru Chcete-li změnit metodu rekurze skupiny, je nutné provést následující akce:
  • Vždy zkontrolujte skutečná oprávnění místně v počítači, který je hostitelem prostředku.
  • Ujistěte se, že administrativní uživatel má přístup pro čtení pro uživatelský účet, pro které vracíte skutečná oprávnění.
Poznámka: Správce a zdroje nemají být ve stejné doméně.

Zkontrolujte, zda byl problém vyřešen. Pokud je problém vyřešen, jste hotovi s tímto článkem. Pokud potíže přetrvávají, můžete kontaktovat podporu.

Informace o opravě hotfix

Společnost Microsoft má k dispozici podporovanou opravu hotfix. Tato oprava hotfix je však určena pouze problému popsanému v tomto článku. Tuto opravu hotfix instalujte pouze do systémů, ve kterých dochází k potížím popsaným v tomto článku. Tato oprava hotfix může být dále testována. Proto pokud nejste vážně ohrožen tímto problémem, doporučujeme počkat na další aktualizaci softwaru, která obsahuje tuto opravu hotfix.

Pokud je oprava hotfix k dispozici ke stažení, je v horní části tohoto článku znalostní báze Knowledge Base oddíl "Oprava Hotfix je dostupná ke stažení" . Pokud tato sekce není uvedena, obraťte se na Zákaznický servis a podporu společnosti Microsoft k získaní opravy hotfix.

Poznámka: Pokud nastanou další problémy nebo bude nutné další řešení potíží, bude možná třeba vytvořit další samostatný požadavek na služby. Běžná cena za technickou podporu se vztahuje k dodatečným otázkám podpory a k problémům, které se netýkají této konkrétní opravy hotfix. Úplný seznam telefonních čísel služeb zákazníkům společnosti Microsoft a podpoře nebo vytvořit zvláštní požadavek na službu naleznete na následujícím webu společnosti Microsoft:Poznámka: Ve formuláři „Oprava hotfix je dostupná ke stažení“ se zobrazují jazyky, pro které je oprava hotfix k dispozici. Pokud váš jazyk není zobrazen, to je protože oprava hotfix není k dispozici pro daný jazyk.

Předpoklady

Musí mít systém Windows Server 2003 Service Pack 1 nebo Windows Server 2003 Service Pack 2 nainstalovat tuto opravu hotfix.
Další informace o aktualizacích service Pack pro systém Windows Server 2003 klepněte na následující číslo článku databáze Microsoft Knowledge Base:

889100 jak získat nejnovější aktualizaci service pack pro systém Windows Server 2003

Požadavek na restartování

Po instalaci této opravy hotfix musíte restartovat počítač.

Informace o nahrazení opravy hotfix

Tato oprava hotfix nenahrazuje žádné další opravy hotfix.

Informace o souborech

Anglická verze této opravy hotfix má atributy (nebo pozdější atributy souborů) uvedené v následující tabulce. Kalendářní data a časy jednotlivých souborů jsou uvedeny v koordinovaném světovém čase (UTC). Při zobrazení informací o souboru je převeden na místní čas. Rozdíl mezi místním časem a časem UTC naleznete na kartě Časové pásmo v položce Datum a čas v okně Ovládací panely.
Windows Server 2003 Service Pack 1, verze x86
Název souboruVerze souboruVelikost souboruDatumČasPlatforma
Authz.dll5.2.3790.322072,19201-Oct-200814:54x86
Windows Server 2003 Service Pack 2, verze x86
Název souboruVerze souboruVelikost souboruDatumČasPlatforma
Authz.dll5.2.3790.438371,68001-Oct-200815:08x86
Windows Server 2003 s Service Pack 1 pro počítače s procesory Itanium
Název souboruVerze souboruVelikost souboruDatumČasPlatformaPožadavek na aktualizaci SPSložka služby
Authz.dll5.2.3790.3220237,56801-Oct-200812:51IA-64SP1Není k dispozici
Wauthz.dll5.2.3790.322072,19201-Oct-200812:51x86SP1WOW
Windows Server 2003 s aktualizací Service Pack 2, verze s procesorem Itanium
Název souboruVerze souboruVelikost souboruDatumČasPlatformaPožadavek na aktualizaci SPSložka služby
Authz.dll5.2.3790.4383237,56801-Oct-200812:55IA-64SP2Není k dispozici
Wauthz.dll5.2.3790.438371,68001-Oct-200812:55x86SP2WOW
Windows Server 2003 Service Pack 1, verze x64
Název souboruVerze souboruVelikost souboruDatumČasPlatformaPožadavek na aktualizaci SPSložka služby
Authz.dll5.2.3790.3220175,61601-Oct-200812:51x64SP1Není k dispozici
Wauthz.dll5.2.3790.322072,19201-Oct-200812:51x86SP1WOW
Windows Server 2003 Service Pack 2, verze x64
Název souboruVerze souboruVelikost souboruDatumČasPlatformaPožadavek na aktualizaci SPSložka služby
Authz.dll5.2.3790.4383175,61601-Oct-200812:59x64SP2Není k dispozici
Wauthz.dll5.2.3790.438371,68001-Oct-200812:59x86SP2WOW

Stav

Společnost Microsoft potvrdila, že se jedná o problém v produktech společnosti Microsoft, které jsou uvedeny v části "Platí pro".

Další informace

Pro další informace o terminologii používané v aktualizacích softwaru, klepněte na následující číslo článku k zobrazení článku v databázi Microsoft Knowledge Base:
824684 Popis standardní terminologie používané při popisu aktualizací softwaru společnosti Microsoft
Jiné specifické příznakem tohoto problému klepněte na následující číslo článku databáze Microsoft Knowledge Base:
884049 seznamy řízení přístupu může hlásit nesprávné informace v systému Windows Server 2003

Vlastnosti

ID článku: 933071 - Poslední kontrola: 14. 1. 2017 - Revize: 1

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows Server 2003 Service Pack 2

Váš názor