Quando si esegue una query LDAP su un controller di dominio, si ottiene un elenco di attributi parziale

  • Articolo

Questo articolo fornisce soluzioni alternative per il problema quando si esegue una query LDAP su un controller di dominio, si ottiene un elenco di attributi parziale.

Si applica a: Windows Server 2012 R2
Numero KB originale: 976063

Sintomi

Quando si esegue una richiesta LDAP (Lightweight Directory Access Protocol) su un controller di dominio basato su Windows Server 2008, si ottiene un elenco di attributi parziale. Tuttavia, se si esegue la stessa query LDAP su un controller di dominio basato su Windows Server 2003, si ottiene un elenco completo degli attributi nella risposta.

Nota

È possibile eseguire questa query dal controller di dominio o da un computer client che esegue Windows Vista o Windows Server 2008.

L'account utente usato per eseguire la query LDAP ha le proprietà seguenti:

  • L'account è un membro del gruppo Administrators predefinito.
  • L'account non è l'account amministratore predefinito.
  • L'account è un membro del gruppo Domain Admins.
  • L'elenco di controllo di accesso discrezionale dell'oggetto utente contiene l'autorizzazione di controllo completo per il gruppo Administrators.
  • Le autorizzazioni valide dell'oggetto su cui si esegue la query indicano che l'utente dispone dell'autorizzazione di controllo completo.

Causa

Questo problema si verifica perché la funzionalità Amministrazione Approval Mode (AAM) è abilitata per l'account utente in Windows Vista e in Windows Server 2008. È anche noto come "Controllo dell'account utente". Per l'accesso alle risorse locali, il sistema di sicurezza dispone di un codice loopback in modo che usi il token di accesso attivo della sessione di accesso interattivo per la sessione LDAP e i controlli di accesso durante l'elaborazione della query LDAP.

Per altre informazioni sulla funzionalità AAM, visitare il seguente sito Web Microsoft TechNet: https://technet.microsoft.com/library/cc772207(WS.10).aspx

Soluzione alternativa

Per ovviare a questo problema, utilizzare uno dei seguenti metodi:

Metodo 1

  1. Usare l'opzione Esegui come amministratore per aprire una finestra del prompt dei comandi.
  2. Eseguire la query LDAP nella finestra del prompt dei comandi.

Metodo 2

Specificare il valore No prompt per l'impostazione di sicurezza seguente:
Controllo dell'account utente: comportamento della richiesta di elevazione dei privilegi per gli amministratori in modalità di approvazione Amministrazione
Per altre informazioni su come specificare il valore di questa impostazione di sicurezza, visitare il seguente sito Web Microsoft TechNet: https://technet.microsoft.com/library/cc772207(WS.10).aspx

Metodo 3

  1. Creare un nuovo gruppo nel dominio.
  2. Aggiungere il gruppo Domain Admins a questo nuovo gruppo.
  3. Concedere l'autorizzazione Lettura per la partizione di dominio a questo nuovo gruppo. A tal fine, attenersi alla seguente procedura:
    1. Fare clic su Start, fare clic su Esegui, digitare adsiedit.msc e quindi fare clic su OK.
    2. Nella finestra Modifica ADSI fare clic con il pulsante destro del mouse su DC=<Name,DC>=com e quindi scegliere Proprietà.
    3. Nella finestra Proprietà fare clic sulla scheda Sicurezza .
    4. Nella scheda Sicurezza fare clic su Aggiungi.
    5. In Immettere i nomi degli oggetti da selezionare digitare il nome del nuovo gruppo e quindi fare clic su OK.
    6. Assicurarsi che il gruppo sia selezionato in Nomi gruppo o utente, fare clic per selezionare Consenti per l'autorizzazione lettura e quindi fare clic su OK.
    7. Chiudere la finestra Modifica ADSI .
  4. Eseguire di nuovo la query LDAP.

Stato

Si tratta di un comportamento legato alla progettazione del prodotto.

Ulteriori informazioni

Per impostazione predefinita, la funzionalità AAM è disabilitata per l'account amministratore predefinito in Windows Vista e in Windows Server 2008. Inoltre, la funzionalità AAM è abilitata per altri account membri del gruppo Administrators predefinito.

Per verificarlo, eseguire il comando seguente in una finestra del prompt dei comandi.

whoami /all

Se la funzionalità AAM è abilitata per l'account utente, l'output sarà simile al seguente.

USER INFORMATION
----------------

User Name SID 
============== ==============================================
MyDomain\MyUser S-1-5-21-2146773085-903363285-719344707-326360

GROUP INFORMATION
-----------------

Group Name Type SID Attributes 
============================================= ================ ================================================= ===============================================================
Everyone Well-known group S-1-1-0 Mandatory group, Enabled by default, Enabled group 
BUILTIN\Administrators Alias S-1-5-32-544 Group used for deny only

Il gruppo Administrators predefinito ha l'attributo seguente:

Group used for deny only

Il gruppo "Domain Admins" viene visualizzato come gruppo abilitato con "Gruppo obbligatorio, Abilitato per impostazione predefinita, Gruppo abilitato" in whoami /all, ma in realtà è disabilitato per Consenti ACL. Si tratta di un problema noto in Windows Server 2008 R2 e Windows Server 2012.

In base a questo output, l'account utente usato per eseguire la query LDAP ha la funzionalità AAM abilitata. Quando si esegue la query LDAP, si usa un token di accesso filtrato anziché un token di accesso completo. Anche se all'oggetto utente viene concessa l'autorizzazione di controllo completo per il gruppo Administrators, l'autorizzazione per il controllo completo non è ancora disponibile. Di conseguenza, si ottiene solo un elenco di attributi parziale.