Je bent nu offline; er wordt gewacht tot er weer een internetverbinding is

De browser wordt niet ondersteund

Werk de browser bij als je de site wilt gebruiken.

Werk de browser bij naar de nieuwste versie van Internet Explorer

Wanneer u een LDAP-query op een domeincontroller met Windows Server 2008 uitvoeren, verkrijgen een lijst van de gedeeltelijke kenmerkset

BELANGRIJK: Dit artikel is vertaald door de vertaalmachine software van Microsoft in plaats van door een professionele vertaler. Microsoft biedt u professioneel vertaalde artikelen en artikelen vertaald door de vertaalmachine, zodat u toegang heeft tot al onze knowledge base artikelen in uw eigen taal. Artikelen vertaald door de vertaalmachine zijn niet altijd perfect vertaald. Deze artikelen kunnen fouten bevatten in de vocabulaire, zinsopbouw en grammatica en kunnen lijken op hoe een anderstalige de taal spreekt en schrijft. Microsoft is niet verantwoordelijk voor onnauwkeurigheden, fouten en schade ontstaan door een incorrecte vertaling van de content of het gebruik ervan door onze klanten. Microsoft past continue de kwaliteit van de vertaalmachine software aan door deze te updaten.

De Engelstalige versie van dit artikel is de volgende:976063
Symptomen
Wanneer u een LDAP (Lightweight Directory Access Protocol)-query op een domeincontroller met Windows Server 2008 uitvoert, kunt u een lijst van de gedeeltelijke kenmerkset verkrijgen. Als u dezelfde LDAP-query op een domeincontroller met Windows Server 2003 uitvoeren, bezit u een volledige kenmerklijst.

OpmerkingU kunt deze query uitvoeren op de domeincontroller of vanaf een clientcomputer waarop Windows Vista of Windows Server 2008.

De gebruikersaccount waarmee u de LDAP-query uitvoert, heeft de volgende eigenschappen:
  • De account is lid van de groep Administrators.
  • De account is niet de ingebouwde administrator-account.
  • De account is lid van de groep Domeinadministrators.
  • De discretionaire toegangsbeheerlijst (DACL) van het gebruikersobject bevatvolledig beheermachtiging voor de groep Administrators.
  • Het object query tegen geeft de gebruiker heeft de effectieve machtigingenvolledig beheermachtiging.
Oorzaak
Dit probleem treedt op omdat de functie modus (Admin goedkeuring AAM) is ingeschakeld voor de gebruikersaccount in Windows Vista en Windows Server 2008.

Bezoek de volgende Microsoft TechNet-website voor meer informatie over de functie AAM:
Workaround
Dit probleem omzeilen door een van de volgende methoden te gebruiken.

Methode 1

  1. Gebruik deAls administrator uitvoerende optie voor het openen van een opdrachtpromptvenster.
  2. De LDAP-query uitvoeren in het opdrachtpromptvenster.

Methode 2

Geef deGeen promptde waarde voor de volgende instelling:
Gebruikersaccountbeheer: Gedrag van de bevoegdheden voor beheerders in de modus Goedkeuring beheerder
Bezoek de volgende Microsoft TechNet-website voor meer informatie over het opgeven van de waarde van deze beveiligingsinstelling:

Methode 3

  1. Een nieuwe groep maken in het domein.
  2. De groep Domeinadministrators deze nieuwe groep toevoegen.
  3. De machtiging lezen op de domeinpartitie aan deze nieuwe groep. U doet dit als volgt:
    1. Klik opStart, klik opUitvoeren, typADSIEdit.msc, en klik vervolgens opOK.
    2. In deADSI bewerkenvenster met de rechtermuisknop opDC =<name></name>DC = com, en klik vervolgens opEigenschappen.
    3. In deEigenschappenvenster, klik op deBeveiligingtabblad.
    4. Op deBeveiligingen klik opToevoegen.
    5. OnderGeef de objectnamen op, typ de naam van de nieuwe groep en klik vervolgens opOK.
    6. Controleer of de groep is geselecteerd onderNamen van groepen of gebruikers, selecteerToestaanvoor de machtiging lezen en klik opOK.
    7. Sluiten deADSI bewerkenvenster.
  4. De LDAP-query opnieuw uitvoeren.
Status
Dit gedrag is inherent.
Meer informatie
De functie AAM is uitgeschakeld voor de ingebouwde administrator-account in Windows Vista en Windows Server 2008. Bovendien is de AAM ingeschakeld voor andere accounts die lid van de groep Administrators zijn.

Voer de volgende opdracht in een opdrachtpromptvenster om dit te controleren.
whoami /all
Als de AAM is ingeschakeld voor de gebruikersaccount, de uitvoer van de volgende strekking weergegeven.
USER INFORMATION----------------User Name      SID                                           ============== ==============================================MyDomain\MyUser S-1-5-21-2146773085-903363285-719344707-326360GROUP INFORMATION-----------------Group Name                                    Type             SID                                               Attributes                                                     ============================================= ================ ================================================= ===============================================================Everyone                                      Well-known group S-1-1-0                                           Mandatory group, Enabled by default, Enabled group             BUILTIN\Administrators                        Alias            S-1-5-32-544                                      Group used for deny only
De ingebouwde groep Administrators heeft het volgende kenmerk:
Group used for deny only
De gebruikersaccount waarmee u de LDAP-query uitvoeren heeft op basis van deze uitvoer, AAM ingeschakeld. Wanneer u de LDAP-query uitvoert, wordt het gefilterde toegangstoken gebruiken in plaats van een volledige-toegangstoken. Zelfs alsvolledig beheermachtiging voor de groep Administrators toegewezen aan het gebruikersobject, u nog steeds geenvolledig beheermachtiging. Daarom kunt u alleen een lijst van de gedeeltelijke kenmerkset verkrijgen.

Waarschuwing: dit artikel is automatisch vertaald

Eigenschappen

Artikel-id: 976063 - Laatst bijgewerkt: 09/11/2011 21:40:00 - Revisie: 3.0

  • Windows Server 2008 Datacenter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Vista Enterprise
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Ultimate
  • kbsurveynew kbprb kbexpertiseadvanced kbtshoot kbmt KB976063 KbMtnl
Feedback
t/javascript" src="https://c.microsoft.com/ms.js">