驗證后模擬用戶端的概觀,以及建立全域對象安全性設定
本文討論驗證 后模擬客戶 端和 建立全域對象 用戶權力。
適用:Windows Server 2012 R2
原始 KB 編號: 821546
摘要
本文討論「驗證后模擬用戶端」和「建立全域物件」用戶權力。 這些新的安全性設定最初是在 Windows 2000 Service Pack 4 (SP4) 中引進,並有助於提高 Windows 2000 中的安全性。 本文說明新的安全性設定,也包含一些可能發生之已知問題的資訊,以及如何進行疑難解答。
重要事項
當您使用預設網域原則或 群組原則 套用「驗證后模擬用戶端」和「建立全域物件」用戶權力時,請考慮下列問題:
「驗證后模擬用戶端」和「建立全域物件」用戶權力僅適用於執行 Windows 2000 SP4 或更新版本的電腦。
如果計算機執行的是 Windows 2000 Service Pack 2 (SP2) 或更新版本,您可以使用預設網域原則或 群組原則,將[驗證后模擬用戶端] 和 [建立全域物件] 安全性設定套用至環境中的計算機。 請注意,雖然您可以在包含 Windows 2000 SP2 和 Windows 2000 Service Pack 3 (SP3) 型電腦的環境中部署安全性設定,但安全性設定 僅 適用於 Windows 2000 SP4 型計算機。 這些設定不適用於執行 Windows 2000 SP2 或 Windows 2000 SP3 的電腦。
請勿使用預設網域原則或其他 群組原則,將這兩個新的用戶權力套用至執行 Windows 2000 或 Windows 2000 Service Pack 1 (SP1) 的計算機。 請注意,如果您使用預設網域原則或不同的 群組原則,將這些用戶權力套用至執行 Windows 2000 或 Windows 2000 Service Pack 1 (SP1) 的計算機,則原則安全性設定的傳播會失敗。 也就是說,原則不會傳播到 Windows 2000 或 Windows 2000 SP1 計算機,而且用戶權力不會顯示在 [本機安全性設定] 嵌入式管理單元中。 如果您使用預設網域原則或其他 群組原則,將這兩個新的用戶權力套用至執行 Windows 2000 或 Windows 2000 Service Pack 1 (SP1) 的計算機,可能會發生下列案例:
位於相同 群組原則 物件中且目標為 Windows 2000 或 Windows 2000 Service Pack 1 (SP1) 裝置的其他安全策略設定,不會傳播至目的地裝置。
其他安全策略設定,這些設定是透過在將傳播的裝置上,使用其他組策略 (月臺、網域、組織單位) 路徑套用到 Windows 2000 或 Windows 2000 Service Pack 1 (SP1) 路徑。
如果這兩個新的安全性設定是以 Windows 2000 或 Windows 2000 Service Pack 1 (SP1) 裝置為目標,則這些裝置上的本機 MMC 安全性嵌入式管理單元無法正確顯示任何安全性設定。 不過,從其他網域端套用至目標裝置的所有安全性設定 群組原則 物件 (不包含新設定) 仍會套用至這些目標裝置。
同樣地,如果域控制器執行的是 Windows 2000 SP2 或更新版本,您可以使用預設域控制器安全策略,將[驗證后模擬用戶端] 和 [建立全域物件] 安全性設定套用至環境中的域控制器。 請注意,雖然您可以在包含 Windows 2000 SP2 和 Windows 2000 SP3 型域控制器的環境中部署安全性設定,但安全性設定 僅 適用於 Windows 2000 SP4 型域控制器。 這些設定不適用於執行 Windows 2000 SP2 或 Windows 2000 SP3 的域控制器。
問題 1:「模擬用戶端 AfterAuthentication」用戶權力 (SeImpersonatePrivilege)
「驗證后模擬用戶端」用戶權力 (SeImpersonatePrivilege) 是 Windows 2000 SP4 中首次引進的 Windows 2000 安全性設定。 根據預設,裝置的本機 Administrators 群組成員和裝置的本機服務帳戶會獲指派「驗證后模擬用戶端」用戶權力。 下列元件也有此用戶權力:
- 服務控制管理員所啟動的服務
- 元件物件模型 (COM) 由 COM 基礎結構啟動且設定為在特定帳戶下執行的伺服器
當您將「驗證後模擬用戶端」用戶許可權指派給使用者時,您可以允許代表該使用者執行的程式模擬用戶端。 此安全性設定有助於防止未經授權的伺服器模擬透過遠端過程調用 (RPC) 或命名管道等方法連線到它的用戶端。 如需 SeImpersonatePrivilege 函式的詳細資訊,請造訪下列 Microsoft 網站:
在驗證後模擬用戶端
如需模擬函式 (的詳細資訊,例如 ImpersonateClient、ImpersonateLoggedOnUser 和 ImpersonateNamedPipeClient) ,請在 Microsoft Platform SDK 檔中搜尋 SeImpersonatePrivilege。 若要檢視此檔,請造訪下列 Microsoft 網站:
在驗證後模擬用戶端
問題 1 的疑難解答
安裝 Windows 2000 SP4 之後,某些使用仿真的程式可能無法正常運作。
在計算機上安裝 Windows 2000 Service Pack 4 (SP4) 之後,某些使用仿真的程式可能無法正常運作。
當用來執行程式的使用者帳戶沒有「驗證后模擬用戶端」用戶權力時,就可能發生此問題。
在執行 Windows 2000 Service Pack 3 (SP3) 及更早版本的電腦上,不需要用戶權力即可模擬用戶端。 因此,在您安裝 Windows 2000 SP4 之後,某些使用仿真的程式可能無法正常運作。
若要解決此問題,請識別用來執行程式的用戶帳戶,然後將「驗證后模擬用戶端」用戶許可權指派給該用戶帳戶。 如果要執行這項操作,請依照下列步驟執行:
- 按兩下 [開始],指向 [ 程式],指向 [ 系統管理工具],然後按兩下 [ 本機安全策略]。
- 展開 [ 本機原則],然後按兩下 [ 用戶權力指派]。
- 在右窗格中,按兩下 [ 驗證后模擬用戶端]。
- 在 [ 本機安全策略設定] 對話框中,按兩下 [ 新增]。
- 在 [ 選取使用者或群組 ] 對話框中,按兩下您要新增的用戶帳戶,按兩下 [ 新增],然後按兩下 [ 確定]。
- 按一下確定。
注意事項
若要針對無法判斷用來執行程式的用戶帳戶,以及要確認您遇到的徵兆是由用戶權力所造成的情況進行疑難解答,請將「驗證后模擬用戶端」用戶許可權指派給 Everyone 群組,然後啟動程式。 如果程式正常運作,您遇到的問題可能是由新的安全性設定所造成。
當您在 Visual Studio .NET 中偵錯 Web 應用程式時,會收到「嘗試執行專案時發生錯誤」錯誤訊息。
問題 2:「建立全域物件」用戶權力 (SeCreateGlobalPrivilege)
SeCreateGlobalPrivilege () 的「建立全域物件」用戶權力) 是 Windows 2000 SP4 中首次引進的 Windows 2000 安全性設定。 用戶帳戶必須要有用戶權力,才能建立全域檔案對應和符號連結物件。 請注意,使用者仍然可以建立會話特定物件,而不需要被指派此用戶權力。 根據預設,由服務控制管理員啟動之 Administrators 群組、系統帳戶和服務的成員會獲指派「建立全域物件」用戶權力。
問題 2 的疑難解答
安裝 Windows 2000 SP4 之後,某些程式可能無法正常運作。
在您的計算機上安裝 Windows 2000 Service Pack 4 (SP4) 之後,某些程式可能無法正常運作。 當用來執行程式的使用者帳戶沒有「建立全域物件」用戶權力時,可能會發生此問題。
若要解決此問題,請識別用來執行程式的用戶帳戶,然後將「建立全域物件」用戶許可權指派給該用戶帳戶。 如果要執行這項操作,請依照下列步驟執行:
- 按兩下 [開始],指向 [ 程式],指向 [ 系統管理工具],然後按兩下 [ 本機安全策略]。
- 展開 [ 本機原則],然後按兩下 [ 用戶權力指派]。
- 在右窗格中,按兩下 [ 建立全域物件]。
- 在 [ 本機安全策略設定] 對話框中,按兩下 [ 新增]。
- 在 [ 選取使用者或群組 ] 對話框中,按兩下您要新增的用戶帳戶,按兩下 [ 新增],然後按兩下 [ 確定]。
- 按一下確定。
注意事項
若要疑難解答無法判斷用來執行程式的用戶帳戶,以及您想要確認您遇到的徵兆是由用戶權力所造成的情況,請將「建立全域物件」用戶許可權指派給 Everyone 群組,然後啟動程式。 如果程式正常運作,您遇到的問題可能是由新的安全性設定所造成。
當您在終端機服務會話中搜尋 Office XP 檔中的剪輯時,會收到「記憶體不足」錯誤訊息。
當您在安裝 McAfee 父代控件之後重新啟動 Windows 2000 伺服器型電腦時,計算機會停止回應 (停止當機) 。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應