Você está offline; aguardando reconexão
Entrar

Quando você executa uma consulta LDAP em um controlador de domínio baseado no Windows Server 2008, obter uma lista parcial de atributos

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.

976063
Sintomas
Quando você executa uma solicitação de LDAP Lightweight Directory Access Protocol () em um controlador de domínio baseado no Windows Server 2008, você pode obter uma lista parcial de atributos. No entanto, se você executar a mesma consulta LDAP em um controlador de domínio baseado no Windows Server 2003, obtenha uma lista completa de atributo na resposta.

Observação Você pode executar essa consulta do controlador de domínio ou de um computador cliente que esteja executando o Windows Vista ou Windows Server 2008.

Conta de usuário que você usar para executar a consulta LDAP tem as seguintes propriedades:
  • A conta é membro do grupo Administradores interno.
  • A conta não é a conta interna administrador.
  • A conta é membro do grupo Admins.
  • A lista de controle de acesso discricional (DACL) do objeto de usuário contém a permissão controle total para o grupo Administradores.
  • As permissões efetivas do objeto consultar mostra que o usuário tem permissão controle total .
Causa
Esse problema ocorre porque o modo de aprovação de administrador (AAM) está ativado para a conta de usuário no Windows Vista e no Windows Server 2008. Ele também é conhecido como "Controle de conta de usuário" (UAC). Para acessar recursos locais, o sistema de segurança possui um código de loopback, então usa o active Access Token de sessão de logon interativo para a sessão LDAP e verificações de acesso durante o processamento de consulta LDAP.

Para obter mais informações sobre o recurso do AAM, visite o seguinte site da Microsoft TechNet:
Como Contornar
Para contornar esse problema, use um dos seguintes métodos.

Método 1

  1. Use o Executar como administrador opção para abrir uma janela de Prompt de comando.
  2. Execute a consulta LDAP na janela do Prompt de comando.

Método 2

Especificar o Nenhum aviso valor para a seguinte configuração de segurança:
Controle de conta de usuário: Comportamento do prompt de elevação para administradores no modo de aprovação de administrador
Para obter mais informações sobre como especificar o valor da configuração de segurança, visite o seguinte site da Microsoft TechNet:

Método 3

  1. Crie um novo grupo no domínio.
  2. Adicione o grupo Administradores de domínio para esse novo grupo.
  3. Conceda a permissão de leitura na partição de domínio para este novo grupo. Para fazer isso, execute estas etapas:
    1. Clique em Iniciar, clique em Executar, tipo ADSIEdit. msce clique em OK.
    2. No ADSI Edit janela, clique com botão direito DC =<Name></Name>DC = come clique em Propriedades.
    3. No Propriedades janela, clique no Segurança guia.
    4. Sobre o Segurança Clique em Adicionar.
    5. Em Digite os nomes de objeto para selecionar, digite o nome do novo grupo e clique em OK.
    6. Certifique-se de que o grupo é selecionado em Nomes de grupo ou usuário, clique para selecionar Permitir permissão de leitura e clique em OK.
    7. Fechar o ADSI Edit janela.
  4. Execute novamente a consulta LDAP.
Situação
Esse comportamento é por design.
Mais Informações
Por padrão, o AAM está desabilitado para a conta de administrador interna no Windows Vista e no Windows Server 2008. Além disso, o AAM está ativado para outras contas que são membros do grupo Administradores interno.

Para verificar isso, execute o seguinte comando em uma janela de Prompt de comando.
whoami /all
Se o recurso AAM é habilitado para a conta de usuário, a saída semelhante à seguinte.
USER INFORMATION----------------User Name      SID                                           ============== ==============================================MyDomain\MyUser S-1-5-21-2146773085-903363285-719344707-326360GROUP INFORMATION-----------------Group Name                                    Type             SID                                               Attributes                                                     ============================================= ================ ================================================= ===============================================================Everyone                                      Well-known group S-1-1-0                                           Mandatory group, Enabled by default, Enabled group             BUILTIN\Administrators                        Alias            S-1-5-32-544                                      Group used for deny only
Grupo interno Administradores tem o seguinte atributo:
Group used for deny only
O grupo "Domain Admins" é mostrado como grupo habilitado com "grupo obrigatório, habilitado por padrão, o grupo habilitado" em whoami /All, mas realmente é desativada para permitir ACEs. Este é um problema conhecido no Windows Server 2008 e R2.

Com base neste resultado, a conta de usuário usada para executar a consulta LDAP tem o recurso AAM ativado. Quando você executar a consulta LDAP, você use um token de acesso filtrado em vez de um token de acesso completo. Mesmo se a permissão controle total para o grupo Administradores é concedido ao objeto de usuário, você ainda não tem permissão controle total . Portanto, você pode obter uma lista de atributos parciais.

Aviso: Este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 976063 - Última Revisão: 07/17/2012 15:47:00 - Revisão: 1.0

  • Windows Server 2008 Datacenter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Vista Enterprise
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Ultimate
  • Windows 7 Professional
  • Windows 7 Enterprise
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • kbsurveynew kbprb kbexpertiseadvanced kbtshoot kbmt KB976063 KbMtpt
Comentários
s">