Delen via

Wanneer u een LDAP-query uitvoert op een domeincontroller, krijgt u een gedeeltelijke lijst met kenmerken

In dit artikel vindt u tijdelijke oplossingen voor het probleem wanneer u een LDAP-query uitvoert op een domeincontroller. U krijgt een gedeeltelijke lijst met kenmerken.

Oorspronkelijk KB-nummer: 976063

Symptomen

Wanneer u een LDAP-aanvraag (Lightweight Directory Access Protocol) uitvoert op basis van een domeincontroller op basis van Windows Server 2008, krijgt u een gedeeltelijke lijst met kenmerken. Als u echter dezelfde LDAP-query uitvoert op een windows Server 2003-domeincontroller, krijgt u een volledige lijst met kenmerken in het antwoord.

Notitie

U kunt deze query uitvoeren vanaf de domeincontroller of vanaf een clientcomputer met Windows Vista of Windows Server 2008.

Het gebruikersaccount dat u gebruikt om de LDAP-query uit te voeren, heeft de volgende eigenschappen:

  • Het account is lid van de ingebouwde groep Administrators.
  • Het account is niet het ingebouwde beheerdersaccount.
  • Het account is lid van de groep Domeinadministrators.
  • De discretionaire toegangsbeheerlijst (DACL) van het gebruikersobject bevat de machtiging voor volledig beheer voor de groep Administrators.
  • De effectieve machtigingen van het object waarop u een query uitvoert, laten zien dat de gebruiker de machtiging volledig beheer heeft.

Oorzaak

Dit probleem treedt op omdat de functie Administrator Approval Mode (AAM) is ingeschakeld voor het gebruikersaccount in Windows Vista en in Windows Server 2008. Het staat ook bekend als 'Gebruikersaccountbeheer' (UAC). Voor toegang tot lokale bronnen heeft het beveiligingssysteem een loopbackcode, zodat het het actieve toegangstoken van de interactieve aanmeldingssessie voor de LDAP-sessie gebruikt en de toegangscontroles tijdens de LDAP-queryverwerking.

Ga naar de volgende Website van Microsoft TechNet voor meer informatie over de AAM-functie: https://technet.microsoft.com/library/cc772207(WS.10).aspx

Tijdelijke oplossing

Om dit probleem te omzeilen, gebruikt u een van de volgende methodes.

Methode 1

  1. Gebruik de optie Als administrator uitvoeren om een opdrachtpromptvenster te openen.
  2. Voer de LDAP-query uit in het opdrachtpromptvenster.

Methode 2

Geef de waarde Geen prompt op voor de volgende beveiligingsinstelling:
Gebruikersaccountbeheer: gedrag bij het vragen om benodigde bevoegdheden voor administrators in modus 'Door administrator goedkeuren'
Ga naar de volgende Website van Microsoft TechNet voor meer informatie over het opgeven van de waarde van deze beveiligingsinstelling: https://technet.microsoft.com/library/cc772207(WS.10).aspx

Methode 3

  1. Maak een nieuwe groep in het domein.
  2. Voeg de groep Domeinadministrators toe aan deze nieuwe groep.
  3. Ververleent de leesmachtiging voor de domeinpartitie aan deze nieuwe groep. Voer hiervoor de volgende stappen uit:
    1. Klik op Start, klik op Uitvoeren, typ adsiedit.msc en klik vervolgens op OK.
    2. Klik in het venster ADSI Bewerken met de rechtermuisknop op DC=<Naam,DC>=com en klik vervolgens op Eigenschappen.
    3. Klik in het venster Eigenschappen op het tabblad Beveiliging .
    4. Klik op het tabblad Beveiliging op Toevoegen.
    5. Typ onder Voer de objectnamen in die u wilt selecteren, typ de naam van de nieuwe groep en klik vervolgens op OK.
    6. Zorg ervoor dat de groep is geselecteerd onder Groeps- of gebruikersnamen, klik om Toestaan voor de leesmachtiging te selecteren en klik vervolgens op OK.
    7. Sluit het venster ADSI Bewerken .
  4. Voer de LDAP-query opnieuw uit.

Status

Dit is zo ontworpen.

Meer informatie

De AAM-functie is standaard uitgeschakeld voor het ingebouwde beheerdersaccount in Windows Vista en in Windows Server 2008. Daarnaast is de AAM-functie ingeschakeld voor andere accounts die lid zijn van de ingebouwde groep Administrators.

Voer de volgende opdracht uit in een opdrachtpromptvenster om dit te controleren.

whoami /all

Als de AAM-functie is ingeschakeld voor het gebruikersaccount, lijkt de uitvoer op het volgende.

USER INFORMATION
----------------

User Name SID 
============== ==============================================
MyDomain\MyUser S-1-5-21-2146773085-903363285-719344707-326360

GROUP INFORMATION
-----------------

Group Name Type SID Attributes 
============================================= ================ ================================================= ===============================================================
Everyone Well-known group S-1-1-0 Mandatory group, Enabled by default, Enabled group 
BUILTIN\Administrators Alias S-1-5-32-544 Group used for deny only

De ingebouwde groep Administrators heeft het volgende kenmerk:

Group used for deny only

De groep Domeinadministrators wordt weergegeven als ingeschakelde groep met 'Verplichte groep, Standaard ingeschakeld, ingeschakeld' in whoami /all, maar is echt uitgeschakeld voor ACL's toestaan. Dit is een bekend probleem in Windows Server 2008 R2 en Windows Server 2012.

Op basis van deze uitvoer is de AAM-functie ingeschakeld voor het gebruikersaccount dat u hebt gebruikt om de LDAP-query uit te voeren. Wanneer u de LDAP-query uitvoert, gebruikt u een gefilterd toegangstoken in plaats van een volledig toegangstoken. Zelfs als de machtiging Voor volledig beheer voor de groep Administrators wordt verleend aan het gebruikersobject, hebt u nog steeds geen machtiging voor volledig beheer. Daarom verkrijgt u slechts een gedeeltelijke lijst met kenmerken.