Обзор олицетворения клиента после проверки подлинности и параметров безопасности создания глобальных объектов

  • Статья

В этой статье рассматриваются права пользователя олицетворения клиента после проверки подлинности и создание глобальных объектов .

Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 821546

Сводка

В этой статье рассматриваются права пользователя "Олицетворить клиент после проверки подлинности" и "Создание глобальных объектов". Эти новые параметры безопасности впервые появились в Windows 2000 с пакетом обновления 4 (SP4) и помогают повысить безопасность в Windows 2000. В этой статье описываются новые параметры безопасности, а также содержатся сведения о некоторых известных проблемах, которые могут возникнуть, и способах их устранения.

Важно!

При применении прав пользователя "Олицетворить клиент после проверки подлинности" и "Создание глобальных объектов" с помощью политики домена по умолчанию или групповая политика учтите следующие проблемы:

  • Права пользователя "Олицетворить клиент после проверки подлинности" и "Создать глобальные объекты" применяются только к компьютерам под управлением Windows 2000 с пакетом обновления 4 (SP4) или более поздней версии.

  • Вы можете использовать политику домена по умолчанию или групповая политика для применения параметров безопасности "Олицетворения клиента после проверки подлинности" и "Создание глобальных объектов" к компьютерам в вашей среде, если на компьютерах установлена Windows 2000 с пакетом обновления 2 (SP2) или более поздней версии. Обратите внимание, что хотя параметры безопасности можно развернуть в среде, содержащей компьютеры под управлением Windows 2000 с пакетом обновления 2 (SP2) и Windows 2000 с пакетом обновления 3 (SP3), эти параметры безопасности применяются только к компьютерам под управлением Windows 2000 с пакетом обновления 4 (SP4). Эти параметры не применяются к компьютерам под управлением Windows 2000 с пакетом обновления 2 (SP2) или Windows 2000 с пакетом обновления 3 (SP3).

  • Не используйте политику домена по умолчанию или другие групповая политика для применения этих новых прав пользователей к компьютерам под управлением Windows 2000 или Windows 2000 с пакетом обновления 1 (SP1) или обоими этими правами пользователя. Обратите внимание, что если вы используете политику домена по умолчанию или другой групповая политика для применения этих прав пользователей к компьютерам под управлением Windows 2000 или Windows 2000 с пакетом обновления 1 (SP1), распространение параметров безопасности политики завершается ошибкой. То есть политика не распространяется на компьютеры с Windows 2000 или Windows 2000 с пакетом обновления 1 (SP1), а права пользователя не отображаются в оснастке Локальные параметры безопасности. Следующие сценарии могут возникнуть, если вы используете политику домена по умолчанию или другой групповая политика для применения одного или обоих этих новых прав пользователя к компьютерам под управлением Windows 2000 или Windows 2000 с пакетом обновления 1 (SP1).

    • Дополнительные параметры политики безопасности, расположенные в той же групповая политика Object и предназначенные для устройств Windows 2000 или Windows 2000 с пакетом обновления 1 (SP1), не распространяются на конечные устройства.

    • Дополнительные параметры политики безопасности, применяемые с помощью других групповых политик по пути SDOU (сайт, домен, подразделение) к устройствам Windows 2000 или Windows 2000 с пакетом обновления 1 (SP1), которые будут распространяться.

    • Если один или оба этих новых параметра безопасности предназначены для устройств Windows 2000 или Windows 2000 с пакетом обновления 1 (SP1), оснастка безопасности локальной консоли mmc на этих устройствах не может правильно отображать параметры безопасности. Однако все параметры безопасности, которые применяются к целевым устройствам из других объектов на стороне домена групповая политика (которые не содержат новых параметров), будут по-прежнему применяться к этим целевым устройствам.

  • Аналогичным образом можно использовать политику безопасности контроллера домена по умолчанию, чтобы применить параметры безопасности "Олицетворить клиента после проверки подлинности" и "Создание глобальных объектов" к контроллерам домена в вашей среде, если контроллеры домена работают под управлением Windows 2000 с пакетом обновления 2 (SP2) или более поздней версии. Обратите внимание, что хотя параметры безопасности можно развернуть в среде, содержащей контроллеры домена под управлением Windows 2000 с пакетом обновления 2 (SP2) и Windows 2000 с пакетом обновления 3 (SP3), эти параметры безопасности применяются только к контроллерам домена под управлением Windows 2000 с пакетом обновления 4 (SP4). Эти параметры не применяются к контроллерам домена под управлением Windows 2000 с пакетом обновления 2 (SP2) или Windows 2000 с пакетом обновления 3 (SP3).

Проблема 1. Право пользователя "Олицетворение клиента после проверки подлинности" (SeImpersonatePrivilege)

Право пользователя "Олицетворить клиент после проверки подлинности" (SeImpersonatePrivilege) — это параметр безопасности Windows 2000, который впервые появился в Windows 2000 с пакетом обновления 4 (SP4). По умолчанию членам локальной группы администраторов устройства и локальной учетной записи службы устройства назначается право пользователя "Олицетворить клиента после проверки подлинности". Следующие компоненты также имеют это право пользователя:

  • Службы, запускаемые диспетчером управления службами
  • Серверы компонентной объектной модели (COM), запущенные инфраструктурой COM и настроенные для работы с определенной учетной записью

При назначении пользователю права пользователя "Олицетворить клиент после проверки подлинности" вы разрешаете программам, запускающимся от имени этого пользователя, олицетворять клиента. Этот параметр безопасности помогает предотвратить олицетворение несанкционированных серверов клиентов, которые подключаются к нему с помощью таких методов, как удаленные вызовы процедур (RPC) или именованные каналы. Дополнительные сведения о функции SeImpersonatePrivilege см. на следующем веб-сайте Майкрософт:
Имитация клиента после проверки подлинности

Дополнительные сведения о функциях Impersonate (таких как ImpersonateClient, ImpersonateLoggedOnUser и ImpersonateNamedPipeClient) найдите SeImpersonatePrivilege в документации по пакету SDK платформы Майкрософт. Чтобы просмотреть эту документацию, посетите следующий веб-сайт Майкрософт:
Имитация клиента после проверки подлинности

Устранение неполадок проблемы 1

  • Некоторые программы, использующие олицетворение, могут работать неправильно после установки Windows 2000 с пакетом обновления 4 (SP4).

    После установки Windows 2000 с пакетом обновления 4 (SP4) на компьютере некоторые программы, использующие олицетворение, могут работать неправильно.

    Эта проблема может возникать в ситуациях, когда учетная запись пользователя, используемая для запуска программы, не имеет права пользователя "Олицетворить клиент после проверки подлинности".

    На компьютерах под управлением Windows 2000 с пакетом обновления 3 (SP3) и более ранних версий право пользователя не требуется для олицетворения клиента. Поэтому некоторые программы, использующие олицетворение, могут работать неправильно после установки Windows 2000 с пакетом обновления 4 (SP4).

    Чтобы устранить эту проблему, определите учетную запись пользователя, используемую для запуска программы, а затем назначьте ей право пользователя "Олицетворить клиента после проверки подлинности". Для этого выполните следующие действия:

    1. Нажмите кнопку Пуск, выберите Пункт Программы, Администрирование, а затем — Локальная политика безопасности.
    2. Разверните узел Локальные политики и щелкните Назначение прав пользователя.
    3. В правой области дважды щелкните Олицетворение клиента после проверки подлинности.
    4. В диалоговом окне Параметр локальной политики безопасности нажмите кнопку Добавить.
    5. В диалоговом окне Выбор пользователей или группы щелкните учетную запись пользователя, которую нужно добавить, нажмите кнопку Добавить, а затем нажмите кнопку ОК.
    6. Нажмите кнопку OK.

    Примечание.

    Чтобы устранить неполадки в ситуациях, когда не удается определить учетную запись пользователя, используемую для запуска программы, и если требуется проверить, вызваны ли у вас симптомы, вызванные правом пользователя, назначьте право пользователя "Олицетворение клиента после проверки подлинности" группе Все, а затем запустите программу. Если программа работает правильно, проблема, с которой вы столкнулись, может быть вызвана новым параметром безопасности.

  • При отладке веб-приложения в Visual Studio .NET появляется сообщение об ошибке "Ошибка при попытке запуска проекта".

Проблема 2. Право пользователя "Создание глобальных объектов" (SeCreateGlobalPrivilege)

Право пользователя "Создание глобальных объектов" (SeCreateGlobalPrivilege) — это параметр безопасности Windows 2000, который впервые появился в Windows 2000 с пакетом обновления 4 (SP4). Для создания глобального сопоставления файлов и объектов символьных ссылок учетной записи пользователя требуется право пользователя. Обратите внимание, что пользователи по-прежнему могут создавать объекты, относящиеся к сеансу, без назначения этого права пользователя. По умолчанию членам группы "Администраторы", системной учетной записи и служб, запущенных диспетчером управления службами, назначается право пользователя "Создание глобальных объектов".

Устранение неполадок проблемы 2

  • Некоторые программы могут работать неправильно после установки Windows 2000 с пакетом обновления 4 (SP4).

    После установки Windows 2000 с пакетом обновления 4 (SP4) на компьютере некоторые программы могут работать неправильно. Эта проблема может возникнуть в ситуациях, когда учетная запись пользователя, используемая для запуска программы, не имеет права пользователя "Создание глобальных объектов".

    Чтобы устранить эту проблему, определите учетную запись пользователя, используемую для запуска программы, а затем назначьте ей право на создание глобальных объектов. Для этого выполните следующие действия:

    1. Нажмите кнопку Пуск, выберите Пункт Программы, Администрирование, а затем — Локальная политика безопасности.
    2. Разверните узел Локальные политики и щелкните Назначение прав пользователя.
    3. В правой области дважды щелкните Создать глобальные объекты.
    4. В диалоговом окне Параметр локальной политики безопасности нажмите кнопку Добавить.
    5. В диалоговом окне Выбор пользователей или группы щелкните учетную запись пользователя, которую нужно добавить, нажмите кнопку Добавить, а затем нажмите кнопку ОК.
    6. Нажмите кнопку OK.

    Примечание.

    Чтобы устранить неполадки в ситуациях, когда вы не можете определить учетную запись пользователя, используемую для запуска программы, и где необходимо проверить, вызваны ли у вас симптомы, вызванные правом пользователя, назначьте право пользователя "Создать глобальные объекты" группе Все, а затем запустите программу. Если программа работает правильно, проблема, с которой вы столкнулись, может быть вызвана новым параметром безопасности.

  • При поиске клипов в документе Office XP в сеансе служб терминалов появляется сообщение об ошибке "Недостаточно памяти".

  • Компьютер перестает отвечать (зависает) при перезапуске компьютера под управлением Windows 2000 Server после установки McAfee Родительского контроля.