В настоящее время вы работаете в автономном режиме; ожидается повторное подключение к Интернету

При запуске запроса LDAP для контроллера домена под управлением Windows Server 2008, можно получить список атрибутов

ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.

Эта статья на английском языке:976063
Проблема
При выполнении запроса Lightweight Directory Access Protocol (LDAP) на контроллере домена под управлением Windows Server 2008, можно получить список атрибутов. Тем не менее если выполнить один и тот же запрос LDAP для контроллера домена под управлением Windows Server 2003, получить атрибут полного списка.

Примечание Этот запрос можно выполнить с контроллера домена или с клиентского компьютера под управлением Windows Vista или Windows Server 2008.

Учетная запись пользователя, используется для выполнения запроса LDAP имеет следующие свойства:
  • Учетная запись является членом группы администраторов.
  • Учетная запись не является встроенной учетной записи администратора.
  • Учетная запись является членом группы «Администраторы домена».
  • Содержит список управления доступом на уровне пользователей (DACL) объекта пользователя Полный доступ разрешение для группы «Администраторы».
  • Действующие разрешения на объект, запрос в отношении показывает, что пользователь имеет Полный доступ разрешение.
Причина
Эта проблема возникает, если для учетной записи пользователя в Windows Vista и Windows Server 2008 включена функция режим одобрения администратором (AAM).

Для получения дополнительных сведений о функции AAM посетите следующий веб-узел Microsoft TechNet Web:
Временное решение
Чтобы обойти эту проблему, используйте один из следующих способов.

Способ 1

  1. Использование Запуск от имени администратора параметр, чтобы открыть окно командной строки.
  2. Выполните запрос LDAP в окне командной строки.

Способ 2

Укажите Без запроса значение параметра безопасности, следующие:
Управление учетными записями пользователей: Поведение запроса повышения прав для администраторов в режиме одобрения администратором
Для получения дополнительных сведений о том, как задать значение данного параметра безопасности, посетите следующий веб-узел Microsoft TechNet Web:

Способ 3

  1. Создание новой группы в домене.
  2. Добавьте в эту новую группу в группу «Администраторы домена».
  3. Предоставьте разрешение на чтение раздела домена в эту новую группу. Чтобы сделать это, выполните следующие действия.
    1. Нажмите кнопку Начало, нажмите кнопку Запустить, тип Adsiedit.msc, а затем нажмите кнопку ОК.
    2. В «Редактирование ADSI» окно, щелкните правой кнопкой мыши DC =<name></name>DC = com, а затем нажмите кнопку Свойства.
    3. В Свойства окно, нажмите кнопку Безопасность Вкладка.
    4. На Безопасность Щелкните Добавить.
    5. В группе Введите имена выбираемых объектов, введите имя новой группы и нажмите кнопку ОК.
    6. Убедитесь, что выбрана группа в группе Имена групп или пользователей, выберите Разрешить разрешение на чтение и нажмите кнопку ОК.
    7. Закрыть «Редактирование ADSI» окно.
  4. Снова запустите запрос LDAP.
Статус
Данное поведение является особенностью.
Дополнительная информация
По умолчанию AAM отключения для встроенной учетной записи администратора в Windows Vista и Windows Server 2008. Кроме того функция AAM включена для других учетных записей, которые являются членами встроенной группы «Администраторы».

Чтобы проверить это, выполните следующую команду в окне командной строки.
whoami /all
Если включена функция AAM для учетной записи пользователя, на экран будет выведена ниже.
USER INFORMATION----------------User Name      SID                                           ============== ==============================================MyDomain\MyUser S-1-5-21-2146773085-903363285-719344707-326360GROUP INFORMATION-----------------Group Name                                    Type             SID                                               Attributes                                                     ============================================= ================ ================================================= ===============================================================Everyone                                      Well-known group S-1-1-0                                           Mandatory group, Enabled by default, Enabled group             BUILTIN\Administrators                        Alias            S-1-5-32-544                                      Group used for deny only
Встроенной группы «Администраторы» имеет следующий атрибут:
Group used for deny only
На основе этого выпуска, учетная запись пользователя, используемая для запуска запроса LDAP имеет включена функция AAM. При выполнении запроса LDAP использовать маркер фильтрованного доступа, а не маркера полного доступа. Даже если Полный доступ объект пользователя предоставляется разрешение для группы «Администраторы», по-прежнему нет Полный доступ разрешение. Таким образом получить список атрибутов.

Внимание! Эта статья переведена автоматически

Свойства

Номер статьи: 976063 — последний просмотр: 09/11/2011 12:04:00 — редакция: 5.0

Windows Server 2008 Datacenter, Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Vista Enterprise, Windows Vista Business, Windows Vista Business 64-bit edition, Windows Vista Ultimate

  • kbsurveynew kbprb kbexpertiseadvanced kbtshoot kbmt KB976063 KbMtru
Отзывы и предложения
);