Anforderungen für Netzwerkverwaltungsfunktionen auf Active Directory-Domäne Controllern
Wenn Sie eine der in diesem Thema aufgeführten Netzwerkverwaltungsfunktionen auf einem Domänencontroller aufrufen, auf dem Active Directory ausgeführt wird, wird der Zugriff auf ein sicherungsfähiges Objekt basierend auf der Zugriffssteuerungsliste (Access-Control List , ACL) für das Objekt zugelassen oder verweigert. (ACLs werden im Verzeichnis angegeben.)
Für Informationsabfragen und Informationsupdates gelten unterschiedliche Zugriffsanforderungen.
Abfragen
Bei Abfragen ermöglicht die Standard-ACL allen authentifizierten Benutzern und Mitgliedern der Gruppe "Pre-Windows 2000-kompatibler Zugriff" das Lesen und Aufzählen von Informationen. Die folgenden Funktionen sind betroffen:
- NetGroupEnum, NetGroupGetInfo, NetGroupGetUsers
- NetLocalGroupEnum, NetLocalGroupGetInfo, NetLocalGroupGetMembers
- NetQueryDisplayInformation
- NetSessionGetInfo (nur Ebenen 1 und 2)
- NetShareEnum (nur Ebenen 2 und 502)
- NetUserEnum, NetUserGetGroups, NetUserGetInfo, NetUserGetLocalGroups, NetUserModalsGet
- NetWkstaGetInfo, NetWkstaUserEnum
Der anonyme Zugriff auf Gruppeninformationen erfordert, dass der Anonyme Benutzer explizit der Gruppe "Pre-Windows 2000-kompatibler Zugriff" hinzugefügt wird. Dies liegt daran, dass anonyme Token die Sid der Gruppe "Jeder" nicht enthalten.
Windows 2000: Standardmäßig enthält die Gruppe "Pre-Windows 2000 compatible access" (Vor Windows 2000 kompatibler Zugriff) alle Benutzer als Mitglied. Dies ermöglicht anonymen Zugriff (anonyme Anmeldung) auf Informationen, wenn das System anonymen Zugriff zulässt. Administratoren können jederzeit alle Benutzer aus der Gruppe "Pre-Windows 2000 Compatible Access" (Kompatibler Zugriff vor Windows 2000) entfernen. Durch das Entfernen von Jeder aus der Gruppe wird der Informationszugriff nur auf authentifizierte Benutzer beschränkt. Weitere Informationen zum anonymen Zugriff finden Sie unter Sicherheits-IDs und bekannte SIDs.
Sie können den Systemstandard überschreiben, indem Sie den folgenden Schlüssel in der Registrierung auf den Wert 1 festlegen:
\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LsaEveryoneIncludesAnonymous = 1
Weitere Informationen zum anonymen Zugriff auf Gruppeninformationen beim Aufrufen dieser beiden Funktionen finden Sie unter NetWkstaGetInfo und NetWkstaUserEnum .
Updates
Bei Updates erlaubt die Standard-ACL nur Domänenadministratoren und Kontooperatoren, Informationen zu schreiben. Eine Ausnahme besteht darin, dass Benutzer ihr eigenes Kennwort ändern und das Feld usri*_usr_comment festlegen können. Eine weitere Ausnahme besteht darin, dass Kontooperatoren keine Verwaltungskonten ändern können. Die folgenden Funktionen sind betroffen:
- NetGroupAdd, NetGroupAddUser, NetGroupDel,NetGroupDelUser, NetGroupSetInfo, NetGroupSetUsers
- NetLocalGroupAdd, NetLocalGroupAddMembers, NetLocalGroupDelDel,NetLocalGroupDelMembers, NetLocalGroupSetInfo, NetLocalGroupSetMembers
- NetMessageBufferSend
- NetUserAdd, NetUserChangePassword, NetUserDel, NetUserModalsSet, NetUserSetGroups, NetUserSetInfo
In der Regel müssen Aufrufer Schreibzugriff auf das gesamte Objekt haben, damit Aufrufe von NetUserModalsSet,NetUserSetInfo, NetGroupSetInfo und NetLocalGroupSetInfo erfolgreich sind. Für eine präzisere Zugriffssteuerung sollten Sie die Verwendung von ADSI in Betracht ziehen. Weitere Informationen zu ADSI finden Sie unter Active Directory-Dienstschnittstellen.
Weitere Informationen zum Steuern des Zugriffs auf sicherungsfähige Objekte finden Sie unter Access Control, Berechtigungen und sicherungsfähige Objekte. Weitere Informationen zum Aufrufen von Funktionen, die Administratorrechte erfordern, finden Sie unter Ausführen mit speziellen Berechtigungen.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für