你目前正处于脱机状态,正在等待 Internet 重新连接

当对基于 Windows Server 2008 的域控制器运行 LDAP 查询时,您将获得部分属性列表

注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。

976063
症状
当对基于 Windows Server 2008 的域控制器运行一个轻量目录访问协议 (LDAP) 请求时,您将获得部分属性列表。但是,如果对基于 Windows Server 2003 的域控制器运行相同的 LDAP 查询,您将获得响应中完整的属性列表。

注意从域控制器或正在运行 Windows Vista 或 Windows Server 2008 的客户端计算机,您可以运行此查询。

用于运行 LDAP 查询的用户帐户具有以下属性:
  • 该帐户是内置的管理员组的成员。
  • 帐户不是内置的管理员帐户。
  • 该帐户是域管理员组的成员。
  • 用户对象的自由访问控制列表 (DACL) 包含管理员组的完全控制权限。
  • 查询显示用户具有完全控制权限的对象的有效权限。
原因
由于在 Windows Vista 和 Windows Server 2008 中的用户帐户启用了管理审批模式 (AAM) 功能,则会出现此问题。它也是"用户帐户控制"(UAC)。对于本地资源访问,安全系统有环回代码,以便使用的 LDAP 会话活动访问令牌从交互式登录会话和访问检查 LDAP 查询处理过程中。

AAM 功能的详细信息,请访问下面的 Microsoft TechNet Web 站点:
替代方法
若要解决此问题,请使用下列方法之一。

方法 1

  1. 使用 以管理员身份运行 若要打开命令提示符窗口的选项。
  2. 在命令提示符窗口中运行 LDAP 查询。

方法 2

指定 无提示 以下安全设置的值:
管理审批模式下的管理员的提升提示用户帐户控制: 行为
有关如何指定该安全设置的值的详细信息,请访问下面的 Microsoft TechNet Web 站点:

方法 3

  1. 在域中创建新组。
  2. 将域管理员组添加到该新组中。
  3. 到此新组授予读取权限的域分区上。请执行以下步骤:
    1. 单击 开始单击 运行键入 adsiedit.msc然后单击 确定.
    2. 在中 ADSI 编辑 窗口中,用鼠标右键单击 DC =<Name></Name>DC = com然后单击 属性.
    3. 在中 属性 窗口中,单击 安全 选项卡。
    4. 在上 安全 选项卡上单击 添加.
    5. 在下 输入要选择的对象名称键入新组的名称,然后单击 确定.
    6. 确保选中了组下 组或用户名称单击以选中 允许 然后单击读取权限,以及 确定.
    7. 关闭 ADSI 编辑 窗口。
  4. 再次运行 LDAP 查询。
状态
此行为是设计使然。
更多信息
默认情况下在 Windows Vista 和 Windows Server 2008 中的内置管理员帐户被禁用 AAM 功能。此外,AAM 功能是内置的管理员组的成员的其他帐户为启用。

若要验证这一点,请在命令提示符窗口中运行以下命令。
whoami /all
如果 AAM 功能启用了用户帐户,则输出类似于以下。
USER INFORMATION----------------User Name      SID                                           ============== ==============================================MyDomain\MyUser S-1-5-21-2146773085-903363285-719344707-326360GROUP INFORMATION-----------------Group Name                                    Type             SID                                               Attributes                                                     ============================================= ================ ================================================= ===============================================================Everyone                                      Well-known group S-1-1-0                                           Mandatory group, Enabled by default, Enabled group             BUILTIN\Administrators                        Alias            S-1-5-32-544                                      Group used for deny only
内置管理员组具有以下属性:
Group used for deny only
"域管理员"组显示为已启用组在"必需的组,默认情况下已启用组"中启用 whoami/所有,但实际上禁用的允许 Ace。这是 Windows Server 2008 和 R2 中已知的问题。

根据此输出,用来运行 LDAP 查询的用户帐户已启用的 AAM 功能。时运行 LDAP 查询时,您将使用筛选的访问令牌,而不是一个完整的访问令牌。即使管理员组的完全控制权限授予用户对象,您仍然没有完全控制权限。因此,您将获得部分属性列表。

警告: 本文已自动翻译

属性

文章 ID:976063 - 上次审阅时间:07/17/2012 16:08:00 - 修订版本: 1.0

  • Windows Server 2008 Datacenter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Vista Enterprise
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Ultimate
  • Windows 7 Professional
  • Windows 7 Enterprise
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • kbsurveynew kbprb kbexpertiseadvanced kbtshoot kbmt KB976063 KbMtzh
反馈