La ficha "Permisos efectivos" puede informar a permisos incorrectos en Windows Server 2003

Descripción del problema

Cuando se utiliza la ficha Permisos efectivos para determinar los permisos que tiene un usuario para un determinado recurso en el dominio en un equipo basado en Windows Server 2003, los resultados que se muestran en la interfaz de usuario son incompatibles con los permisos reales del usuario para ese recurso. En concreto, casillas de verificación de algunos permisos Permitir puede aparecer desactivadas. O bien, casillas de verificación de algunos permisos Denegar puede aparecer activadas.

Este problema se produce cuando se cumple una de las siguientes condiciones:
  • Ejecutar las herramientas administrativas de forma remota desde el servidor de recursos.
  • La cuenta de usuario que se utiliza para ejecutar las herramientas administrativas no está en el mismo dominio que el recurso.
Por ejemplo, considere el siguiente escenario:
  • Tienes un grupo global del dominio A.
  • Tiene un grupo local de dominio en el dominio B.
  • Un recurso se encuentra en el dominio B.
  • El grupo local tiene acceso completo al recurso. Este acceso incluye permisos de eliminación.
  • El grupo global es un miembro del grupo local. Sin embargo, el grupo global no tiene acceso directo al recurso.
  • Ver los permisos de recurso de un usuario en el grupo global con una cuenta de usuario administrativo del dominio A. Realizar esta acción remota desde un equipo que se ha unido el dominio A.
En este escenario, verá que el usuario no tiene permisos de eliminación para el recurso. Sin embargo, el usuario realmente tiene permisos de eliminación para el recurso.

Si está ejecutando las herramientas administrativas de Active Directory en un miembro de un dominio y conectar las herramientas administrativas en un controlador de dominio en otro dominio, también puede ver resultados incorrectos permisos efectivos.

Nota: Se muestran resultados diferentes permisos efectivos cuando se accede a objetos a través de un servidor de catálogo global que se está ejecutando en otro dominio, Microsoft recomienda no protección de objetos en Active Directory utilizando grupos locales de dominio.

Causa

El cuadro de diálogo de propiedades utiliza el motor de administrador de autorización Runtime (AuthZ.dll). Este motor utiliza un Kerberos Service para la transacción de usuario (Kerberos S4U) para obtener un símbolo (token) del usuario. Sin embargo, este token no es relativa al servidor de recursos. En su lugar, este token es relativa a la estación de administración o del usuario que ejecuta la herramienta de administración. Por lo tanto, produce una de las siguientes situaciones:
  • Si el recurso está en un dominio diferente que la estación administrativa o que el usuario administrativo, el token no incluye los grupos locales de dominio del equipo que aloja el recurso.
  • Si el recurso tiene permisos asignados a grupos integrados, los grupos integrados se confunden con los grupos de dominio.
En cualquier caso, se muestran resultados incorrectos permisos efectivos.

Solución

Para evitar este problema, asegúrese de realizar las acciones siguientes al comprobar los permisos efectivos de un usuario para un recurso:
  • Compruebe siempre los permisos efectivos localmente en un equipo que aloja el recurso.
  • Si su configuración permite Kerberos S4U, asegúrese de que el usuario administrativo y los recursos están en el mismo dominio.
  • Si comprueba los permisos efectivos de un objeto de Active Directory, debe ejecutar las herramientas administrativas en un controlador de dominio que tiene una copia completa del objeto en un servidor de catálogo global.
  • Si comprueba los permisos efectivos de un recurso de clúster, puede ejecutar las herramientas administrativas desde cualquier nodo del clúster.
Además, en la revisión que se describe más adelante en esta sección se presenta una entrada de registro UseGroupRecursion que permite aplicar el método de recursividad de grupo.

Para utilizar la revisión

Debe aplicar esta revisión en el equipo en el que desea ejecutar las herramientas administrativas.

Para que podamos establecer la entrada de registro UseGroupRecursion para usted, vaya a la sección de "arreglarlo para mí". Si prefiere definir la entrada de registro UseGroupRecursion usted mismo, vaya a la sección "permítame corregirlo yo mismo".

Solucionarlo en mi lugar

Para establecer la entrada de registro UseGroupRecursion automáticamente, haga clic en el vínculo de corregir este problema . A continuación, haga clic en Ejecutar en el cuadro de diálogo Descarga de archivos y siga los pasos del asistente.





Nota este asistente puede estar en inglés solamente; Sin embargo, la corrección automática también funciona para versiones de Windows en otro idioma.

Nota: Si no está en el equipo que tiene el problema, puede guardar la corrección automática en una unidad flash o en un CD y, a continuación, puede ejecutar en el equipo que tiene el problema.

Ahora, vaya a la "Esto soluciona el problema?" sección.

Solucionarlo por mí mismo


Importante: esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, haga una copia de seguridad del registro antes de modificarlo. Entonces, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo hacer copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 cómo hacer copia de seguridad y restaurar el registro en Windows
Para utilizar la entrada de registro UseGroupRecursion, siga estos pasos:
  1. Haga clic en Inicio, haga clic en Ejecutar, escriba regedit y, a continuación, presione ENTRAR.
  2. Busque y, a continuación, haga clic en la subclave del registro siguiente:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Authz
  3. En el menú Edición , elija
    De nuevoy, a continuación, haga clic en Valor DWORD.
  4. Escriba UseGroupRecursiony, a continuación, presione ENTRAR.
  5. Haga clic en UseGroupRecursiony, a continuación, haga clic en Modificar.
  6. En el cuadro información del valor , escriba
    1y, a continuación, haga clic en Aceptar.
  7. Salga del Editor del Registro.
Nota: De forma predeterminada, cuando se establece el valor en el cuadro datos del valor en 0, el motor de administrador de autorización Runtime utiliza el método de Kerberos. Cuando este valor se establece en 1, el motor de administrador de autorización Runtime utiliza el método recursivo.

Ahora, vaya a la "Esto soluciona el problema?" sección.

¿Esto ha solucionado el problema?

Después de utilizar la entrada del registro para cambiar el método de recursividad de grupo, debe realizar las siguientes acciones:
  • Compruebe siempre los permisos efectivos localmente en un equipo que aloja el recurso.
  • Asegúrese de que el usuario administrativo tiene acceso de lectura a la cuenta de usuario para el que está comprobando los permisos efectivos.
Nota: El usuario administrativo y el recurso no tiene que estar en el mismo dominio.

Compruebe si el problema se solucionó. Si se soluciona el problema, ya ha terminado con este artículo. Si no se solucionó el problema, puede ponerse en contacto con el soporte técnico.

Información de la revisión

Existe un hotfix disponible desde Microsoft. Sin embargo, esta revisión se diseñó para corregir únicamente el problema que se describe en este artículo. Aplique esta revisión solamente a sistemas que experimenten el problema descripto en este artículo. Esta revisión podría ser sometida a comprobaciones adicionales. Por lo tanto, si no se ve muy afectado por este problema, recomendamos que espere a la próxima actualización de software que contenga este hotfix.

Si la revisión está disponible para su descarga, hay una sección de "Descarga de revisión disponible" en la parte superior de este artículo de Knowledge Base. Si esta sección no aparece, póngase en contacto con el servicio al cliente de Microsoft y soporte técnico para obtener la revisión.

Nota: Si se producen problemas adicionales o si se requiere cualquier otra solución, será necesario crear una solicitud de revisión independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no califican para esta revisión específica. Para obtener una lista completa de los números de teléfono de servicio al cliente de Microsoft o para crear una solicitud de servicio independiente, visite el siguiente sitio Web de Microsoft:Nota: El formulario de "Descarga de Hotfix disponible" muestra los idiomas para los que el Hotfix está disponible. Si no ve su idioma, es porque no hay una revisión para ese idioma.

Requisitos previos

Debe tener Windows Server 2003 Service Pack 1 o Windows Server 2003 Service Pack 2 instalado para aplicar esta revisión.
Para obtener más información acerca de los service packs de Windows Server 2003, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

889100 cómo obtener el service pack más reciente para Windows Server 2003

Requisito de reinicio

Debe reiniciar el equipo después de aplicar este hotfix.

Información de reemplazo de revisión

Este hotfix no sustituye a otras revisiones.

Información de archivo

La versión en inglés de esta revisión tiene los atributos de archivo (o atributos del archivo más reciente) mostrados en la tabla siguiente. Las fechas y horas de estos archivos se muestran en la hora Universal coordinada (UTC). Al ver la información del archivo, se convierte en hora local. Para encontrar la diferencia entre la hora UTC y la hora local, utilice la ficha Zona horaria en el elemento de Fecha y hora del Panel de control.
Windows Server 2003 con Service Pack 1, versiones basadas en x86
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Authz.dll5.2.3790.322072,19201-Oct-200814:54x86
Windows Server 2003 con Service Pack 2, versiones basadas en x86
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Authz.dll5.2.3790.438371,68001-Oct-200815:08x86
Windows Server 2003 con Service Pack 1, versiones basadas en Itanium
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataformaRequisito de SPTipo de servicio
Authz.dll5.2.3790.3220237.56801-Oct-200812:51IA-64SP1No aplicable
Wauthz.dll5.2.3790.322072,19201-Oct-200812:51x86SP1WOW
Windows Server 2003 con Service Pack 2, versiones basadas en Itanium
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataformaRequisito de SPTipo de servicio
Authz.dll5.2.3790.4383237.56801-Oct-200812:55IA-64SP2No aplicable
Wauthz.dll5.2.3790.438371,68001-Oct-200812:55x86SP2WOW
Windows Server 2003 con Service Pack 1, versiones basadas en x64
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataformaRequisito de SPTipo de servicio
Authz.dll5.2.3790.3220175,61601-Oct-200812:51x64SP1No aplicable
Wauthz.dll5.2.3790.322072,19201-Oct-200812:51x86SP1WOW
Windows Server 2003 con Service Pack 2, versiones basadas en x64
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataformaRequisito de SPTipo de servicio
Authz.dll5.2.3790.4383175,61601-Oct-200812:59x64SP2No aplicable
Wauthz.dll5.2.3790.438371,68001-Oct-200812:59x86SP2WOW

Estado

Microsoft ha confirmado que se trata de un problema de los productos de Microsoft que se enumeran en la sección "Aplicable a".

Más información

Para obtener más información acerca de la terminología de la actualización de software, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
824684 descripción de la terminología estándar que se utiliza para describir las actualizaciones de software de Microsoft
Otro síntoma específico de este problema, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
884049 listas de control de acceso pueden notificar información incorrecta en Windows Server 2003

Propiedades

Id. de artículo: 933071 - Última revisión: 14 ene. 2017 - Revisión: 1

Comentarios