Kimlik doğrulamasından sonra istemcinin kimliğine bürünme ve genel nesneler oluşturma güvenlik ayarlarına genel bakış

  • Makale

Bu makalede , Kimlik doğrulamasından sonra istemcinin kimliğine bürünme ve Genel nesneler oluşturma kullanıcı hakları ele alınmaktadır.

Şunlar için geçerlidir: Windows Server 2012 R2
Özgün KB numarası: 821546

Özet

Bu makalede "Kimlik doğrulamasından sonra istemcinin kimliğine bürünme" ve "Genel nesneler oluşturma" kullanıcı hakları ele alınmaktadır. Bu yeni güvenlik ayarları ilk olarak Windows 2000 Service Pack 4'te (SP4) kullanıma sunulmuştur ve Windows 2000'de güvenliği artırmaya yardımcı olur. Bu makalede yeni güvenlik ayarları açıklanmaktadır ve ayrıca oluşabilecek bilinen bazı sorunlar ve bunların nasıl giderebileceği hakkında bilgiler yer alır.

Önemli

Varsayılan Etki Alanı İlkesi'ni veya grup ilkesi kullanarak "Kimlik doğrulamasından sonra istemcinin kimliğine bürün" ve "Genel nesneler oluşturma" kullanıcı haklarını uygularken aşağıdaki sorunları göz önünde bulundurun:

  • "Kimlik doğrulamasından sonra istemcinin kimliğine bürün" ve "Genel nesneler oluştur" kullanıcı hakları yalnızca Windows 2000 SP4 veya üzerini çalıştıran bilgisayarlar için geçerlidir.

  • Bilgisayarlar Windows 2000 Service Pack 2 (SP2) veya üzerini çalıştırıyorsa ortamınızdaki bilgisayarlara "Kimlik doğrulamasından sonra istemcinin kimliğine bürün" ve "Genel nesneler oluşturma" güvenlik ayarlarını uygulamak için Varsayılan Etki Alanı İlkesi'ni veya grup ilkesi kullanabilirsiniz. Windows 2000 SP2 ve Windows 2000 Service Pack 3 (SP3) tabanlı bilgisayarları içeren bir ortamda güvenlik ayarlarını dağıtabilmenize rağmen, güvenlik ayarlarının yalnızca Windows 2000 SP4 tabanlı bilgisayarlar için geçerli olduğunu unutmayın. Ayarlar, Windows 2000 SP2 veya Windows 2000 SP3 çalıştıran bilgisayarlar için geçerli değildir.

  • Windows 2000 veya Windows 2000 Service Pack 1 (SP1) çalıştıran bilgisayarlara bu yeni kullanıcı haklarının ikisini veya ikisini birden uygulamak için Varsayılan Etki Alanı İlkesi'ni veya başka bir grup ilkesi kullanmayın. Bu kullanıcı haklarını Windows 2000 veya Windows 2000 Service Pack 1 (SP1) çalıştıran bilgisayarlara uygulamak için Varsayılan Etki Alanı İlkesi'ni veya farklı bir grup ilkesi kullanırsanız ilkenin güvenlik ayarlarının yayılmasının başarısız olduğunu unutmayın. Yani, ilke Windows 2000 veya Windows 2000 SP1 bilgisayarlara yayılmaz ve kullanıcı hakları Yerel Güvenlik Ayarları ek bileşeninde görüntülenmez. Windows 2000 veya Windows 2000 Service Pack 1 (SP1) çalıştıran bilgisayarlara bu yeni kullanıcı haklarından birini veya her ikisini uygulamak için Varsayılan Etki Alanı İlkesi'ni veya başka bir grup ilkesi kullanırsanız aşağıdaki senaryolar oluşabilir:

    • Aynı grup ilkesi Nesnesinde bulunan ve hedef Windows 2000 veya Windows 2000 Service Pack 1 (SP1) cihazlarına ek güvenlik ilkesi ayarları hedef cihazlara yayılmaz.

    • Yayılacak Windows 2000 veya Windows 2000 Service Pack 1 (SP1) cihazlarının SDOU (Site, Etki Alanı, Kuruluş Birimi) yolu boyunca diğer Grup İlkeleri kullanılarak uygulanan ek güvenlik ilkesi ayarları.

    • Bu yeni güvenlik ayarlarından biri veya her ikisi de Windows 2000 veya Windows 2000 Service Pack 1 (SP1) cihazlarına hedefleniyorsa, bu cihazlardaki yerel MMC güvenlik ek bileşeni herhangi bir güvenlik ayarını doğru şekilde görüntüleyemez. Ancak, diğer etki alanı tarafındaki grup ilkesi Nesnelerinden hedeflenen cihazlara uygulanan tüm güvenlik ayarları (yeni ayarları içermeyen) hedeflenen cihazlar için geçerli olmaya devam eder.

  • Benzer şekilde, etki alanı denetleyicileri Windows 2000 SP2 veya üzerini çalıştırıyorsa ortamınızdaki etki alanı denetleyicilerine "Kimlik doğrulamasından sonra istemcinin kimliğine bürün" ve "Genel nesneler oluştur" güvenlik ayarlarını uygulamak için Varsayılan Etki Alanı Denetleyicisi güvenlik ilkesini kullanabilirsiniz. Windows 2000 SP2 ve Windows 2000 SP3 tabanlı etki alanı denetleyicileri içeren bir ortamda güvenlik ayarlarını dağıtabilmenize rağmen, güvenlik ayarlarının yalnızca Windows 2000 SP4 tabanlı etki alanı denetleyicileri için geçerli olduğunu unutmayın. Ayarlar, Windows 2000 SP2 veya Windows 2000 SP3 çalıştıran etki alanı denetleyicileri için geçerli değildir.

Sorun 1: "Bir İstemcinin Kimliğine Bürün AfterAuthentication" Kullanıcı Hakkı (SeImpersonatePrivilege)

"Kimlik doğrulamasından sonra istemcinin kimliğine bürün" kullanıcı hakkı (SeImpersonatePrivilege), ilk olarak Windows 2000 SP4'te kullanıma sunulan bir Windows 2000 güvenlik ayarıdır. Varsayılan olarak, cihazın yerel Administrators grubunun ve cihazın yerel Hizmet hesabının üyelerine "Kimlik doğrulamasından sonra istemcinin kimliğine bürün" kullanıcı hakkı atanır. Aşağıdaki bileşenler de bu kullanıcı hakkına sahiptir:

  • Service Control Manager tarafından başlatılan hizmetler
  • COM altyapısı tarafından başlatılan ve belirli bir hesap altında çalışacak şekilde yapılandırılmış Bileşen Nesne Modeli (COM) sunucuları

Kullanıcıya "Kimlik doğrulamasından sonra istemcinin kimliğine bürün" kullanıcı hakkını atadığınızda, bu kullanıcı adına çalışan programların bir istemcinin kimliğine bürünmelerine izin verirsiniz. Bu güvenlik ayarı, yetkisiz sunucuların uzaktan yordam çağrıları (RPC) veya adlandırılmış kanallar gibi yöntemlerle ona bağlanan istemcilerin kimliğine bürünmesini önlemeye yardımcı olur. SeImpersonatePrivilege işlevi hakkında daha fazla bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:
Kimlik doğrulaması sonrası istemcinin kimliğine bürün

ImpersonateClient, ImpersonateLoggedOnUser ve ImpersonateNamedPipeClient gibi Impersonate işlevleri hakkında daha fazla bilgi için Microsoft Platform SDK belgelerinde SeImpersonatePrivilege araması yapın. Bu belgeleri görüntülemek için aşağıdaki Microsoft Web sitesini ziyaret edin:
Kimlik doğrulaması sonrası istemcinin kimliğine bürün

Sorun 1 için sorun giderme

  • Windows 2000 SP4 yüklendikten sonra kimliğe bürünme kullanan bazı programlar düzgün çalışmayabilir.

    Bilgisayarınıza Windows 2000 Service Pack 4 (SP4) yükledikten sonra, kimliğe bürünme kullanan bazı programlar düzgün çalışmayabilir.

    Bu sorun, programı çalıştırmak için kullanılan kullanıcı hesabının "Kimlik doğrulamasından sonra istemcinin kimliğine bürün" kullanıcı hakkına sahip olmadığı durumlarda oluşabilir.

    Windows 2000 Service Pack 3 (SP3) ve önceki sürümleri çalıştıran bilgisayarlarda, istemcinin kimliğine bürünmek için kullanıcı hakkı gerekmez. Bu nedenle, windows 2000 SP4 yüklendikten sonra kimliğe bürünme kullanan bazı programlar düzgün çalışmayabilir.

    Bu sorunu çözmek için, programı çalıştırmak için kullanılan kullanıcı hesabını belirleyin ve ardından bu kullanıcı hesabına "Kimlik doğrulamasından sonra istemcinin kimliğine bürün" kullanıcı hakkını atayın. Bunu yapmak için şu adımları uygulayın:

    1. Başlat'a tıklayın, Programlar'ın üzerine gelin, Yönetimsel Araçlar'ın üzerine gelin ve ardından Yerel Güvenlik İlkesi'ne tıklayın.
    2. Yerel İlkeler'i genişletin ve ardından Kullanıcı Hakları Ataması'ne tıklayın.
    3. Sağ bölmede, kimlik doğrulamasından sonra istemcinin kimliğine bürün'e çift tıklayın.
    4. Yerel Güvenlik İlkesi Ayarı iletişim kutusunda Ekle'ye tıklayın.
    5. Kullanıcı veya Grup Seç iletişim kutusunda, eklemek istediğiniz kullanıcı hesabına tıklayın, Ekle'ye ve ardından Tamam'a tıklayın.
    6. Tamam'ı tıklatın.

    Not

    Programı çalıştırmak için kullanılan kullanıcı hesabını belirleyemediğiniz ve karşılaştığınız belirtilerin kullanıcı hakkının neden olduğunu doğrulamak istediğiniz durumları gidermek için, "Kimlik doğrulamasından sonra istemcinin kimliğine bürün" kullanıcı hakkını Herkes grubuna atayın ve ardından programı başlatın. Program düzgün çalışıyorsa, karşılaştığınız sorun yeni güvenlik ayarından kaynaklanıyor olabilir.

  • Visual Studio .NET'te bir web uygulamasında hata ayıklarken "Projeyi çalıştırmaya çalışırken hata" hata iletisi alıyorsunuz.

Sorun 2: "Genel Nesneler Oluştur" Kullanıcı Hakkı (SeCreateGlobalPrivilege)

"Genel nesneler oluşturma" kullanıcı hakkı (SeCreateGlobalPrivilege), ilk olarak Windows 2000 SP4'te kullanıma sunulan bir Windows 2000 güvenlik ayarıdır. Kullanıcı hesabının genel dosya eşlemesi ve sembolik bağlantı nesneleri oluşturması için kullanıcı hakkı gereklidir. Kullanıcıların bu kullanıcıya hak atanmadan oturuma özgü nesneler oluşturabileceğini unutmayın. Varsayılan olarak, Service Control Manager tarafından başlatılan Administrators grubunun, Sistem hesabının ve Hizmetlerin üyelerine "Genel nesneler oluşturma" kullanıcı hakkı atanır.

Sorun 2 için sorun giderme

  • Windows 2000 SP4 yüklendikten sonra bazı programlar düzgün çalışmayabilir.

    Windows 2000 Service Pack 4'ü (SP4) bilgisayarınıza yükledikten sonra, bazı programlar düzgün çalışmayabilir. Bu sorun, programı çalıştırmak için kullanılan kullanıcı hesabının "Genel nesneler oluşturma" kullanıcı hakkına sahip olmadığı durumlarda oluşabilir.

    Bu sorunu çözmek için, programı çalıştırmak için kullanılan kullanıcı hesabını belirleyin ve ardından bu kullanıcı hesabına "Genel nesneler oluştur" kullanıcı hakkını atayın. Bunu yapmak için şu adımları uygulayın:

    1. Başlat'a tıklayın, Programlar'ın üzerine gelin, Yönetimsel Araçlar'ın üzerine gelin ve ardından Yerel Güvenlik İlkesi'ne tıklayın.
    2. Yerel İlkeler'i genişletin ve ardından Kullanıcı Hakları Ataması'ne tıklayın.
    3. Sağ bölmede Genel nesneler oluştur'a çift tıklayın.
    4. Yerel Güvenlik İlkesi Ayarı iletişim kutusunda Ekle'ye tıklayın.
    5. Kullanıcı veya Grup Seç iletişim kutusunda, eklemek istediğiniz kullanıcı hesabına tıklayın, Ekle'ye ve ardından Tamam'a tıklayın.
    6. Tamam'ı tıklatın.

    Not

    Programı çalıştırmak için kullanılan kullanıcı hesabını belirleyemediğiniz ve karşılaştığınız belirtilerin kullanıcı hakkının neden olduğunu doğrulamak istediğiniz durumları gidermek için, "Genel nesneler oluştur" kullanıcı hakkını Herkes grubuna atayın ve ardından programı başlatın. Program düzgün çalışıyorsa, karşılaştığınız sorun yeni güvenlik ayarından kaynaklanıyor olabilir.

  • Terminal Hizmetleri oturumunda Office XP belgesindeki klipleri ararken "Yeterli bellek yok" hata iletisi alıyorsunuz.

  • McAfee Ebeveyn Denetimi'ni yükledikten sonra Windows 2000 Server tabanlı bir bilgisayarı yeniden başlattığınızda bilgisayar yanıt vermeyi durdurur (kilitleniyor).