身份验证后模拟客户端和创建全局对象安全设置的概述

  • 项目

本文讨论 身份验证后模拟客户端创建全局对象 用户权限。

适用于: Windows Server 2012 R2
原始 KB 编号: 821546

摘要

本文讨论“身份验证后模拟客户端”和“创建全局对象”用户权限。 这些新的安全设置最初在 Windows 2000 Service Pack 4 (SP4) 中引入,有助于提高 Windows 2000 的安全性。 本文介绍新的安全设置,还包含有关可能发生的一些已知问题以及如何对其进行故障排除的信息。

重要

使用默认域策略或组策略应用“身份验证后模拟客户端”和“创建全局对象”用户权限时,请考虑以下问题:

  • “身份验证后模拟客户端”和“创建全局对象”用户权限仅适用于运行 Windows 2000 SP4 或更高版本的计算机。

  • 如果计算机正在运行 Windows 2000 Service Pack 2 (SP2) 或更高版本,则可以使用默认域策略或组策略将“身份验证后模拟客户端”和“创建全局对象”安全设置应用于环境中的计算机。 请注意,尽管可以在包含 Windows 2000 SP2 和 Windows 2000 Service Pack 3 (SP3) 的计算机的环境中部署安全设置,但安全设置 仅适用于 基于 Windows 2000 SP4 的计算机。 这些设置不适用于运行 Windows 2000 SP2 或 Windows 2000 SP3 的计算机。

  • 请勿使用默认域策略或其他组策略向运行 Windows 2000 或 Windows 2000 Service Pack 1 (SP1) 的计算机应用这些新用户权限之一或两者。 请注意,如果使用默认域策略或其他组策略将这些用户权限应用于运行 Windows 2000 或 Windows 2000 Service Pack 1 (SP1) 的计算机,则策略的安全设置传播会失败。 也就是说,策略不会传播到 Windows 2000 或 Windows 2000 SP1 计算机,并且用户权限不会显示在“本地安全设置”管理单元中。 如果使用默认域策略或其他组策略将这些新用户权限之一或两者应用于运行 Windows 2000 或 Windows 2000 Service Pack 1 (SP1) 的计算机,则可能会出现以下情况:

    • 位于同一组策略 对象中且目标 Windows 2000 或 Windows 2000 Service Pack 1 (SP1) 设备的其他安全策略设置不会传播到目标设备。

    • 通过使用 SDOU (站点、域、组织单位的其他组策略应用的其他安全策略设置,) 路径指向 Windows 2000 或 Windows 2000 Service Pack 1 (SP1) 将传播的设备。

    • 如果这些新安全设置之一或两者都针对 Windows 2000 或 Windows 2000 Service Pack 1 (SP1) 设备,则这些设备上的本地 MMC 安全管理单元无法正确显示任何安全设置。 但是,从其他域端应用到目标设备的所有安全设置组策略对象 (不包含新设置) 仍将应用于这些目标设备。

  • 同样,如果域控制器正在运行 Windows 2000 SP2 或更高版本,则可以使用默认域控制器安全策略将“身份验证后模拟客户端”和“创建全局对象”安全设置应用于环境中的域控制器。 请注意,尽管可以在包含基于 Windows 2000 SP2 和 Windows 2000 SP3 的域控制器的环境中部署安全设置,但安全设置 仅适用于 基于 Windows 2000 SP4 的域控制器。 这些设置不适用于运行 Windows 2000 SP2 或 Windows 2000 SP3 的域控制器。

问题 1:“在身份验证后模拟客户端”用户权限 (SeImpersonatePrivilege)

SeImpersonatePrivilege () “身份验证后模拟客户端”用户权限是 Windows 2000 SP4 中首次引入的 Windows 2000 安全设置。 默认情况下,为设备的本地管理员组成员和设备本地服务帐户分配“身份验证后模拟客户端”用户权限。 以下组件也具有此用户权限:

  • 由服务控制管理器启动的服务
  • 组件对象模型 (COM) 由 COM 基础结构启动并配置为在特定帐户下运行的服务器

将“身份验证后模拟客户端”用户权限分配给用户时,允许代表该用户运行的程序模拟客户端。 此安全设置有助于防止未经授权的服务器模拟通过远程过程调用 (RPC) 或命名管道等方法连接到它的客户端。 有关 SeImpersonatePrivilege 函数的详细信息,请访问以下 Microsoft 网站:
身份验证后模拟客户端

有关 Impersonate 函数 ((例如 ImpersonateClient、ImpersonateLoggedOnUser 和 ImpersonateNamedPipeClient) )的详细信息,请在 Microsoft 平台 SDK 文档中搜索 SeImpersonatePrivilege。 若要查看此文档,请访问以下 Microsoft 网站:
身份验证后模拟客户端

问题 1 的故障排除

  • 安装 Windows 2000 SP4 后,某些使用模拟的程序可能无法正常工作。

    在计算机上安装 Windows 2000 Service Pack 4 (SP4) 后,某些使用模拟的程序可能无法正常工作。

    当用于运行程序的用户帐户没有“身份验证后模拟客户端”用户权限时,可能会出现此问题。

    在运行 Windows 2000 Service Pack 3 (SP3) 及更早版本的计算机上,无需用户权限即可模拟客户端。 因此,安装 Windows 2000 SP4 后,某些使用模拟的程序可能无法正常工作。

    若要解决此问题,请确定用于运行程序的用户帐户,然后将“身份验证后模拟客户端”用户权限分配给该用户帐户。 为此,请按照下列步骤操作:

    1. 单击“ 开始”,指向 “程序”,指向 “管理工具”,然后单击“ 本地安全策略”。
    2. 展开“ 本地策略”,然后单击“ 用户权限分配”。
    3. 在右窗格中,在 身份验证后双击“模拟客户端”。
    4. 在“ 本地安全策略设置 ”对话框中,单击“ 添加”。
    5. “选择用户或组 ”对话框中,单击要添加的用户帐户,单击“ 添加”,然后单击“ 确定”。
    6. 单击“确定”

    注意

    若要排查无法确定用于运行程序的用户帐户,以及想要验证所遇到的症状是否由用户权限引起的情况,请将“身份验证后模拟客户端”用户权限分配给 Everyone 组,然后启动程序。 如果程序正常工作,则遇到的问题可能是由新的安全设置引起的。

  • 在 Visual Studio .NET 中调试 Web 应用程序时,会收到“尝试运行项目时出错”错误消息。

问题 2:SeCreateGlobalPrivilege (“创建全局对象”用户权限)

SeCreateGlobalPrivilege) (“创建全局对象”用户权限是 Windows 2000 SP4 中首次引入的 Windows 2000 安全设置。 用户帐户需要用户权限才能创建全局文件映射和符号链接对象。 请注意,用户仍然可以创建特定于会话的对象,而无需分配此用户权限。 默认情况下,由服务控制管理器启动的 Administrators 组、系统帐户和服务的成员分配有“创建全局对象”用户权限。

问题 2 的故障排除

  • 安装 Windows 2000 SP4 后,某些程序可能无法正常工作。

    在计算机上安装 Windows 2000 Service Pack 4 (SP4) 后,某些程序可能无法正常工作。 当用于运行程序的用户帐户没有“创建全局对象”用户权限时,可能会出现此问题。

    若要解决此问题,请标识用于运行程序的用户帐户,然后将“创建全局对象”用户权限分配给该用户帐户。 为此,请按照下列步骤操作:

    1. 单击“ 开始”,指向 “程序”,指向 “管理工具”,然后单击“ 本地安全策略”。
    2. 展开“ 本地策略”,然后单击“ 用户权限分配”。
    3. 在右窗格中,双击“ 创建全局对象”。
    4. 在“ 本地安全策略设置 ”对话框中,单击“ 添加”。
    5. “选择用户或组 ”对话框中,单击要添加的用户帐户,单击“ 添加”,然后单击“ 确定”。
    6. 单击“确定”

    注意

    若要排查无法确定用于运行程序的用户帐户以及要验证所遇到的症状是否由用户权限引起的情况,请将“创建全局对象”用户权限分配给“每个人”组,然后启动程序。 如果程序正常工作,则遇到的问题可能是由新的安全设置引起的。

  • 在终端服务会话的 Office XP 文档中搜索剪辑时,会收到“内存不足”错误消息。

  • 安装 McAfee 家长控制后重启基于 Windows 2000 Server 的计算机时,计算机停止响应 (挂起) 。