Wanneer u een LDAP-query uitvoert op een domeincontroller, krijgt u een gedeeltelijke lijst met kenmerken

  • Artikel

Dit artikel biedt tijdelijke oplossingen voor het probleem wanneer u een LDAP-query uitvoert op een domeincontroller en u een gedeeltelijke lijst met kenmerken verkrijgt.

Van toepassing op: Windows Server 2012 R2
Origineel KB-nummer: 976063

Symptomen

Wanneer u een LDAP-aanvraag (Lightweight Directory Access Protocol) uitvoert op een Windows Server 2008-domeincontroller, krijgt u een gedeeltelijke lijst met kenmerken. Als u echter dezelfde LDAP-query uitvoert op een Windows Server 2003-domeincontroller, krijgt u een volledige lijst met kenmerken in het antwoord.

Opmerking

U kunt deze query uitvoeren vanaf de domeincontroller of vanaf een clientcomputer waarop Windows Vista of Windows Server 2008 wordt uitgevoerd.

Het gebruikersaccount dat u gebruikt om de LDAP-query uit te voeren, heeft de volgende eigenschappen:

  • Het account is lid van de ingebouwde groep Administrators.
  • Het account is niet het ingebouwde beheerdersaccount.
  • Het account is lid van de groep Domeinadministrators.
  • De discretionaire toegangsbeheerlijst (DACL) van het gebruikersobject bevat volledige beheermachtigingen voor de groep Administrators.
  • De effectieve machtigingen van het object waarop u een query uitvoert, geeft aan dat de gebruiker de machtiging volledig beheer heeft.

Oorzaak

Dit probleem treedt op omdat de functie Beheer Goedkeuringsmodus (AAM) is ingeschakeld voor het gebruikersaccount in Windows Vista en in Windows Server 2008. Dit wordt ook wel 'Gebruikersaccountbeheer' (UAC) genoemd. Voor toegang tot lokale resources heeft het beveiligingssysteem een loopback-code, zodat het gebruikmaakt van het actieve toegangstoken uit de interactieve aanmeldingssessie voor de LDAP-sessie en de toegangscontroles tijdens de verwerking van de LDAP-query.

Ga naar de volgende Microsoft TechNet-website voor meer informatie over de AAM-functie: https://technet.microsoft.com/library/cc772207(WS.10).aspx

Tijdelijke oplossing

Om dit probleem te omzeilen, gebruikt u een van de volgende methodes.

Methode 1

  1. Gebruik de optie Uitvoeren als beheerder om een opdrachtpromptvenster te openen.
  2. Voer de LDAP-query uit in het opdrachtpromptvenster.

Methode 2

Geef de waarde Geen prompt op voor de volgende beveiligingsinstelling:
Gebruikersaccountbeheer: gedrag van de prompt voor verhoging van bevoegdheden voor beheerders in Beheer goedkeuringsmodus
Ga naar de volgende Microsoft TechNet-website voor meer informatie over het opgeven van de waarde van deze beveiligingsinstelling: https://technet.microsoft.com/library/cc772207(WS.10).aspx

Methode 3

  1. Maak een nieuwe groep in het domein.
  2. Voeg de groep Domeinadministrators toe aan deze nieuwe groep.
  3. Verdeel de machtiging Lezen voor de domeinpartitie aan deze nieuwe groep. Ga hiervoor als volgt te werk:
    1. Klik op Start, klik op Uitvoeren, typ adsiedit.msc en klik vervolgens op OK.
    2. Klik in het venster ADSI bewerken met de rechtermuisknop op DC=<Naam,DC>=com en klik vervolgens op Eigenschappen.
    3. Klik in het venster Eigenschappen op het tabblad Beveiliging .
    4. Klik op het tabblad Beveiliging op Toevoegen.
    5. Typ onder Voer de objectnamen in die u wilt selecteren de naam van de nieuwe groep en klik vervolgens op OK.
    6. Zorg ervoor dat de groep is geselecteerd onder Groeps- of gebruikersnamen, klik om Toestaan te selecteren voor de machtiging Lezen en klik vervolgens op OK.
    7. Sluit het venster ADSI Bewerken .
  4. Voer de LDAP-query opnieuw uit.

Status

Dit gedrag is inherent aan het ontwerp van het product.

Meer informatie

De AAM-functie is standaard uitgeschakeld voor het ingebouwde beheerdersaccount in Windows Vista en in Windows Server 2008. Daarnaast is de AAM-functie ingeschakeld voor andere accounts die lid zijn van de ingebouwde groep Administrators.

Voer de volgende opdracht uit in een opdrachtpromptvenster om dit te controleren.

whoami /all

Als de AAM-functie is ingeschakeld voor het gebruikersaccount, ziet de uitvoer er als volgt uit.

USER INFORMATION
----------------

User Name SID 
============== ==============================================
MyDomain\MyUser S-1-5-21-2146773085-903363285-719344707-326360

GROUP INFORMATION
-----------------

Group Name Type SID Attributes 
============================================= ================ ================================================= ===============================================================
Everyone Well-known group S-1-1-0 Mandatory group, Enabled by default, Enabled group 
BUILTIN\Administrators Alias S-1-5-32-544 Group used for deny only

De ingebouwde groep Administrators heeft het volgende kenmerk:

Group used for deny only

De groep Domeinadministrators wordt weergegeven als ingeschakelde groep met 'Verplichte groep, standaard ingeschakeld, Groep ingeschakeld' in whoami /all, maar is echt uitgeschakeld voor ACL's toestaan. Dit is een bekend probleem in Windows Server 2008 R2 en Windows Server 2012.

Op basis van deze uitvoer is de AAM-functie ingeschakeld voor het gebruikersaccount dat u hebt gebruikt om de LDAP-query uit te voeren. Wanneer u de LDAP-query uitvoert, gebruikt u een gefilterd toegangstoken in plaats van een volledig toegangstoken. Zelfs als de machtiging volledig beheer voor de groep Administrators is verleend aan het gebruikersobject, hebt u nog steeds geen machtiging voor volledig beheer. Daarom krijgt u slechts een gedeeltelijke lijst met kenmerken.