Persyaratan untuk Fungsi Manajemen Jaringan pada Pengendali Domain Direktori Aktif

Jika Anda memanggil salah satu fungsi manajemen jaringan yang tercantum dalam topik ini pada pengendali domain yang menjalankan Direktori Aktif, akses ke objek yang dapat diamankan diizinkan atau ditolak berdasarkan daftar kontrol akses (ACL) untuk objek tersebut. (ACL ditentukan dalam direktori.)

Persyaratan akses yang berbeda berlaku untuk kueri informasi dan pembaruan informasi.

Kueri

Untuk kueri, ACL default mengizinkan semua pengguna terautentikasi dan anggota grup "Akses kompatibel Pra-Windows 2000" untuk membaca dan menghitung informasi. Fungsi yang tercantum berikut terpengaruh:

• NetGroupEnum, NetGroupGetInfo, NetGroupGetUsers
• NetLocalGroupEnum, NetLocalGroupGetInfo, NetLocalGroupGetMembers
• NetQueryDisplayInformation
• NetSessionGetInfo (level 1 dan 2 saja)
• NetShareEnum (level 2 dan 502 saja)
• NetUserEnum, NetUserGetGroups, NetUserGetInfo, NetUserGetLocalGroups, NetUserModalsGet
• NetWkstaGetInfo, NetWkstaUserEnum

Akses anonim ke informasi grup mengharuskan pengguna Anonim secara eksplisit ditambahkan ke grup "Akses kompatibel Pra-Windows 2000". Ini karena token anonim tidak menyertakan SID Grup Semua Orang.

Windows 2000: Secara default, grup "Akses pra-windows 2000 kompatibel" menyertakan Semua Orang sebagai anggota. Ini memungkinkan akses anonim (Masuk Anonim) ke informasi jika sistem mengizinkan akses anonim. Administrator dapat menghapus Semua Orang dari grup "Akses Kompatibel Pra-Windows 2000" kapan saja. Menghapus Semua Orang dari grup membatasi akses informasi hanya untuk pengguna yang diautentikasi. Untuk informasi selengkapnya tentang akses anonim, lihat Pengidentifikasi Keamanan dan SID Terkenal.

Anda dapat mengganti default sistem dengan mengatur kunci berikut dalam registri ke nilai 1:

\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LsaEveryoneIncludesAnonymous = 1

Lihat NetWkstaGetInfo dan NetWkstaUserEnum untuk informasi tambahan tentang akses anonim ke informasi grup saat memanggil kedua fungsi ini.

Pembaruan

Untuk pembaruan, ACL default hanya mengizinkan Administrator Domain dan Operator Akun untuk menulis informasi. Salah satu pengecualiannya adalah pengguna dapat mengubah kata sandi mereka sendiri dan mengatur bidang usri*_usr_comment. Pengecualian lain adalah bahwa Operator Akun tidak dapat mengubah akun administrasi. Fungsi yang tercantum berikut terpengaruh:

• NetGroupAdd, NetGroupAddUser, NetGroupDel, NetGroupDelUser, NetGroupSetInfo, NetGroupSetUsers
• NetLocalGroupAdd, NetLocalGroupAddMembers, NetLocalGroupDel, NetLocalGroupDelMembers, NetLocalGroupSetInfo, NetLocalGroupSetMembers
• NetMessageBufferSend
• NetUserAdd, NetUserChangePassword, NetUserDel, NetUserModalsSet, NetUserSetGroups, NetUserSetInfo

Biasanya, penelepon harus memiliki akses tulis ke seluruh objek agar panggilan ke NetUserModalsSet, NetUserSetInfo, NetGroupSetInfo dan NetLocalGroupSetInfo berhasil. Untuk kontrol akses yang lebih baik, Anda harus mempertimbangkan untuk menggunakan ADSI. Untuk informasi selengkapnya tentang ADSI, lihat Antarmuka Layanan Direktori Aktif.

Untuk informasi selengkapnya tentang mengontrol akses ke objek yang dapat diamankan, lihat Access Control, Hak Istimewa, dan Objek Yang Dapat Diamankan. Untuk informasi selengkapnya tentang fungsi panggilan yang memerlukan hak istimewa administrator, lihat Menjalankan dengan Hak Istimewa Khusus.