Tổng quan về mạo các "danh một khách hàng sau khi xác thực" và những "Tạo ra đối tượng toàn cầu" Security Settings (821546.KB.EN-US.2.2)

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:821546
Chú ý
Bài viết này áp dụng cho Windows 2000. Hỗ trợ cho Windows 2000 kết thúc vào ngày 13 tháng 7 năm 2010. Các Trung tâm giải pháp cuối cùng hỗ trợ Windows 2000 là một điểm khởi đầu để lập kế hoạch chiến lược của bạn di chuyển từ Windows 2000. Để biết thêm thông tin xem các Chính sách vòng đời hỗ trợ của Microsoft.
TÓM TẮT
Bài viết này thảo luận về "Impersonate một khách hàng sau khi xác thực" và "Tạo ra đối tượng toàn cầu" quyền người dùng. Các thiết đặt bảo mật mới lần đầu tiên được giới thiệu trong Windows 2000 Service Pack 4 (SP4) và giúp đỡ để tăng bảo mật trong Windows 2000. Bài viết này mô tả thiết đặt bảo mật mới và cũng chứa thông tin về một số vấn đề đã biết có thể xảy ra và làm thế nào để khắc phục chúng.

Quan trọng Xem xét các vấn đề sau khi bạn áp dụng "Impersonate một khách hàng sau khi xác thực" và "Tạo ra đối tượng toàn cầu" quyền người dùng bằng cách sử dụng mặc định chính sách tên miền hoặc chính sách nhóm:
  • Các "Mạo danh một khách hàng sau khi xác thực" và "Tạo ra đối tượng toàn cầu" quyền người dùng chỉ áp dụng cho máy tính chạy Windows 2000 SP4 hoặc mới hơn.
  • Bạn có thể sử dụng mặc định chính sách tên miền hoặc chính sách nhóm để áp dụng "Impersonate một khách hàng sau khi xác thực" và "Tạo ra đối tượng toàn cầu" thiết đặt bảo mật cho các máy tính trong môi trường của bạn nếu các máy tính đang chạy Windows 2000 Service Pack 2 (SP2) hoặc mới hơn. Lưu ý rằng mặc dù bạn có thể triển khai các thiết đặt bảo mật trong môi trường có chứa Windows 2000 SP2 và Windows 2000 Service Pack 3 (SP3)-dựa trên máy vi tính, thiết đặt bảo mật chỉ áp dụng cho Windows 2000 SP4 dựa trên máy tính. Các thiết đặt này không áp dụng cho máy tính chạy Windows 2000 SP2 hoặc Windows 2000 SP3.
  • Không sử dụng các chính sách tên miền mặc định hoặc mộtkhác Chính sách nhóm để áp dụng một trong hai hoặc cả hai các mới quyền người dùng để máy tính chạy Windows 2000 hoặc Windows 2000 Service Pack 1 (SP1). Lưu ý rằng nếu bạn sử dụng chính sách mặc định tên miền hoặc một khác nhau Chính sách nhóm để áp dụng các quyền của người dùng để máy tính chạy Windows 2000 hoặc Windows 2000 Service Pack 1 (SP1), Lan truyền các chính sáchcủa thiết đặt bảo mật không thành công. Đó là, các chính sách không tuyên truyền để Windows 2000 hoặc máy tính Windows 2000 SP1 và quyền người dùng không được hiển thị tại địa phương thiết đặt bảo mật-theo. Các kịch bản sau đây có thể xảy ra nếu bạn sử dụng việc sử dụng chính sách tên miền mặc định hoặc một nhóm chính sách để áp dụng một hoặc cả hai của những quyền lợi người sử dụng mới để máy tính chạy Windows 2000 hoặc Windows 2000 Service Pack 1 (SP1):
    • Thiết đặt chính sách an ninh bổ sung mà được đặt tại đối tượng chính sách nhóm tương tự và rằng mục tiêu Windows 2000 hoặc Windows 2000 Service Pack 1 (SP1) thiết bị là không phổ biến cho các thiết bị đích.
    • An ninh bổ sung chính sách thiết đặt được áp dụng bằng cách sử dụng chính sách nhóm khác dọc theo con đường SDOU (trang web, tên miền, Organizational Unit) Windows 2000 hoặc các thiết bị Windows 2000 Service Pack 1 (SP1) sẽ được phổ biến.
    • Nếu một trong hai hoặc cả hai những thiết đặt bảo mật mới được nhắm mục tiêu tại Windows 2000 hoặc Windows 2000 Service Pack 1 (SP1) thiết bị, địa phương MMC an ninh-theo ngày những thiết bị không thể hiển đúng thị bất cứ thiết đặt bảo mật. Tuy nhiên, tất cả các thiết lập bảo mật được áp dụng cho các thiết bị được nhắm mục tiêu từ các đối tượng chính sách nhóm tên miền phụ (mà không chứa các thiết đặt mới) sẽ vẫn còn áp dụng cho những thiết bị được nhắm mục tiêu.
  • Tương tự, bạn có thể sử dụng chính sách bảo mật điều khiển vùng mặc định để áp dụng "Impersonate một khách hàng sau khi xác thực" và "Tạo ra đối tượng toàn cầu" thiết đặt bảo mật cho bộ kiểm soát miền trong môi trường của bạn nếu điều khiển vùng đang chạy Windows 2000 SP2 hoặc mới hơn. Lưu ý rằng mặc dù bạn có thể triển khai các thiết đặt bảo mật trong một môi trường mà chứa Windows 2000 SP2 và bộ kiểm soát miền Windows 2000 SP3 dựa trên, thiết đặt bảo mật chỉ áp dụng cho bộ kiểm soát miền Windows 2000 SP4 dựa trên. Các thiết đặt này không áp dụng cho bộ điều khiển vùng đang chạy hoặc Windows 2000 SP2 hoặc Windows 2000 SP3.
Quay lại đầu trang

Người sử dụng quyền (SeImpersonatePrivilege) "Mạo danh AfterAuthentication khách hàng"

Người dùng "Impersonate một khách hàng sau khi xác thực" quyền (SeImpersonatePrivilege) là một bảo mật Windows 2000 thiết lập mà lần đầu tiên được giới thiệu trong Windows 2000 SP4. Theo mặc định, thành viên của các thiết bị của địa phương Quản trị viên nhóm và các thiết bị của địa phương Tài khoản dịch vụ được gán cho người dùng "Impersonate một khách hàng sau khi xác thực" ngay. Các thành phần sau cũng có người dùng này đúng:
  • Dịch vụ được bắt đầu bởi bộ điều khiển dịch vụ
  • Các máy chủ mô hình đối tượng thành phần (COM) mà được bắt đầu bằng cơ sở hạ tầng COM và đó cấu hình để chạy trong một tài khoản cụ thể
Khi bạn gán người dùng "Mạo danh một khách hàng sau khi xác thực" phải sang một người sử dụng, bạn cho phép các chương trình chạy trên danh nghĩa của người dùng đó mạo danh một khách hàng. Thiết đặt bảo mật này sẽ giúp ngăn chặn máy chủ trái phép mạo khách hàng kết nối với nó thông qua các phương pháp như thủ tục từ xa (RPC) các cuộc gọi hoặc tên đường ống. Để biết thêm thông tin về các SeImpersonatePrivilege chức năng, ghé thăm Web site sau của Microsoft: Để biết thêm về Impersonate chức năng (ví dụ như ImpersonateClient, ImpersonateLoggedOnUser, và ImpersonateNamedPipeClient), tìm kiếm SeImpersonatePrivilege trong tài liệu Microsoft nền tảng SDK. Để xem tài liệu hướng dẫn này, ghé thăm Web site sau của Microsoft:Quay lại đầu trang

Khắc phục sự cố

  • Một số chương trình sử dụng mạo danh có thể không hoạt động được sau khi bạn cài đặt Windows 2000 SP4

    Sau khi bạn cài đặt Windows 2000 Service Pack 4 (SP4) trên máy tính của bạn, một số chương trình sử dụng mạo danh không thể làm việc một cách chính xác.

    Vấn đề này có thể xảy ra trong những tình huống khi tài khoản người dùng được sử dụng để chạy chương trình không có người sử dụng "Impersonate một khách hàng sau khi xác thực" đúng.

    Trên máy tính chạy Windows 2000 Service Pack 3 (SP3) và trước đó, một người sử dụng đúng không bắt buộc phải mạo danh một khách hàng. Vì vậy, một số chương trình sử dụng mạo danh không thể làm việc một cách chính xác sau khi bạn cài đặt Windows 2000 SP4.

    Để giải quyết vấn đề này, xác định tài khoản người dùng được sử dụng để chạy chương trình, và sau đó chỉ định người dùng "Impersonate một khách hàng sau khi xác thực" phải sang trương mục người dùng đó. Để thực hiện việc này, hãy làm theo những bước sau:
    1. Nhấp vào Bắt đầu, điểm đến Chương trình, điểm đến Công cụ quản trị, sau đó bấm Chính sách bảo mật cục bộ.
    2. Mở rộng Chính sách địa phương, sau đó bấm Chuyển nhượng quyền sử dụng.
    3. Trong ngăn bên phải, bấm đúp vào Mạo danh một khách hàng sau khi xác thực.
    4. Trong các Địa phương thiết lập chính sách bảo mật hộp thoại hộp, bấm vào Thêm.
    5. Trong các Chọn người dùng hoặc nhóm hộp thoại hộp, bấm vào trương mục người dùng mà bạn muốn thêm, hãy nhấp vào Thêm, sau đó bấm Ok.
    6. Nhấp vào Ok.
    Chú ý Để khắc phục tình huống mà bạn không thể xác định người dùng tài khoản được sử dụng để chạy chương trình, và trong trường hợp bạn muốn xác minh rằng các triệu chứng bạn đang gặp phải được gây ra bởi người sử dụng đúng, chỉ định người dùng "Impersonate một khách hàng sau khi xác thực" ngay cho tất cả mọi người các nhóm, và sau đó chạy chương trình. Nếu chương trình hoạt động một cách chính xác, các vấn đề mà bạn đang gặp có thể được gây ra bởi các thiết lập bảo mật mới.
  • Bạn nhận được một thông báo lỗi "Lỗi trong khi đang cố gắng chạy dự án" khi bạn gỡ lỗi một ứng dụng Web trong Visual Studio.NET

    Để biết thêm chi tiết về làm thế nào để giải quyết vấn đề này, hãy bấm số bài viết sau đây để xem bài viết trong cơ sở kiến thức Microsoft:
    821255"Lỗi trong khi đang cố gắng chạy dự án" báo lỗi khi bạn gỡ lỗi một ứng dụng Web trong Visual Studio.NET
Quay lại đầu trang

Người sử dụng quyền (SeCreateGlobalPrivilege) "Tạo ra đối tượng toàn cầu"

"Tạo các đối tượng toàn cầu" dùng quyền (SeCreateGlobalPrivilege) là một bảo mật Windows 2000 thiết lập mà lần đầu tiên được giới thiệu trong Windows 2000 SP4. Người sử dụng phải được yêu cầu cho một tài khoản người dùng để tạo ra các đối tượng toàn cầu trong một phiên dịch vụ đầu cuối. Lưu ý rằng người dùng vẫn có thể tạo ra các đối tượng phiên làm việc cụ thể mà không được gán quyền người dùng này. Theo mặc định, thành viên của các quản trị viên nhóm, trương mục hệ thống, và dịch vụ được bắt đầu bởi bộ điều khiển dịch vụ được gán quyền người dùng "Tạo ra đối tượng toàn cầu".

Quay lại đầu trang

Khắc phục sự cố

  • Một số chương trình Có thể không hoạt động được sau khi bạn cài đặt Windows 2000 SP4

    Sau khi bạn cài đặt Windows 2000 Service Pack 4 (SP4) trên máy tính của bạn, một số chương trình có thể không hoạt động được. Vấn đề này có thể xảy ra trong những tình huống khi tài khoản người dùng được sử dụng để chạy chương trình không có người sử dụng "Tạo đối tượng toàn cầu" đúng.

    Để giải quyết vấn đề này, xác định tài khoản người dùng được sử dụng để chạy chương trình, và sau đó chỉ định người dùng "Tạo ra đối tượng toàn cầu" phải sang trương mục người dùng đó. Để thực hiện việc này, hãy làm theo những bước sau:
    1. Nhấp vào Bắt đầu, điểm đến Chương trình, điểm đến Công cụ quản trị, sau đó bấm Chính sách bảo mật cục bộ.
    2. Mở rộng Chính sách địa phương, sau đó bấm Chuyển nhượng quyền sử dụng.
    3. Trong ngăn bên phải, bấm đúp vào Tạo ra các đối tượng toàn cầu.
    4. Trong các Địa phương thiết lập chính sách bảo mật hộp thoại hộp, bấm vào Thêm.
    5. Trong các Chọn người dùng hoặc nhóm hộp thoại hộp, bấm vào trương mục người dùng mà bạn muốn thêm, hãy nhấp vào Thêm, sau đó bấm Ok.
    6. Nhấp vào Ok.
    Chú ý Để khắc phục tình huống mà bạn không thể xác định trương mục người dùng mà được sử dụng để chạy chương trình và nơi bạn muốn để xác minh rằng các triệu chứng bạn đang gặp phải được gây ra bởi người sử dụng đúng, chỉ định "tạo toàn cầu objects" "người sử dụng phải để tất cả mọi người trong nhóm, và sau đó chạy chương trình. Nếu chương trình hoạt động một cách chính xác, các vấn đề mà bạn đang gặp có thể được gây ra bởi các thiết lập bảo mật mới.
  • Bạn nhận được một thông báo lỗi "Không đủ bộ nhớ" khi bạn tìm kiếm các đoạn phim trong một tài liệu XP văn phòng trong một phiên dịch vụ thiết bị đầu cuối

    Để biết thêm chi tiết về vấn đề này, nhấp vào số bài viết sau đây để xem bài viết trong cơ sở kiến thức Microsoft:
    821257Thông báo lỗi "Không đủ bộ nhớ" khi bạn tìm kiếm các đoạn phim trong một tài liệu XP văn phòng trong một phiên dịch vụ thiết bị đầu cuối
  • Máy tính điểm dừng đáp ứng (bị treo) khi bạn khởi động lại máy tính dựa trên Windows 2000 Server sau khi bạn cài đặt McAfee kiểm soát của cha mẹ

    Để biết thêm chi tiết về vấn đề này, nhấp vào số bài viết sau đây để xem bài viết trong cơ sở kiến thức Microsoft:
    823043Máy tính dựa trên Windows 2000 Server dừng đáp ứng khi bạn khởi động lại sau khi bạn cài đặt McAfee điều khiển của cha mẹ
Quay lại đầu trang
THAM KHẢO
Để biết thêm chi tiết về làm thế nào để có được gói dịch vụ mới nhất cho Windows 2000, nhấp vào số bài viết sau đây để xem bài viết trong cơ sở kiến thức Microsoft:
260910Làm thế nào để có được các Windows 2000 Service Pack mới nhất
Quay lại các đầu trang

Cảnh báo: Bài viết này được dịch tự động

属性

文章 ID:821546 - 上次审阅时间:08/28/2011 16:03:00 - 修订版本: 2.0

  • kbfix kbbug kbmt KB821546 KbMtvi
反馈