Al momento sei offline in attesa che la connessione Internet venga ristabilita

Quando si esegue una query LDAP su un controller di dominio basato su Windows Server 2008, ottenere un elenco di attributi parziali

Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell’utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell’utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.

Clicca qui per visualizzare la versione originale in inglese dell’articolo: 976063
Sintomi
Quando si esegue una richiesta di Lightweight Directory Access Protocol (LDAP) su un controller di dominio basato su Windows Server 2008, è possibile ottenere un elenco di attributi parziali. Tuttavia, se si esegue la stessa query LDAP su un controller di dominio basato su Windows Server 2003, è possibile ottenere un elenco di attributi completo nella risposta.

Nota È possibile eseguire la query dal controller di dominio o da un computer client che esegue Windows Vista o Windows Server 2008.

L'account utente utilizzato per eseguire la query LDAP ha le seguenti proprietà:
  • L'account è un membro del gruppo Administrators incorporato.
  • L'account non è l'account administrator incorporato.
  • L'account è un membro del gruppo Domain Admins.
  • L'elenco di controllo di accesso discrezionale (DACL) dell'oggetto utente contiene l'autorizzazione controllo completo per il gruppo Administrators.
  • Le autorizzazioni valide dell'oggetto che query indica che l'utente disponga dell'autorizzazione controllo completo .
Cause
Questo problema si verifica perché la funzionalità di modalità Approvazione amministratore (AAM) è attivata per l'account utente in Windows Vista e Windows Server 2008. È noto anche come "Controllo Account utente" (UAC). Per l'accesso alle risorse locali, il sistema di protezione ha un codice di loopback in modo che utilizza active Access Token dalla sessione di accesso interattivo per la sessione LDAP e controlla l'accesso durante l'elaborazione di query LDAP.

Per ulteriori informazioni sulla funzionalità di modalità Approvazione amministratore, visitare il seguente sito Web Microsoft TechNet:
Workaround
Per aggirare questo problema, utilizzare uno dei metodi descritti di seguito.

Metodo 1

  1. Utilizzare il Esegui come amministratore opzione per aprire una finestra del prompt dei comandi.
  2. Nella finestra del prompt dei comandi, eseguire la query LDAP.

Metodo 2

Specificare il Nessuna richiesta valore dell'impostazione di protezione seguenti:
Controllo Account utente: Comportamento della richiesta di elevazione per gli amministratori in modalità Approvazione amministratore
Per ulteriori informazioni su come specificare il valore di questa impostazione di protezione, visitare il seguente sito Web Microsoft TechNet:

Metodo 3

  1. Creare un nuovo gruppo nel dominio.
  2. Aggiungere il gruppo Domain Admins al nuovo gruppo.
  3. Concedere l'autorizzazione di lettura sulla partizione di dominio per questo nuovo gruppo. Per effettuare questa operazione, attenersi alla seguente procedura:
    1. Fare clic su Avviare, fare clic su Eseguire, tipo Adsiedit. msc, quindi fare clic su OK.
    2. Nel Modifica ADSI finestra destro DC =<Name></Name>DC = com, quindi fare clic su Proprietà.
    3. Nel Proprietà finestra, scegliere il Protezione scheda.
    4. Nel Protezione Fare clic su Aggiungi.
    5. Nella casella di gruppo Immettere i nomi degli oggetti da selezionare, digitare il nome del nuovo gruppo e quindi fare clic su OK.
    6. Assicurarsi che il gruppo sia selezionato in Nomi utente o gruppo, fare clic per selezionare Consentire per l'autorizzazione di lettura e quindi fare clic su OK.
    7. Chiudi il Modifica ADSI finestra.
  4. Rieseguire la query LDAP.
Status
Questo comportamento legato alla progettazione.
Informazioni
Per impostazione predefinita, la funzionalità di modalità Approvazione amministratore è disattivata per l'account amministratore incorporato in Windows Vista e Windows Server 2008. Inoltre, la modalità Approvazione amministratore è attivata per altri account che sono membri del gruppo Administrators.

Per effettuare questa verifica, eseguire il seguente comando in una finestra del prompt dei comandi.
whoami /all
Se la modalità Approvazione amministratore è attivata per l'account utente, l'output è simile al seguente.
USER INFORMATION----------------User Name      SID                                           ============== ==============================================MyDomain\MyUser S-1-5-21-2146773085-903363285-719344707-326360GROUP INFORMATION-----------------Group Name                                    Type             SID                                               Attributes                                                     ============================================= ================ ================================================= ===============================================================Everyone                                      Well-known group S-1-1-0                                           Mandatory group, Enabled by default, Enabled group             BUILTIN\Administrators                        Alias            S-1-5-32-544                                      Group used for deny only
Il gruppo Administrators ha il seguente attributo:
Group used for deny only
Il gruppo "Domain Admins" è indicato come gruppo protetto con "gruppo obbligatorio, abilitato per impostazione predefinita, gruppo abilitato" in whoami /all, ma realmente è disabilitato per consentire l'ACE. Si tratta di un problema noto di Windows Server 2008 e R2.

In base a questo output, l'account utente utilizzato per eseguire la query LDAP ha attivata la funzionalità di modalità Approvazione amministratore. Quando si esegue la query LDAP, è possibile utilizzare un token di accesso filtrato anziché un token di accesso completo. Anche se l'oggetto utente viene concesso l'autorizzazione controllo completo per il gruppo Administrators, ancora non si dispone dell'autorizzazione controllo completo . Pertanto, è possibile ottenere un elenco di attributi parziali.

Avviso: questo articolo è stato tradotto automaticamente

Proprietà

ID articolo: 976063 - Ultima revisione: 07/17/2012 15:43:00 - Revisione: 1.0

Windows Server 2008 Datacenter, Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Vista Enterprise, Windows Vista Business, Windows Vista Business 64-bit edition, Windows Vista Ultimate, Windows 7 Professional, Windows 7 Enterprise, Windows 7 Ultimate, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise

  • kbsurveynew kbprb kbexpertiseadvanced kbtshoot kbmt KB976063 KbMtit
Feedback