Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält Problemumgehungen für das Problem, wenn Sie eine LDAP-Abfrage für einen Domänencontroller ausführen, erhalten Sie eine partielle Attributliste.
Ursprüngliche KB-Nummer: 976063
Symptome
Wenn Sie eine LDAP-Anforderung (Lightweight Directory Access Protocol) für einen Windows Server 2008-basierten Domänencontroller ausführen, erhalten Sie eine partielle Attributliste. Wenn Sie jedoch dieselbe LDAP-Abfrage für einen Windows Server 2003-basierten Domänencontroller ausführen, erhalten Sie eine vollständige Attributliste in der Antwort.
Notiz
Sie können diese Abfrage vom Domänencontroller oder von einem Clientcomputer ausführen, auf dem Windows Vista oder Windows Server 2008 ausgeführt wird.
Das Benutzerkonto, das Sie zum Ausführen der LDAP-Abfrage verwenden, weist die folgenden Eigenschaften auf:
- Das Konto ist Mitglied der integrierten Gruppe "Administratoren".
- Das Konto ist nicht das integrierte Administratorkonto.
- Das Konto ist Mitglied der Gruppe "Domänenadministratoren".
- Die diskretionäre Zugriffssteuerungsliste (DACL) des Benutzerobjekts enthält die Berechtigung "Vollzugriff" für die Gruppe "Administratoren".
- Die effektiven Berechtigungen des Objekts, das Sie abfragen, zeigen, dass der Benutzer über die Berechtigung "Vollzugriff" verfügt.
Ursache
Dieses Problem tritt auf, da das Feature für den Administratorgenehmigungsmodus (Admin Approval Mode, AAM) für das Benutzerkonto in Windows Vista und in Windows Server 2008 aktiviert ist. Es wird auch als "Benutzerkontensteuerung" (User Account Control, UAC) bezeichnet. Für den lokalen Ressourcenzugriff verfügt das Sicherheitssystem über einen Loopbackcode, sodass es das aktive Zugriffstoken aus der interaktiven Anmeldesitzung für die LDAP-Sitzung und die Zugriffsprüfungen während der LDAP-Abfrageverarbeitung verwendet.
Weitere Informationen zum AAM-Feature finden Sie auf der folgenden Microsoft TechNet-Website: https://technet.microsoft.com/library/cc772207(WS.10).aspx
Problemumgehung
Verwenden Sie eine der folgenden Methoden, um dieses Problem zu umgehen.
Methode 1
- Verwenden Sie die Option "Als Administrator ausführen", um ein Eingabeaufforderungsfenster zu öffnen.
- Führen Sie die LDAP-Abfrage im Eingabeaufforderungsfenster aus.
Methode 2
Geben Sie den Wert "Keine Eingabeaufforderung" für die folgende Sicherheitseinstellung an:
Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren im Administratorbestätigungsmodus
Weitere Informationen zum Angeben des Werts dieser Sicherheitseinstellung finden Sie auf der folgenden Microsoft TechNet-Website: https://technet.microsoft.com/library/cc772207(WS.10).aspx
Methode 3
- Erstellen Sie eine neue Gruppe in der Domäne.
- Fügen Sie der neuen Gruppe die Gruppe "Domänenadministratoren" hinzu.
- Erteilen Sie der neuen Gruppe die Lesen-Berechtigung für die Domänenpartition. Gehen Sie hierzu folgendermaßen vor:
- Klicken Sie auf "Start", klicken Sie auf "Ausführen", geben Sie "adsiedit.msc" ein, und klicken Sie dann auf "OK".
- Klicken Sie im ADSI-Bearbeitungsfenster mit der rechten Maustaste auf DC=<Name,DC>=com, und klicken Sie dann auf Eigenschaften.
- Klicken Sie im Eigenschaftenfenster auf die Registerkarte "Sicherheit ".
- Klicken Sie auf der Registerkarte Sicherheit auf Hinzufügen.
- Geben Sie unter 'Geben Sie die auszuwählenden Objektnamen ein, geben Sie den Namen der neuen Gruppe ein, und klicken Sie dann auf 'OK'.
- Stellen Sie sicher, dass die Gruppe unter "Gruppe" oder "Benutzernamen" ausgewählt ist, klicken Sie, um "Für die Lesen-Berechtigung zulassen" auszuwählen, und klicken Sie dann auf "OK".
- Schließen Sie das ADSI-Bearbeitungsfenster .
- Führen Sie die LDAP-Abfrage erneut aus.
Status
Es handelt sich hierbei um ein beabsichtigtes Verhalten.
Weitere Informationen
Standardmäßig ist das AAM-Feature für das integrierte Administratorkonto in Windows Vista und in Windows Server 2008 deaktiviert. Darüber hinaus ist das AAM-Feature für andere Konten aktiviert, die Mitglieder der integrierten Administratorgruppe sind.
Um dies zu überprüfen, führen Sie den folgenden Befehl in einem Eingabeaufforderungsfenster aus.
whoami /all
Wenn das AAM-Feature für das Benutzerkonto aktiviert ist, sieht die Ausgabe wie folgt aus.
USER INFORMATION
----------------
User Name SID
============== ==============================================
MyDomain\MyUser S-1-5-21-2146773085-903363285-719344707-326360
GROUP INFORMATION
-----------------
Group Name Type SID Attributes
============================================= ================ ================================================= ===============================================================
Everyone Well-known group S-1-1-0 Mandatory group, Enabled by default, Enabled group
BUILTIN\Administrators Alias S-1-5-32-544 Group used for deny only
Die integrierte Gruppe "Administratoren" weist das folgende Attribut auf:
Group used for deny only
Die Gruppe "Domänenadministratoren" wird als aktivierte Gruppe mit "Obligatorische Gruppe, standardmäßig aktivierte Gruppe, aktivierte Gruppe" in whoami /all angezeigt, ist jedoch für Allow ACEs deaktiviert. Dies ist ein bekanntes Problem in Windows Server 2008 R2 und Windows Server 2012.
Basierend auf dieser Ausgabe hat das Benutzerkonto, das Sie zum Ausführen der LDAP-Abfrage verwendet haben, das AAM-Feature aktiviert. Wenn Sie die LDAP-Abfrage ausführen, verwenden Sie anstelle eines Vollzugriffstokens ein gefiltertes Zugriffstoken. Auch wenn dem Benutzerobjekt die Berechtigung "Vollzugriff" für die Gruppe "Administratoren" gewährt wird, verfügen Sie immer noch nicht über die Berechtigung "Vollzugriff". Daher erhalten Sie nur eine partielle Attributliste.