ADSI GetObject Abfragen Fehlschlagen von ASP aber die Arbeit von VBScript

Wir empfehlen allen Benutzern von Microsoft-Internetinformationsdienste (IIS) Version 7.0 aktualisieren auf Microsoft Windows Server 2008 ausgeführt. IIS 7.0 erhöht die Sicherheit der Webinfrastruktur beträchtlich. Weitere Informationen über IIS sicherheitsbezogene Themen finden Sie auf der folgenden Microsoft-Website:Weitere Informationen zu IIS 7.0 finden Sie auf der folgenden Microsoft-Website:

Problembeschreibung

Wenn Sie versuchen, die Benutzer in einer bestimmten Gruppe mithilfe einer GetObject Abfrage von einer Active Server Pages (ASP)-Seite, möglicherweise die Ergebnismenge leer, obwohl diese Abfrage Daten zurückgibt, wenn sie Microsoft Visual Basic Scripting Edition (VBScript) Code auf dem IIS-Server ausgeführt wird. Abfragen für Gruppen oder andere Objekte, die eine ASP-Seite aus auch zurückgeben Daten.

Die folgende Abfrage gibt beispielsweise eine leere Liste zurück:
Set ADsGroup = GetObject("WinNT://DOMAIN/SomeGroup,Group") For Each Member in ADsGroup.members
response.write Member.name

Ursache

Dieses Problem tritt auf, wenn Folgendes erfüllt sind:

  • Der IIS-Server ist ein Domänencontroller nicht. Der IIS-Server ein Mitgliedsserver einer Domäne und kein Domänencontroller, müssen Microsoft Windows NT GetObject Abfragen einen Domänencontroller Abrufen der angeforderte Informationen wenden.

  • Die ASP-Seite, die die Abfrage wird die Windows NT Challenge/Response-Authentifizierung verwendet. Wenn die Seite, die die Anforderung stellt Windows NT Challenge/Response authentifiziert wird, wird die Abfrage aus dem IIS-Computer mit dem Domänencontroller mit NULL oder anonymes Benutzerkonto, weil Windows NT Challenge/Response Double-Hop-Identitätswechsel nicht unterstützt.

  • 1 Legen Sie der Registrierungsschlüssel RestrictAnonymous auf dem Domänencontroller kontaktiert werden. Wenn der Registrierungsschlüssel RestrictAnonymous auf dem Domänencontroller auf 1 festgelegt ist, schlägt die Abfrage fehl, weil die Abfrage NULL oder anonymes Konto verwendet.

HINWEIS: Da der Registrierungsschlüssel RestrictAnonymous nur die Liste der Benutzerkonten und Freigaben beschränkt, andere Abfragen wie Gruppe erfolgreich. Die Abfrage erfolgreich auch mit VBScript ausgeführt wird, da die Abfrage initiiert wurde auf dem IIS-Server einen Benutzer, damit die Abfrage mithilfe der Anmeldeinformationen des Benutzers ausgeführt werden kann.

PROBLEMUMGEHUNG

Verwenden Sie die folgenden Methoden, um die Abfrage auszuführen. Verwenden Sie grundlegende oder Klartext als Authentifizierungsmethode. Dies ermöglicht IIS die Anmeldeinformationen des Benutzers an den Domänencontroller übergeben.

Hinweis Wenn Sie Klartext als Authentifizierungsmethode verwenden, sollten Sie auch erwägen Secure Sockets Layer (SSL) auf die Seite sichern.

Weitere Informationen über den Registrierungsschlüssel RestrictAnonymous finden Sie im Artikel der Microsoft Knowledge Base:
143474 Beschränken der Informationen für anonym angemeldete Benutzer

Eigenschaften

Artikelnummer: 278836 – Letzte Überarbeitung: 10.01.2017 – Revision: 1

Feedback