Freigeben über

Bewerten effektiver Berechtigungen für Ressourcen auf Remotecomputern

Symptome und Ursachen

Wenn Sie die effektiven Berechtigungen eines Benutzers für eine Remoteressource überprüfen, werden manchmal falsche Ergebnisse oder Fehler angezeigt.

Die Details dieses Verhaltens und deren Auflösung hängen davon ab, wie Sie die effektiven Berechtigungen wie folgt erhalten:

  • Wenn Sie eine vorhandene Windows-Anwendung verwenden, können Sie die Registerkarte "Effektiver Zugriff " des Dialogfelds "Erweiterte Sicherheit " für die Ressource verwenden.

  • Wenn Sie die Application Programming Interface (AUTHZ.DLL) des Autorisierungs-Managers verwenden, können Sie die folgenden Funktionen aufrufen:

    • AuthzInitializeContextFromSid
    • AuthzInitializeRemoteResourceManager
    • AuthzAccessCheck
    • AuthzCachedAccessCheck

Windows Server 2012 R2 hat Änderungen an der Art und Weise eingeführt, in der Windows effektive Berechtigungen auswertet, insbesondere für Remoteressourcen.

Verwenden der Registerkarte "Effektiver Zugriff"

Wenn Sie die Registerkarte "Effektiver Zugriff" verwenden, werden auf der Registerkarte möglicherweise Fehler oder Warnungen angezeigt.

Effektiver Berechtigungsfehler: Sie verfügen nicht über die Berechtigung, effektive Zugriffsrechte für die Remoteressource auszuwerten.

Effektiver Berechtigungsfehler: Die Freigabesicherheitsinformationen sind nicht verfügbar und wurden nicht für den effektiven Zugriff ausgewertet.

Weitere Informationen zum Beheben dieser Probleme finden Sie unter Remoteressourcen einschließlich SMB.

Verwenden von Authz-API-Aufrufen

Sie können dieses Problem beobachten, wenn Sie die API-Aufrufe verwenden, wenn eine der folgenden Bedingungen zutrifft:

  • Die Anwendung führt die Anrufe remote vom Ressourcenserver aus.
  • Das Benutzerkonto, das die Anwendung ausführt, befindet sich nicht in derselben Domäne wie die Ressource.

In diesem Fall fehlen möglicherweise einige Berechtigungen "Zulassen ", oder einige "Verweigern" -Berechtigungen werden möglicherweise als "GrantedAccessMask "-Berechtigungen angezeigt.

Hier ist ein Beispielszenario:

  • Es gibt eine globale Gruppe in Domäne A und eine domänenlokale Gruppe in Domäne B. Die Ressource befindet sich in Domäne B.
  • Die domänenlokale Gruppe hat vollzugriff auf die Ressource. Dieser Zugriff umfasst Löschberechtigungen .
  • Die globale Gruppe ist Mitglied der domänenlokalen Gruppe. Die globale Gruppe hat keinen direkten Zugriff auf die Ressource.
  • Mithilfe eines Benutzerkontos auf Administratorebene und computer in Domäne A rufen Sie remote die Ressourcenberechtigungen eines Benutzers ab, der Mitglied der globalen Gruppe ist.

In den ergebnissen, die Sie abrufen, scheint der Benutzer nicht über Löschberechtigungen für die Ressource zu verfügen. Der Benutzer verfügt jedoch tatsächlich über Löschberechtigungen .

Authz.dll verwendet einen Kerberos-Dienst für eine Kerberos-S4U-Transaktion (Kerberos S4U), um ein Token für den Benutzer abzurufen. Dieses Token ist jedoch relativ zur Verwaltungsstation oder zur Station, an der die Serveranwendung ausgeführt wird. Das Token ist nicht relativ zum Ressourcenserver. Daher enthält das Token nicht die domänenlokalen Gruppen des Computers, die die Ressource hosten, wenn die Ressource eine der folgenden Bedingungen erfüllt:

  • Die Ressource befindet sich in einer anderen Domäne als der Verwaltungsstation oder dem administrativen Benutzer.
  • Die Ressource verfügt über Berechtigungen, die integrierten Gruppen zugewiesen sind. Integrierte Gruppen können missbraucht werden.

Abrufen effektiver Berechtigungen mithilfe von Authz-API-Aufrufen

Sie können dieses Problem mit einer der folgenden Methoden beheben:

  • Verwenden Sie die AuthzInitializeResourceManager-Funktion , um ein Handle für die Remoteressource einzuschließen, wenn Sie die AuthzInitializeContextFromSid-Funktion aufrufen.

  • Lokaler Authentifizierungskontext:

    • Wenn Ihre Konfiguration Kerberos S4U aktiviert, stellen Sie sicher, dass sich das Administratorbenutzerkonto in derselben Domäne wie die Ressource befindet.
    • Wenn Sie die effektiven Berechtigungen für ein Active Directory-Objekt überprüfen, führen Sie die Verwaltungstools auf einem Domänencontroller aus, der über eine vollständige Kopie des Objekts verfügt (Konfigurationsbenennungskontext (NC), Domänen-NC oder Anwendungs-NC).
    • Wenn Sie die effektiven Berechtigungen für eine gruppierte Ressource überprüfen, können Sie die Verwaltungstools von einem beliebigen Clusterknoten ausführen. Führen Sie alternativ die Verwaltungstools vom Ressourcenserver aus.

  • Deaktivieren Sie Kerberos S4U: Wechseln Sie das Authz-Modul aus dem Kerberos-S4U-Ansatz auf Active Directory (AD) Lightweight Directory Access Protocol (LDAP) und eigenständige Server Security Account Manager (SAM)-Abfragen, um die Gruppenliste des Benutzers zu erfassen.

    Wichtig

    Folgen Sie den Schritten in diesem Abschnitt sorgfältig. Wird die Registrierung falsch angepasst, können schwerwiegende Probleme auftreten. Bevor Sie sie ändern, sichern Sie die Registrierung , falls Probleme auftreten.

    Führen Sie dazu die folgenden Schritte aus, um den Registrierungseintrag "UseGroupRecursion " zu konfigurieren:

    1. Öffnen Sie den Registrierungs-Editor, und navigieren Sie dann zum Unterschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Authz .
    2. Wählen Sie "Neuen>DWORD-Wert bearbeiten">aus.
    3. Geben Sie UseGroupRecursion ein.
    4. Klicken Sie mit der rechten Maustaste auf "UseGroupRecursion", und wählen Sie dann "Ändern" aus.
    5. Geben Sie "1" ein, und wählen Sie dann "OK" aus.

      Notiz

      Wenn der Wert 0 (Standardwert) ist, verwendet Authz die Kerberos-Methode. Wenn der Wert 1 ist, verwendet Authz AD LDAP- und eigenständige Server-SAM-Abfragen.

    6. Schließen Sie den Registrierungs-Editor.

    Notiz

    • UseGroupRecursion ist nicht wirksam, wenn Sie das AUTHZ_REQUIRE_S4U_LOGON Flag verwenden, wenn Sie den Authz-Kontext erstellen.
    • Der Anwendungsbenutzer muss über Leseberechtigungen für das TokenGroups-Attribut und für die domänenlokalen Gruppen der Ressourcendomäne verfügen.
    • Die Anwendung muss das SAM RPC-Protokoll verwenden können, wenn sie die APIs aufruft. Dies liegt daran, dass serverlokale Gruppen mithilfe von SAM-APIs abgerufen werden. Sie können eine Zugriffssteuerungsliste (Access Control List, ACL) auf der SAM-RPC-Schnittstelle festlegen, indem Sie die RestrictRemoteSAM-Sicherheitsrichtlinie verwenden.

Abrufen effektiver Berechtigungen für Remoteressourcen einschließlich SMB-Freigaben

Windows Server 2012 R2 hat dem LSASS-Prozess eine Authz RPC-Schnittstelle hinzugefügt. Diese Schnittstelle wird vom Netlogon-Dienst verwaltet. Mithilfe dieser RPC-Schnittstelle können Sie effektive Berechtigungen relativ zum tatsächlichen Ressourcenserver auswerten.

Dieses Update hat außerdem die Möglichkeit hinzugefügt, Berechtigungen zu bewerten, die sowohl auf Dateisystem- als auch auf Freigabeebene festgelegt sind. Wenn Sie diese Funktion verwenden, sehen Sie, welcher Teil der Zugriffsüberprüfung den Zugriff beschränkt.

Informationen, die Details dazu liefern, welche Faktoren den Zugriff eines Benutzers auf eine Ressource einschränken.

Berücksichtigen Sie beim Bewerten des effektiven Zugriffs auf Ressourcen die folgenden Faktoren:

  • Autorisierung auf dem Remoteserver
    • Um effektive Berechtigungen für eine Ressource auf einem Remoteserver auszuwerten, muss ein Benutzer zur Gruppe der Zugriffssteuerungsunterstützungsoperatoren gehören. Diese integrierte Gruppe erleichtert das Delegieren des Zugriffs auf Personen, die keinen Administratorzugriff auf Ressourcenserver haben. Andernfalls müssen Benutzer über Administratorzugriff auf den Remoteserver und die Freigabe oder andere Ressource verfügen.
  • Zugriff auf SMB-Freigabeinformationen

    • Berechtigungen zum Abrufen der Sicherheitsbeschreibung für die Freigabe
      Möglicherweise muss der Benutzer auch über administrativen Zugriff auf die SMB-Freigabesicherheitsdeskriptoren verfügen. Standardmäßig gewähren viele In-Market-Betriebssystemversionen keinen solchen Zugriff. Um ein Update zu erhalten, das diese Funktion bereitstellt, wenden Sie sich an Microsoft-Support. Die Lösung für marktinterne Betriebssystemversionen ist nicht öffentlich verfügbar.

    • Zugriff auf den Server (wenn die Ressource Zugriffssteuerung auf Freigabeebene verwendet)
      Um die effektiven Berechtigungen für eine Ressource auf einem Remoteserver auszuwerten, der die Zugriffssteuerung auf Freigabeebene verwendet, müssen Sie einen UNC-Freigabepfad verwenden, um auf die Ressource zuzugreifen. Versuchen Sie nicht, einen zugeordneten Laufwerkbuchstaben für den Zugriff auf die Ressource zu verwenden. Verwenden Sie beispielsweise keinen Pfad, der dem folgenden Pfad ähnelt:

      f:\year2022\quarter2\

      Hinweis: In diesem Beispiel f: ist die Zuordnung zu \\fileserver01.contoso.com\finance-data.

      Verwenden Sie stattdessen einen Pfad, der dem folgenden Pfad ähnelt:

      \\fileserver01.contoso.com\finance-data\year2022\quarter2\

Wenn Sie keine Freigabeberechtigungen zum Einschränken von Benutzern verwenden, können Sie die Warnung "Freigabeberechtigungen" sicher ignorieren.