Momentan sunteți offline, așteptați să vă reconectați la internet

Când executaţi o interogare LDAP împotriva unui controler de domeniu Windows Server 2008, obţineţi o listă parţială de atribut

IMPORTANT: Acest articol a fost tradus de software-ul de traducere automată Microsoft, si nu de un traducător. Microsoft vă oferă atât articole traduse de persoane, cât şi articole traduse automat, astfel incat aveti access la toate articolele din Baza noastră de informatii în limba dvs. materna. Totuşi, un articol tradus automat nu este întotdeauna perfect. Acesta poate conţine greşeli de vocabular, sintaxă sau gramatică, la fel cum un vorbitor străin poate face greşeli vorbind limba dvs. materna. Compania Microsoft nu este responsabilă pentru nici o inexactitate, eroare sau daună cauzată de traducerea necorespunzătoare a conţinutului sau de utilizarea traducerii necorespunzătoare de către clienţii nostri. De asemenea, Microsoft actualizează frecvent software-ul de traducere automată.

Faceți clic aici pentru a vizualiza versiunea în limba engleză a acestui articol: 976063
Simptome
Când executaţi o cerere lightweight directory access protocol (LDAP) împotriva unui controler de domeniu Windows Server 2008, obţineţi o listă parţială de atribut. Cu toate acestea, dacă executaţi interogarea LDAP acelaşi împotriva unui controler de domeniu Windows Server 2003, obţineţi o listă completă de atribut în răspunsul.

Notă Se poate executa această interogare din controlerul de domeniu sau de pe un computer client care execută Windows Vista sau Windows Server 2008.

Contul de utilizator pe care le utilizaţi pentru a executa interogarea LDAP are următoarele proprietăţi:
  • Contul este un membru al grup de Administratori predefinite.
  • Contul nu este cont administrator predefinite.
  • Contul este un membru al grup de Administratori de domeniu.
  • listă de control al accesului discreţionare (DACL) al obiectului utilizator conţine permisiunea full control pentru al grup de Administratori.
  • Permisiunile efective a obiectului interogaţi împotriva arată că utilizatorul are permisiunea full control .
Cauză
Această problemă apare deoarece caracteristica Admin aprobarea modul (AAM) este activată pentru contul de utilizator în Windows Vista și Windows Server 2008. Acesta este, de asemenea, cunoscut ca "Control cont utilizator" (UAC). Pentru acorda acces la resurse locale, sistemul de securitate are un cod de buclă locală astfel încât acesta utilizează activă acces Token la sesiunea de conecta interactiv pentru sesiunea LDAP şi accesul controalelor în timpul prelucrării interogarea LDAP.

Pentru mai multe informaţii despre caracteristica AAM, vizitaţi următorul site Microsoft TechNet Web:
Remediere
Pentru a soluţiona această problemă, utilizaţi una dintre următoarele metode.

Metoda 1

  1. Utilizarea Executare ca administrator opţiune la spre deschidere un fereastra liniei de comandă.
  2. Executaţi interogarea LDAP în fereastra Prompt comandă.

Metoda 2

Specificaţi Nici o solicitare valoarea pentru următoarea setare securitate:
Control cont utilizator: Comportament de elevație pentru administratori în Mod aprobare administrator
Pentru mai multe informaţii despre modul de a specifica valoarea de această setare de securitate, vizitaţi următorul site Microsoft TechNet Web:

Metoda 3

  1. Creaţi un Grup nou în domeniu.
  2. Adăugaţi grupul Administratori de domeniu pentru acest Grup nou.
  3. Acordaţi permisiunea de citire pe partiţia de domeniu acestui Grup nou. Pentru aceasta, urmaţi aceşti paşi:
    1. Faceţi clic pe Începe, faceţi clic pe A alerga, tip Adsiedit.msc, apoi faceţi clic pe ok.
    2. În ADSI Edit cadru fereastră, faceţi clic dreapta pe DC =<Name></Name>DC = com, apoi faceţi clic pe Proprietăţi.
    3. În Proprietăţi cadru fereastră, faceţi clic pe Securitate fila.
    4. Pe Securitate fila, faceţi clic pe Adăuga.
    5. Sub Introducere nume de obiecte pentru a selecta, tastaţi nume de sign-in noul grup şi apoi faceţi clic pe ok.
    6. Asiguraţi-vă că grupul este selectată sub nume de sign-in grupului sau utilizatorului, faceţi clic pentru a selecta Permite pentru permisiunea de citire şi apoi faceţi clic pe ok.
    7. Închidere ADSI Edit fereastra.
  4. Executa din nou interogarea LDAP.
Stare
Acest comportament este cel proiectat.
Informaţii suplimentare
implicit, caracteristica AAM este dezactivată pentru cont administrator predefinită în Windows Vista și Windows Server 2008. În plus, este activată caracteristica AAM pentru alte conturi care sunt membri ai grupului Administratori predefinite.

Pentru a verifica aceasta, executaţi următoarea comandă într-o cadru fereastră de Prompt de comandă.
whoami /all
Dacă este activată caracteristica AAM pentru contul de utilizator, producția se aseamănă cu următorul.
USER INFORMATION----------------User Name      SID                                           ============== ==============================================MyDomain\MyUser S-1-5-21-2146773085-903363285-719344707-326360GROUP INFORMATION-----------------Group Name                                    Type             SID                                               Attributes                                                     ============================================= ================ ================================================= ===============================================================Everyone                                      Well-known group S-1-1-0                                           Mandatory group, Enabled by default, Enabled group             BUILTIN\Administrators                        Alias            S-1-5-32-544                                      Group used for deny only
Built-in grupul Administratori are următorul atribut:
Group used for deny only
Grupul "Domeniu Admins" este indicat ca grup activat cu "grup obligatorii, Enabled by lipsă, grupul activat" în whoami/toate, dar într-adevăr este dezactivată pentru aşi permite. Aceasta este o problemă cunoscută în Windows Server 2008 şi R2.

Bazat pe această producție, contul de utilizator utilizată pentru a executa interogarea LDAP are caracteristica AAM activat. Când executaţi interogarea LDAP, utilizaţi un simbol acces filtrate în loc de un simbol acces complet. Chiar în cazul în care este acordată permisiunea full control pentru al grup de Administratori al obiectului utilizator, încă nu aveţi permisiunea full control . Prin urmare, obţineţi o listă parţială de atribut.

Avertisment: acest articol a fost tradus automat

Proprietăți

ID articol: 976063 - Ultima examinare: 07/17/2012 16:02:00 - Revizie: 2.0

Windows Server 2008 Datacenter, Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Vista Enterprise, Windows Vista Business, Windows Vista Business 64-bit edition, Windows Vista Ultimate, Windows 7 Professional, Windows 7 Enterprise, Windows 7 Ultimate, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise

  • kbsurveynew kbprb kbexpertiseadvanced kbtshoot kbmt KB976063 KbMtro
Feedback