Ao executar uma consulta LDAP em um controlador de domínio, você obtém uma lista de atributos parciais

  • Artigo

Este artigo fornece soluções alternativas para o problema ao executar uma consulta LDAP em um controlador de domínio, você obtém uma lista de atributos parcial.

Aplica-se a: Windows Server 2012 R2
Número de KB original: 976063

Sintomas

Ao executar uma solicitação LDAP (Protocolo de Acesso ao Diretório Leve) em um controlador de domínio baseado no Windows Server 2008, você obtém uma lista de atributos parciais. No entanto, se você executar a mesma consulta LDAP em um controlador de domínio baseado no Windows Server 2003, obterá uma lista completa de atributos na resposta.

Observação

Você pode executar essa consulta no controlador de domínio ou em um computador cliente que está executando o Windows Vista ou o Windows Server 2008.

A conta de usuário que você usa para executar a consulta LDAP tem as seguintes propriedades:

  • A conta é um membro do grupo de administradores internos.
  • A conta não é a conta de administrador interna.
  • A conta é um membro do grupo administradores de domínio.
  • A DACL (lista de controle de acesso discricionário) do objeto de usuário contém permissão de controle total para o grupo Administradores.
  • As permissões efetivas do objeto que você consulta mostra que o usuário tem permissão de controle total.

Motivo

Esse problema ocorre porque o recurso AAM (Modo de Aprovação Administração) está habilitado para a conta de usuário no Windows Vista e no Windows Server 2008. Ele também é conhecido como "Controle de Conta de Usuário" (UAC). Para acesso aos recursos locais, o sistema de segurança tem um código de loopback para que ele use o Token de Acesso ativo da sessão de logon interativo para a sessão LDAP e as verificações de acesso durante o processamento de consulta LDAP.

Para obter mais informações sobre o recurso AAM, visite o seguinte site da Microsoft TechNet: https://technet.microsoft.com/library/cc772207(WS.10).aspx

Solução alternativa

Como solução alternativa para esse problema, use um dos seguintes métodos.

Método 1

  1. Use a opção Executar como administrador para abrir uma janela prompt de comando.
  2. Execute a consulta LDAP na janela Prompt de Comando.

Método 2

Especifique o valor Sem prompt para a seguinte configuração de segurança:
Controle da conta de usuário: comportamento do prompt de elevação para administradores no modo de aprovação de Administração
Para obter mais informações sobre como especificar o valor dessa configuração de segurança, visite o seguinte site da Microsoft TechNet: https://technet.microsoft.com/library/cc772207(WS.10).aspx

Método 3

  1. Crie um novo grupo no domínio.
  2. Adicione o grupo administradores de domínio a esse novo grupo.
  3. Conceda a permissão De leitura na partição de domínio para esse novo grupo. Para fazer isso, siga estas etapas:
    1. Clique em Iniciar, clique em Executar, digite adsiedit.msc e clique em OK.
    2. Na janela Editar ADSI , clique com o botão direito do mouse em DC=<Name>, DC=com e clique em Propriedades.
    3. Na janela Propriedades , clique na guia Segurança .
    4. Na guia Segurança, clique em Adicionar.
    5. Em Inserir os nomes de objeto a serem selecionados, digite o nome do novo grupo e clique em OK.
    6. Verifique se o grupo está selecionado em Nomes de grupo ou de usuário, clique para selecionar Permitir a permissão De leitura e clique em OK.
    7. Feche a janela Editar ADSI .
  4. Execute a consulta LDAP novamente.

Status

Este é o comportamento padrão.

Mais informações

Por padrão, o recurso AAM está desabilitado para a conta de administrador interna no Windows Vista e no Windows Server 2008. Além disso, o recurso AAM está habilitado para outras contas que são membros do grupo administradores internos.

Para verificar isso, execute o comando a seguir em uma janela prompt de comando.

whoami /all

Se o recurso AAM estiver habilitado para a conta de usuário, a saída será semelhante à seguinte.

USER INFORMATION
----------------

User Name SID 
============== ==============================================
MyDomain\MyUser S-1-5-21-2146773085-903363285-719344707-326360

GROUP INFORMATION
-----------------

Group Name Type SID Attributes 
============================================= ================ ================================================= ===============================================================
Everyone Well-known group S-1-1-0 Mandatory group, Enabled by default, Enabled group 
BUILTIN\Administrators Alias S-1-5-32-544 Group used for deny only

O grupo administradores internos tem o seguinte atributo:

Group used for deny only

O grupo "Administradores de Domínio" é mostrado como um grupo habilitado com "Grupo obrigatório, habilitado por padrão, grupo habilitado" no whoami /all, mas realmente está desabilitado para Permitir ACEs. Esse é um problema conhecido no Windows Server 2008 R2 e Windows Server 2012.

Com base nessa saída, a conta de usuário usada para executar a consulta LDAP tem o recurso AAM habilitado. Ao executar a consulta LDAP, você usa um token de acesso filtrado em vez de um token de acesso completo. Mesmo que a permissão de controle total para o grupo Administradores seja concedida ao objeto de usuário, você ainda não tem permissão de controle total. Portanto, você obtém apenas uma lista de atributos parciais.