Visão geral da representação de um cliente após a autenticação e as configurações de segurança criar objetos globais

  • Artigo

Este artigo discute a representação de um cliente após a autenticação e criar direitos de usuário de objetos globais .

Aplica-se a: Windows Server 2012 R2
Número de KB original: 821546

Resumo

Este artigo discute os direitos de usuário "Representar um cliente após a autenticação" e "Criar objetos globais". Essas novas configurações de segurança foram introduzidas pela primeira vez no Windows 2000 Service Pack 4 (SP4) e ajudam a aumentar a segurança no Windows 2000. Este artigo descreve as novas configurações de segurança e também contém informações sobre alguns problemas conhecidos que podem ocorrer e como solução de problemas.

Importante

Considere os seguintes problemas ao aplicar os direitos de usuário "Representar um cliente após a autenticação" e "Criar objetos globais" usando a Política de Domínio Padrão ou Política de Grupo:

  • Os direitos de usuário "Representar um cliente após a autenticação" e "Criar objetos globais" só se aplicam a computadores que executam o Windows 2000 SP4 ou posterior.

  • Você pode usar a Política de Domínio Padrão ou Política de Grupo para aplicar as configurações de segurança "Representar um cliente após a autenticação" e "Criar objetos globais" em computadores em seu ambiente se os computadores estiverem executando o Windows 2000 Service Pack 2 (SP2) ou posterior. Observe que, embora você possa implantar as configurações de segurança em um ambiente que contém computadores baseados no Windows 2000 SP2 e Windows 2000 Service Pack 3 (SP3), as configurações de segurança se aplicam aos computadores baseados no Windows 2000 SP4. As configurações não se aplicam a computadores que estão executando o Windows 2000 SP2 ou o Windows 2000 SP3.

  • Não use a Política de Domínio Padrão ou outra Política de Grupo para aplicar ambos os novos direitos de usuário a computadores que executam o Windows 2000 ou o Windows 2000 Service Pack 1 (SP1). Observe que se você usar a Política de Domínio Padrão ou uma Política de Grupo diferente para aplicar esses direitos de usuário a computadores que executam o Windows 2000 ou o Windows 2000 Service Pack 1 (SP1), a propagação das configurações de segurança da política falhará. Ou seja, a política não é propagada para os computadores Windows 2000 ou Windows 2000 SP1 e os direitos do usuário não são exibidos no snap-in Configurações de Segurança Local. Os cenários a seguir podem ocorrer se você usar a Política de Domínio Padrão ou outro Política de Grupo para aplicar ambos os novos direitos de usuário a computadores que estão executando o Windows 2000 ou o Windows 2000 Service Pack 1 (SP1):

    • Configurações adicionais de política de segurança localizadas no mesmo objeto Política de Grupo e que visam dispositivos Windows 2000 ou Windows 2000 Service Pack 1 (SP1) não são propagadas para os dispositivos de destino.

    • Configurações adicionais de política de segurança que são aplicadas usando outras Políticas de Grupo ao longo do caminho SDOU (Site, Domínio, Unidade Organizacional) para o Windows 2000 ou os dispositivos SP1 (Service Pack 1) do Windows 2000 que serão propagados.

    • Se essas duas novas configurações de segurança forem direcionadas para dispositivos Windows 2000 ou Windows 2000 Service Pack 1 (SP1), o snap-in de segurança MMC local nesses dispositivos não poderá exibir corretamente nenhuma configuração de segurança. No entanto, todas as configurações de segurança aplicadas aos dispositivos de destino de outros objetos Política de Grupo do lado do domínio (que não contêm as novas configurações) ainda serão aplicadas a esses dispositivos de destino.

  • Da mesma forma, você pode usar a política de segurança Padrão do Controlador de Domínio para aplicar as configurações de segurança "Representar um cliente após a autenticação" e "Criar objetos globais" aos controladores de domínio em seu ambiente se os controladores de domínio estiverem executando o Windows 2000 SP2 ou posterior. Observe que, embora você possa implantar as configurações de segurança em um ambiente que contém controladores de domínio baseados no Windows 2000 SP2 e Windows 2000 SP3, as configurações de segurança se aplicam aos controladores de domínio baseados no Windows 2000 SP4. As configurações não se aplicam a controladores de domínio que estão executando o Windows 2000 SP2 ou o Windows 2000 SP3.

Problema 1: o direito do usuário "Representar um cliente após a autenticação" (SeImpersonatePrivilege)

O direito do usuário "Representar um cliente após a autenticação" (SeImpersonatePrivilege) é uma configuração de segurança do Windows 2000 que foi introduzida pela primeira vez no Windows 2000 SP4. Por padrão, os membros do grupo administradores locais do dispositivo e da conta de serviço local do dispositivo recebem o direito de usuário "Representar um cliente após a autenticação". Os seguintes componentes também têm esse direito de usuário:

  • Serviços iniciados pelo Service Control Manager
  • Servidores COM (Component Object Model) iniciados pela infraestrutura COM e configurados para serem executados em uma conta específica

Ao atribuir o direito de usuário "Representar um cliente após a autenticação" a um usuário, você permite que programas executados em nome desse usuário representem um cliente. Essa configuração de segurança ajuda a impedir que servidores não autorizados representem clientes que se conectam a ele por meio de métodos como chamadas de procedimento remoto (RPC) ou pipes nomeados. Para obter mais informações sobre a função SeImpersonatePrivilege, visite o seguinte site da Microsoft:
Representar um cliente após autenticação

Para obter mais informações sobre funções De representação (como ImpersonateClient, ImpersonateLoggedOnUser e ImpersonateNamedPipeClient), pesquise seImpersonatePrivilege na documentação do SDK da Plataforma Microsoft. Para exibir essa documentação, visite o seguinte site da Microsoft:
Representar um cliente após autenticação

Solução de problemas para o problema 1

  • Alguns programas que usam representação podem não funcionar corretamente depois de instalar o Windows 2000 SP4.

    Depois de instalar o Windows 2000 Service Pack 4 (SP4) em seu computador, alguns programas que usam representação podem não funcionar corretamente.

    Esse problema pode ocorrer em situações em que a conta de usuário usada para executar o programa não tem o direito de usuário "Representar um cliente após a autenticação".

    Em computadores que executam o Windows 2000 Service Pack 3 (SP3) e anteriores, um direito do usuário não é necessário para representar um cliente. Portanto, alguns programas que usam representação podem não funcionar corretamente depois de instalar o Windows 2000 SP4.

    Para resolve esse problema, identifique a conta de usuário usada para executar o programa e atribua o direito de usuário "Representar um cliente após a autenticação" a essa conta de usuário. Para fazer isso, siga estas etapas:

    1. Clique em Iniciar, aponte para Programas, aponte para Ferramentas Administrativas e clique em Política de Segurança Local.
    2. Expanda Políticas Locais e clique em Atribuição de Direitos de Usuário.
    3. No painel direito, clique duas vezes em Representar um cliente após a autenticação.
    4. Na caixa de diálogo Configuração da Política de Segurança Local , clique em Adicionar.
    5. Na caixa de diálogo Selecionar Usuários ou Grupo , clique na conta de usuário que você deseja adicionar, clique em Adicionar e clique em OK.
    6. Clique em OK.

    Observação

    Para solucionar problemas em que você não pode determinar a conta de usuário usada para executar o programa e onde deseja verificar se os sintomas que você está enfrentando são causados pelo direito do usuário, atribua o usuário "Representar um cliente após a autenticação" diretamente ao grupo Todos e inicie o programa. Se o programa funcionar corretamente, o problema que você está enfrentando poderá ser causado pela nova configuração de segurança.

  • Você recebe uma mensagem de erro "Erro ao tentar executar o projeto" ao depurar um aplicativo Web no Visual Studio .NET.

Problema 2: o direito do usuário "Criar objetos globais" (SeCreateGlobalPrivilege)

O direito do usuário "Criar objetos globais" (SeCreateGlobalPrivilege) é uma configuração de segurança do Windows 2000 que foi introduzida pela primeira vez no Windows 2000 SP4. O direito do usuário é necessário para que uma conta de usuário crie mapeamento de arquivos global e objetos de link simbólicos. Observe que os usuários ainda podem criar objetos específicos da sessão sem receber esse direito de usuário. Por padrão, os membros do grupo Administradores, da conta do Sistema e dos Serviços iniciados pelo Service Control Manager recebem o direito de usuário "Criar objetos globais".

Solução de problemas para o problema 2

  • Alguns programas podem não funcionar corretamente depois de instalar o Windows 2000 SP4.

    Depois de instalar o Windows 2000 Service Pack 4 (SP4) em seu computador, alguns programas podem não funcionar corretamente. Esse problema pode ocorrer em situações em que a conta de usuário usada para executar o programa não tem o usuário "Criar objetos globais" direito.

    Para resolve esse problema, identifique a conta de usuário usada para executar o programa e, em seguida, atribua o direito de usuário "Criar objetos globais" a essa conta de usuário. Para fazer isso, siga estas etapas:

    1. Clique em Iniciar, aponte para Programas, aponte para Ferramentas Administrativas e clique em Política de Segurança Local.
    2. Expanda Políticas Locais e clique em Atribuição de Direitos de Usuário.
    3. No painel direito, clique duas vezes em Criar objetos globais.
    4. Na caixa de diálogo Configuração da Política de Segurança Local , clique em Adicionar.
    5. Na caixa de diálogo Selecionar Usuários ou Grupo , clique na conta de usuário que você deseja adicionar, clique em Adicionar e clique em OK.
    6. Clique em OK.

    Observação

    Para solucionar problemas de situações em que você não pode determinar a conta de usuário usada para executar o programa e onde deseja verificar se os sintomas que você está enfrentando são causados pelo direito do usuário, atribua o usuário "Criar objetos globais" diretamente ao grupo Todos e inicie o programa. Se o programa funcionar corretamente, o problema que você está enfrentando poderá ser causado pela nova configuração de segurança.

  • Você recebe uma mensagem de erro "Não há memória suficiente" ao pesquisar clipes em um documento do Office XP em uma sessão do Terminal Services.

  • O computador para de responder (trava) quando você reinicia um computador baseado em servidor do Windows 2000 depois de instalar o Controle Parental da McAfee.