Översikt över personifiera en klient efter autentisering och säkerhetsinställningarna för att skapa globala objekt

  • Artikel

I den här artikeln beskrivs användarrättigheterna Personifiera en klient efter autentisering och Skapa globala objekt .

Gäller för: Windows Server 2012 R2
Ursprungligt KB-nummer: 821546

Sammanfattning

Den här artikeln beskriver användarrättigheterna "Personifiera en klient efter autentisering" och "Skapa globala objekt". De här nya säkerhetsinställningarna introducerades först i Windows 2000 Service Pack 4 (SP4) och hjälper till att öka säkerheten i Windows 2000. Den här artikeln beskriver de nya säkerhetsinställningarna och innehåller även information om kända problem som kan uppstå och hur du felsöker dem.

Viktigt

Tänk på följande när du tillämpar användarrättigheterna "Personifiera en klient efter autentisering" och "Skapa globala objekt" med hjälp av standarddomänprincipen eller grupprincip:

  • Användarrättigheterna "Personifiera en klient efter autentisering" och "Skapa globala objekt" gäller endast för datorer som kör Windows 2000 SP4 eller senare.

  • Du kan använda standarddomänprincipen eller grupprincip för att tillämpa säkerhetsinställningarna "Personifiera en klient efter autentisering" och "Skapa globala objekt" på datorer i din miljö om datorerna kör Windows 2000 Service Pack 2 (SP2) eller senare. Observera att även om du kan distribuera säkerhetsinställningarna i en miljö som innehåller Datorer baserade på Windows 2000 SP2 och Windows 2000 Service Pack 3 (SP3) gäller säkerhetsinställningarna endast för Windows 2000 SP4-baserade datorer. Inställningarna gäller inte för datorer som kör antingen Windows 2000 SP2 eller Windows 2000 SP3.

  • Använd inte standarddomänprincipen eller någon annan grupprincip för att tillämpa någon av eller båda dessa nya användarrättigheter på datorer som kör Windows 2000 eller Windows 2000 Service Pack 1 (SP1). Observera att om du använder standarddomänprincipen eller en annan grupprincip för att tillämpa dessa användarrättigheter på datorer som kör Windows 2000 eller Windows 2000 Service Pack 1 (SP1), misslyckas spridningen av principens säkerhetsinställningar. Principen sprids alltså inte till Windows 2000- eller Windows 2000 SP1-datorer och användarrättigheter visas inte i snapin-modulen Lokala säkerhetsinställningar. Följande scenarier kan inträffa om du använder standarddomänprincipen eller någon annan grupprincip för att tillämpa någon av eller båda dessa nya användarrättigheter på datorer som kör Windows 2000 eller Windows 2000 Service Pack 1 (SP1):

    • Ytterligare säkerhetsprincipinställningar som finns i samma grupprincip-objekt och målenheterna för Windows 2000 eller Windows 2000 Service Pack 1 (SP1) sprids inte till målenheterna.

    • Ytterligare säkerhetsprincipinställningar som tillämpas med hjälp av andra grupprinciper längs SDOU-sökvägen (plats, domän, organisationsenhet) till Windows 2000- eller Windows 2000 Service Pack 1-enheter (SP1) som ska spridas.

    • Om någon av eller båda dessa nya säkerhetsinställningar är avsedda för Windows 2000- eller Windows 2000 Service Pack 1-enheter (SP1) kan den lokala MMC-säkerhets snapin-modulen på dessa enheter inte korrekt visa några säkerhetsinställningar. Alla säkerhetsinställningar som tillämpas på målenheter från andra grupprincip objekt på domänsidan (som inte innehåller de nya inställningarna) gäller dock fortfarande för dessa målenheter.

  • På samma sätt kan du använda standardprincipen för domänkontrollant för att tillämpa säkerhetsinställningarna "Personifiera en klient efter autentisering" och "Skapa globala objekt" på domänkontrollanter i din miljö om domänkontrollanterna kör Windows 2000 SP2 eller senare. Observera att även om du kan distribuera säkerhetsinställningarna i en miljö som innehåller Windows 2000 SP2- och Windows 2000 SP3-baserade domänkontrollanter gäller säkerhetsinställningarna endast för Windows 2000 SP4-baserade domänkontrollanter. Inställningarna gäller inte för domänkontrollanter som kör antingen Windows 2000 SP2 eller Windows 2000 SP3.

Problem 1: Användarrättigheten "Personifiera en klient efterautentisering" (SeImpersonatePrivilege)

Användarrättigheten "Personifiera en klient efter autentisering" (SeImpersonatePrivilege) är en Windows 2000-säkerhetsinställning som först introducerades i Windows 2000 SP4. Som standard tilldelas medlemmar i enhetens lokala administratörsgrupp och enhetens lokala tjänstkonto användarbehörigheten "Personifiera en klient efter autentisering". Följande komponenter har också den här användarbehörigheten:

  • Tjänster som startas av Service Control Manager
  • COM-servrar (Component Object Model) som startas av COM-infrastrukturen och som är konfigurerade att köras under ett specifikt konto

När du tilldelar användaren behörigheten "Personifiera en klient efter autentisering" till en användare tillåter du program som körs för användarens räkning att personifiera en klient. Den här säkerhetsinställningen hjälper till att förhindra att obehöriga servrar personifierar klienter som ansluter till den via metoder som RPC (Remote Procedure Calls) eller namngivna pipes. Mer information om funktionen SeImpersonatePrivilege finns på följande Microsoft-webbplats:
Personifiera en klient efter autentisering

Om du vill ha mer information om personifieringsfunktioner (till exempel ImpersonateClient, ImpersonateLoggedOnUser och ImpersonateNamedPipeClient) söker du efter SeImpersonatePrivilege i dokumentationen för Microsoft Platform SDK. Om du vill visa den här dokumentationen går du till följande Microsoft-webbplats:
Personifiera en klient efter autentisering

Felsökning för problem 1

  • Vissa program som använder personifiering kanske inte fungerar korrekt när du har installerat Windows 2000 SP4.

    När du har installerat Windows 2000 Service Pack 4 (SP4) på datorn kanske vissa program som använder personifiering inte fungerar korrekt.

    Det här problemet kan inträffa i situationer där användarkontot som används för att köra programmet inte har användarbehörigheten "Personifiera en klient efter autentisering".

    På datorer som kör Windows 2000 Service Pack 3 (SP3) och tidigare krävs ingen användarbehörighet för att personifiera en klient. Därför kanske vissa program som använder personifiering inte fungerar korrekt när du har installerat Windows 2000 SP4.

    Lös problemet genom att identifiera det användarkonto som används för att köra programmet och sedan tilldela användaren "Personifiera en klient efter autentisering" till det användarkontot. Gör så här:

    1. Klicka på Start, peka på Program, peka på Administrationsverktyg och klicka sedan på Lokal säkerhetsprincip.
    2. Expandera Lokala principer och klicka sedan på Tilldelning av användarrättigheter.
    3. Dubbelklicka på Personifiera en klient efter autentisering i den högra rutan.
    4. I dialogrutan Lokal säkerhetsprincipinställning klickar du på Lägg till.
    5. I dialogrutan Välj användare eller grupp klickar du på det användarkonto som du vill lägga till, klickar på Lägg till och klickar sedan på OK.
    6. Klicka på OK.

    Obs!

    Om du vill felsöka situationer där du inte kan fastställa vilket användarkonto som används för att köra programmet, och där du vill kontrollera att de symptom som du upplever orsakas av användarrätten, tilldelar du användaren "Personifiera en klient efter autentisering" till gruppen Alla och startar sedan programmet. Om programmet fungerar korrekt kan problemet orsakas av den nya säkerhetsinställningen.

  • Felmeddelandet "Fel vid försök att köra projektet" visas när du felsöker ett webbprogram i Visual Studio .NET.

Problem 2: Användarrättigheten "Skapa globala objekt" (SeCreateGlobalPrivilege)

Användarrättigheten "Skapa globala objekt" (SeCreateGlobalPrivilege) är en säkerhetsinställning för Windows 2000 som först introducerades i Windows 2000 SP4. Användarbehörighet krävs för att ett användarkonto ska kunna skapa global filmappning och symboliska länkobjekt. Observera att användare fortfarande kan skapa sessionsspecifika objekt utan att tilldelas den här användarbehörigheten. Som standard tilldelas medlemmar i gruppen Administratörer, Systemkontot och Tjänster som startas av Service Control Manager användarbehörigheten "Skapa globala objekt".

Felsökning för problem 2

  • Vissa program kanske inte fungerar korrekt när du har installerat Windows 2000 SP4.

    När du har installerat Windows 2000 Service Pack 4 (SP4) på datorn kanske vissa program inte fungerar korrekt. Det här problemet kan inträffa i situationer där användarkontot som används för att köra programmet inte har användarbehörigheten "Skapa globala objekt".

    Lös problemet genom att identifiera det användarkonto som används för att köra programmet och sedan tilldela användarbehörigheten "Skapa globala objekt" till användarkontot. Gör så här:

    1. Klicka på Start, peka på Program, peka på Administrationsverktyg och klicka sedan på Lokal säkerhetsprincip.
    2. Expandera Lokala principer och klicka sedan på Tilldelning av användarrättigheter.
    3. Dubbelklicka på Skapa globala objekt i den högra rutan.
    4. I dialogrutan Lokal säkerhetsprincipinställning klickar du på Lägg till.
    5. I dialogrutan Välj användare eller grupp klickar du på det användarkonto som du vill lägga till, klickar på Lägg till och klickar sedan på OK.
    6. Klicka på OK.

    Obs!

    Om du vill felsöka situationer där du inte kan fastställa vilket användarkonto som används för att köra programmet och där du vill kontrollera att de symptom som du upplever orsakas av användarrätt höger tilldelar du användaren "Skapa globala objekt" till gruppen Alla och startar sedan programmet. Om programmet fungerar korrekt kan problemet orsakas av den nya säkerhetsinställningen.

  • Felmeddelandet "Otillräckligt med minne" visas när du söker efter klipp i ett Office XP-dokument i en Terminal Services-session.

  • Datorn slutar svara (låser sig) när du startar om en Windows 2000 Server-baserad dator när du har installerat McAfee Parental Control.