Die Registerkarte "Effektive Berechtigungen" meldet falsche Berechtigungen in Windows Server 2003

Beschreibung des Problems

Wenn Sie die Registerkarte Effektive Berechtigungen die Berechtigungen bestimmen, die ein Benutzer für eine bestimmte Ressource in der Domäne auf Windows Server 2003-basierten Computer verwenden, werden auf der Benutzeroberfläche angezeigten Ergebnisse inkonsistent mit den tatsächlichen Berechtigungen des Benutzers für diese Ressource. Insbesondere können einige Berechtigungen zulassen deaktiviert angezeigt. Oder möglicherweise aktivierten Kontrollkästchen für Verweigerungsberechtigungen.

Dieses Problem tritt auf, wenn Folgendes zutrifft:
  • Sie führen die Verwaltungstools remote auf dem Ressourcenserver aus.
  • Das Benutzerkonto, mit dem Ausführen der Verwaltungstools, ist nicht in der gleichen Domäne wie die Ressource.
Betrachten Sie beispielsweise das folgende Szenario:
  • Sie haben eine globale Gruppe in Domäne a
  • Sie haben eine domänenlokale Gruppe in Domäne b
  • Eine Ressource befindet sich in Domäne b
  • Die Gruppe hat vollständigen Zugriff auf die Ressource. Dieser Zugriff umfasst Berechtigungen löschen.
  • Die globale Gruppe ist ein Mitglied der lokalen Gruppe. Die globale Gruppe haben jedoch nicht direkten Zugriff auf die Ressource.
  • Anzeigen die Ressourcenberechtigungen eines Benutzers in der globalen Gruppe mit einem Administratorkonto in Domäne A. Diese Aktion von einem Computer, der Domäne a hinzugefügt wurde
In diesem Fall sehen Sie, dass der Benutzer nicht über Berechtigungen für die Ressource löschen. Der Benutzer muss jedoch tatsächlich Löschberechtigungen für die Ressource.

Wenn Sie Active Directory-Verwaltung ein Mitglied einer Domäne und die Verwaltung auf einen Domänencontroller in einer anderen Domäne herstellen, erhalten Sie möglicherweise auch falsch effektiven Berechtigungen.

Hinweis Da unterschiedliche effektive Berechtigungen Ergebnisse angezeigt werden, wenn Objekte über einen globalen Katalogserver zugegriffen werden, in einer anderen Domäne ausgeführt wird, hält Microsoft Sichern von Objekten in Active Directory mithilfe von Gruppen der lokalen Domäne.

Ursache

Das Dialogfeld Eigenschaften verwendet das Modul Authorization Manager Runtime (AuthZ.dll). Dieses Modul wird mit Kerberos Service für Benutzer (Kerberos S4U) Transaktion ein Token des Benutzers abgerufen. Dieses Token ist nicht relativ zu dem Ressourcenserver. Stattdessen wird dieses Token relativ administrative Station oder Benutzer das Management-Tool führt. Daher tritt eines der folgenden Szenarios:
  • Wenn die Ressource in einer anderen Domäne als administrative Station oder den Administrator, umfasst das Token nicht Gruppen der lokalen Domäne des Computers, auf dem die Ressource gehostet.
  • Ressource Berechtigungen verfügt, die integrierten Gruppen zugeordnet sind, werden die integrierten Gruppen mit den Gruppen der Domäne verwechselt.
In beiden Fällen werden falsche effektiven Berechtigungen Ergebnisse angezeigt.

Problemlösung

Um dieses Problem zu vermeiden, stellen Sie sicher, dass Sie die folgenden beim effektiven Berechtigungen eines Benutzers für eine Ressource überprüfen Aktionen:
  • Überprüfen Sie die effektive Berechtigungen lokal auf einem Computer, auf dem die Ressource gehostet.
  • Ihre Konfiguration Kerberos S4U aktiviert, stellen Sie sicher, dass der Administrator und die Ressource in der gleichen Domäne sind.
  • Wenn die effektiven Berechtigungen für Active Directory-Objekt überprüfen sollten Sie die Verwaltung auf einem Domänencontroller ausführen, die eine vollständige Kopie des Objekts auf einen globalen Katalogserver verfügt.
  • Wenn Sie die effektiven Berechtigungen für eine Ressource in Clustern überprüfen, können Sie die Verwaltung aus einem Clusterknoten ausführen.
Später in diesem Abschnitt beschriebenen Hotfix stellt darüber hinaus einen Registrierungseintrag UseGroupRecursion, der die Gruppe Rekursion-Methode ermöglicht.

Verwenden des hotfix

Sollten Sie diesen Hotfix auf den Computer anwenden, auf denen die Verwaltungsprogramme ausgeführt werden soll.

Um uns den Registrierungseintrag UseGroupRecursion für Sie festgelegt haben, gehen Sie zum Abschnitt "Fix it für mich". Vielmehr Registrierungseintrag UseGroupRecursion selbst festlegen möchten, lesen Sie den Abschnitt "Problem manuell beheben".

Automatisch mit Fix it beheben lassen

Klicken Sie Registrierungseintrag UseGroupRecursion automatisch Link Problem beheben . Dann Sie Führen Sie im Dialogfeld Dateidownload , und folgen Sie den Schritten im Assistenten.





Hinweis möglicherweise gibt es diesen Assistenten nur in Englisch; Die automatische Korrektur funktioniert aber trotzdem auch für andere Sprachversionen von Windows.

Hinweis Wenn Sie nicht auf dem Computer sind, auf dem das Problem tritt auf, können Sie die automatische Korrektur auf ein Flashlaufwerk oder eine CD speichern, und dann können Sie ihn ausführen auf dem Computer, auf dem das Problem tritt auf.

Wechseln Sie jetzt die "wurde das Problem behoben?" Abschnitt.

Lassen Sie mich das Problem manuell beheben


Wichtig Dieser Abschnitt bzw. die Methode oder Aufgabe enthält Schritte, die erklären, wie Sie die Registrierung ändern. Allerdings können schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Stellen Sie daher sicher, dass Sie die folgenden Schritte sorgfältig ausführen. Sichern Sie die Registry für zusätzlichen Schutz, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, falls ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756 zum Sichern und Wiederherstellen der Registrierung in Windows
Gehen Sie folgendermaßen vor, um den Registrierungseintrag "UseGroupRecursion" zu verwenden:
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und drücken Sie dann die EINGABETASTE.
  2. Suchen Sie den folgenden Registrierungsunterschlüssel, und klicken Sie dann darauf:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Authz
  3. Zeigen Sie im Menü Bearbeiten auf
    Neu, und klicken Sie dann auf DWORD-Wert.
  4. Geben Sie UseGroupRecursionund drücken Sie dann die EINGABETASTE.
  5. Maustaste auf UseGroupRecursion, und klicken Sie auf Ändern.
  6. Geben Sie im Feld Wert
    1, und klicken Sie dann auf OK.
  7. Registrierungseditor beenden.
Hinweis Wenn der Wert im Feld Wert auf 0 festgelegt ist, verwendet die Authorization Manager Runtime-Engine die Kerberos-Methode. Wenn dieser Wert auf 1 festgelegt ist, verwendet das Modul Authorization Manager Runtime rekursive Methode.

Wechseln Sie jetzt die "wurde das Problem behoben?" Abschnitt.

Wurde das Problem behoben?

Nachdem Sie den Registrierungseintrag zum Ändern der Gruppe Rekursion verwenden, müssen Sie die folgenden Aktionen ausführen:
  • Überprüfen Sie die effektive Berechtigungen lokal auf einem Computer, auf dem die Ressource gehostet.
  • Achten Sie administrative Benutzer Lesezugriff auf das Benutzerkonto für den effektiven Berechtigungen überprüft werden.
Hinweis Administrator und die Ressource müssen nicht in derselben Domäne befinden.

Überprüfen Sie, ob das Problem behoben ist. Wenn das Problem behoben ist, sind Sie fertig. Wenn das Problem nicht behoben ist, können Sie sich an den Support wenden.

Hotfix-Informationen

Ein unterstützter Hotfix ist von Microsoft erhältlich. Dieser Hotfix soll nur der Behebung des Problems dienen, das in diesem Artikel beschrieben wird. Wenden Sie dieses Hotfix nur auf Systeme an, bei denen das in diesem Artikel beschriebene Problem auftritt. Dieser Hotfix sollte weiteren Tests unterzogen werden. Wenn Ihr System durch dieses Problem nicht schwerwiegend beeinträchtigt ist, empfehlen wir sie, auf das nächste Softwareupdate zu warten, das diesen Hotfix enthält.

Wenn der Hotfix zum Download zur Verfügung steht, gibt es einen Abschnitt "Hotfixdownload available" ("Hotfixdownload verfügbar"), am oberen Rand dieses Knowledge Base-Artikel. Wenn dieser Abschnitt nicht angezeigt wird, wenden Sie sich an den Microsoft Customer Service and Support, um den Hotfix zu erhalten.

Hinweis Falls weitere Probleme auftreten oder andere Schritte zur Problembehandlung erforderlich sind, müssen Sie möglicherweise eine separate Serviceanfrage erstellen. Die normalen Supportkosten gelten für zusätzliche Supportfragen und Probleme, die nicht diesem speziellen Hotfix zugeordnet werden können. Für eine vollständige Liste der Telefonnummern des Microsoft Customer Service and Support, oder um eine separate Serviceanfrage zu erstellen, gehen Sie auf folgende Microsoft-Website:Hinweis Das Formular "Hotfix download available" ("Hotfixdownload verfügbar") zeigt die Sprachen an, für die der Hotfix verfügbar ist. Wenn Ihre Sprache nicht angezeigt wird, ist dieser Hotfix für Ihre Sprache nicht verfügbar.

Voraussetzungen

Sie müssen Windows Server 2003 Service Pack 1 oder Windows Server 2003 Service Pack 2 installiert werden, um diesen Hotfix anwenden.
Weitere Informationen zu Windows Server 2003 Servicepacks finden Sie im folgende Artikel der Microsoft Knowledge Base:

889100 so erhalten Sie das neueste Servicepack für Windows Server 2003

Neustartanforderung

Sie müssen den Computer neu starten, nachdem Sie diesen Hotfix anwenden.

Informationen zu ersetzten Hotfixes

Dieser Hotfix ersetzt keine anderen Hotfixes.

Dateiinformationen

Die englische Version dieses Hotfixes weist Dateiattribute (oder spätere Attribute), die in der folgenden Tabelle aufgelistet sind. Die Datums- und Uhrzeitangaben für diese Dateien sind in Coordinated Universal Time (UTC) aufgelistet. Wenn Sie die Dateiinformationen anzeigen, werden sie in die lokale Zeit konvertiert. Um die Differenz zwischen UTC und der Ortszeit zu finden, verwenden Sie die Registerkarte Zeitzone unter Datum und Uhrzeit in der Systemsteuerung.
Windows Server 2003 mit Service Pack 1 X86-basierte Versionen
DateinameDateiversionDateigrößeDatumZeitPlattform
Authz.dll5.2.3790.322072,19201-Oct-200814:54x86
Windows Server 2003 mit Service Pack 2 X86-basierte Versionen
DateinameDateiversionDateigrößeDatumZeitPlattform
Authz.dll5.2.3790.438371,68001-Oct-200815:08x86
Windows Server 2003 mit Service Pack 1, Itanium-Versionen
DateinameDateiversionDateigrößeDatumZeitPlattformSP-AnforderungServicebereich
Authz.dll5.2.3790.3220237,56801-Oct-200812:51IA-64SP1Nicht zutreffend
Wauthz.dll5.2.3790.322072,19201-Oct-200812:51x86SP1WOW
Windows Server 2003 mit SP2, Itanium-Versionen
DateinameDateiversionDateigrößeDatumZeitPlattformSP-AnforderungServicebereich
Authz.dll5.2.3790.4383237,56801-Oct-200812:55IA-64SP2Nicht zutreffend
Wauthz.dll5.2.3790.438371,68001-Oct-200812:55x86SP2WOW
Windows Server 2003 mit Service Pack 1 X64-basierte Versionen
DateinameDateiversionDateigrößeDatumZeitPlattformSP-AnforderungServicebereich
Authz.dll5.2.3790.3220175,61601-Oct-200812:51x64SP1Nicht zutreffend
Wauthz.dll5.2.3790.322072,19201-Oct-200812:51x86SP1WOW
Windows Server 2003 mit Service Pack 2 X64-basierte Versionen
DateinameDateiversionDateigrößeDatumZeitPlattformSP-AnforderungServicebereich
Authz.dll5.2.3790.4383175,61601-Oct-200812:59x64SP2Nicht zutreffend
Wauthz.dll5.2.3790.438371,68001-Oct-200812:59x86SP2WOW

Status

Microsoft hat bestätigt, dass es sich um ein Problem bei den Microsoft-Produkten handelt, die im Abschnitt „Eigenschaften“ aufgeführt sind.

Weitere Informationen

Um weitere Informationen zur Terminologie für Softwareupdates zu erhalten, klicken Sie auf die folgende Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen:
824684 Erläuterung von der standardmäßigen Standardbegriffen bei Microsoft Softwareupdates
Ein weiteres bestimmten Symptom des Problems klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
884049 Zugriffssteuerungslisten möglicherweise falschen Informationen in Windows Server 2003 melden

Eigenschaften

Artikelnummer: 933071 – Letzte Überarbeitung: 14.01.2017 – Revision: 1

Feedback