Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Khi bạn chạy một truy vấn LDAP chống lại bộ kiểm soát miền Windows Server 2008 dựa trên, bạn có được một danh sách một phần thuộc tính

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này: 976063
Triệu chứng
Khi bạn chạy một yêu cầu Lightweight Directory Access Protocol (LDAP) chống lại bộ kiểm soát miền Windows Server 2008 dựa trên, bạn có được một danh sách một phần thuộc tính. Tuy nhiên, nếu bạn chạy truy vấn LDAP tương tự đối với một bộ điều khiển tên miền dựa trên Windows Server 2003, bạn có được một danh sách đầy đủ thuộc tính trong các phản ứng.

Lưu ý Bạn có thể chạy truy vấn này bộ kiểm soát miền hoặc từ một khách hàng máy tính đang chạy Windows Vista hoặc Windows Server 2008.

Trương mục người dùng mà bạn dùng để chạy truy vấn LDAP có các tính chất sau:
 • Các tài khoản là một thành viên của nhóm người quản trị được xây dựng trong.
 • Các tài khoản không phải là tài khoản được xây dựng trong quản trị.
 • Các tài khoản là một thành viên của nhóm quản trị viên tên miền.
 • Truy cập tùy quyền kiểm soát danh (DACL) của đối tượng người sử dụng có sự cho phép toàn quyền kiểm soát của nhóm quản trị viên.
 • Quyền có hiệu lực của đối tượng bạn truy vấn đối với cho thấy rằng người dùng có quyền kiểm soát đầy đủ .
Nguyên nhân
Vấn đề này xảy ra bởi vì các tính năng Admin Approval Mode (AAM) được kích hoạt cho trương mục người dùng trong Windows Vista và Windows Server 2008. Nó cũng được gọi là "User Account Control" (UAC). Để truy cập tài nguyên địa phương, hệ thống an ninh có một mã loopback do đó, nó sử dụng các hoạt động truy cập Token từ phiên giao dịch kí nhập tương tác cho kỳ họp LDAP và việc tiếp cận kiểm tra trong việc xử lý LDAP truy vấn.

Để biết thêm chi tiết về các tính năng AAM, truy cập vào Microsoft TechNet Web site sau:
Cách giải quyết khác
Để làm việc xung quanh vấn đề này, sử dụng một trong những phương pháp sau đây.

Phương pháp 1

 1. Sử dụng các Chạy như quản trị viên tùy chọn để mở một cửa sổ lệnh.
 2. Chạy truy vấn LDAP trong cửa sổ lệnh.

Phương pháp 2

Chỉ rõ các Không có nhắc giá trị cho các thiết lập bảo mật sau:
User Account Control: Behavior của độ cao dấu kiểm nhắc cho quản trị viên trong Admin Approval Mode
Để biết thêm chi tiết về làm thế nào để xác định giá trị của các thiết lập bảo mật này, truy cập vào Microsoft TechNet Web site sau:

Phương pháp 3

 1. Tạo một Nhóm Mới trong tên miền.
 2. Thêm nhóm quản trị viên tên miền để Nhóm Mới này.
 3. Cấp Cấp phép đọc trên phân vùng miền cho Nhóm Mới này. Để làm điều này, hãy làm theo các bước sau:
  1. Nhấp vào Bắt đầu, bấm Chạy, loại Adsiedit.msc, và sau đó nhấp vào Ok.
  2. Trong các Chỉnh sửa ADSI cửa sổ, bấm chuột phải vào DC =<Name></Name>DC = com, và sau đó nhấp vào Thuộc tính.
  3. Trong các Thuộc tính cửa sổ, bấm vào các An ninh tab.
  4. Trên các An ninh tab, bấm vào Thêm.
  5. Dưới Nhập đối tượng có tên để chọn, gõ tên của Nhóm Mới, và sau đó nhấp vào Ok.
  6. Hãy chắc chắn rằng nhóm được chọn theo tên người dùng hoặc nhóm, nhấn vào đây để chọn Cho phép cho phép đọc, và sau đó nhấp vào Ok.
  7. Đóng các Chỉnh sửa ADSI cửa sổ.
 4. Chạy truy vấn LDAP một lần nữa.
Tình trạng
Hành vi này là do thiết kế.
Thông tin thêm
theo mặc định, tính năng AAM vô hiệu hoá cho tài khoản được xây dựng trong quản trị trong Windows Vista và Windows Server 2008. Ngoài ra, tính năng AAM được kích hoạt cho các tài khoản khác mà là thành viên của nhóm người quản trị được xây dựng trong.

Để xác minh điều này, hãy chạy lệnh sau trong một cửa sổ lệnh.
whoami /all
Nếu tính năng AAM được kích hoạt cho các tài khoản người dùng, đầu ra tương tự như sau.
USER INFORMATION----------------User Name   SID                      ============== ==============================================MyDomain\MyUser S-1-5-21-2146773085-903363285-719344707-326360GROUP INFORMATION-----------------Group Name                  Type       SID                        Attributes                           ============================================= ================ ================================================= ===============================================================Everyone                   Well-known group S-1-1-0                      Mandatory group, Enabled by default, Enabled group       BUILTIN\Administrators            Alias      S-1-5-32-544                   Group used for deny only
Được xây dựng trong nhóm người quản trị có các thuộc tính sau:
Group used for deny only
Nhóm "quản trị viên tên miền" được hiển thị như là cho phép nhóm với "bắt buộc nhóm, bật theo mặc định, bật nhóm" ở whoami/tất cả, nhưng thực sự vô hiệu hoá để cho phép ACEs. Đây là một vấn đề được biết đến trong Windows Server 2008 và R2.

Dựa trên sản lượng này, tài khoản người dùng mà bạn dùng để chạy truy vấn LDAP có các tính năng AAM được kích hoạt. Khi bạn chạy truy vấn LDAP, bạn sử dụng một mã thông báo truy cập lọc thay vì một mã thông báo truy cập đầy đủ. Ngay cả khi sự cho phép toàn quyền kiểm soát của nhóm quản trị viên được cấp cho các đối tượng người sử dụng, bạn vẫn không có sự cho phép toàn quyền kiểm soát . Vì vậy, bạn có được chỉ là một danh sách một phần thuộc tính.

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 976063 - Xem lại Lần cuối: 07/17/2012 16:08:00 - Bản sửa đổi: 1.0

Windows Server 2008 Datacenter, Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Vista Enterprise, Windows Vista Business, Windows Vista Business 64-bit edition, Windows Vista Ultimate, Windows 7 Professional, Windows 7 Enterprise, Windows 7 Ultimate, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise

 • kbsurveynew kbprb kbexpertiseadvanced kbtshoot kbmt KB976063 KbMtvi
Phản hồi