Compartilhar via

Visão geral das configurações de representação de um cliente após a autenticação e criação de objetos globais

Este artigo discute os direitos de usuário Representar um cliente após a autenticação e Criar objetos globais.

Número original do KB: 821546

Resumo

Este artigo discute os direitos de usuário "Representar um cliente após a autenticação" e "Criar objetos globais". Essas novas configurações de segurança foram introduzidas pela primeira vez no Windows 2000 Service Pack 4 (SP4) e ajudam a aumentar a segurança no Windows 2000. Este artigo descreve as novas configurações de segurança e também contém informações sobre alguns problemas conhecidos que podem ocorrer e como solucioná-los.

Importante

Considere os seguintes problemas ao aplicar os direitos de usuário "Representar um cliente após a autenticação" e "Criar objetos globais" usando a Política de Domínio Padrão ou a Política de Grupo:

  • Os direitos de usuário "Representar um cliente após a autenticação" e "Criar objetos globais" só se aplicam a computadores que executam o Windows 2000 SP4 ou posterior.

  • Você pode usar a Diretiva de Domínio Padrão ou a Diretiva de Grupo para aplicar as configurações de segurança "Representar um cliente após a autenticação" e "Criar objetos globais" aos computadores em seu ambiente se os computadores estiverem executando o Windows 2000 Service Pack 2 (SP2) ou posterior. Observe que, embora você possa implantar as configurações de segurança em um ambiente que contenha computadores baseados no Windows 2000 SP2 e no Windows 2000 Service Pack 3 (SP3), as configurações de segurança só se aplicam a computadores baseados no Windows 2000 SP4. As configurações não se aplicam a computadores que executam o Windows 2000 SP2 ou o Windows 2000 SP3.

  • Não use a Diretiva de Domínio Padrão ou outra Diretiva de Grupo para aplicar um ou ambos os novos direitos de usuário a computadores que executam o Windows 2000 ou o Windows 2000 Service Pack 1 (SP1). Observe que, se você usar a Diretiva de Domínio Padrão ou uma Diretiva de Grupo diferente para aplicar esses direitos de usuário a computadores que executam o Windows 2000 ou o Windows 2000 Service Pack 1 (SP1), a propagação das configurações de segurança da diretiva falhará. Ou seja, a diretiva não é propagada para os computadores Windows 2000 ou Windows 2000 SP1 e os direitos de usuário não são exibidos no snap-in Configurações de Segurança Local. Os seguintes cenários podem ocorrer se você usar a Diretiva de Domínio Padrão ou outra Diretiva de Grupo para aplicar um ou ambos os novos direitos de usuário a computadores que executam o Windows 2000 ou o Windows 2000 Service Pack 1 (SP1):

    • Configurações de diretiva de segurança adicionais localizadas no mesmo Objeto de Diretiva de Grupo e direcionadas a dispositivos Windows 2000 ou Windows 2000 Service Pack 1 (SP1) não são propagadas para os dispositivos de destino.

    • Configurações de diretiva de segurança adicionais que são aplicadas usando outras Diretivas de Grupo ao longo do caminho SDOU (Site, Domínio, Unidade Organizacional) para os dispositivos Windows 2000 ou Windows 2000 Service Pack 1 (SP1) que serão propagados.

    • Se uma ou ambas as novas configurações de segurança forem direcionadas a dispositivos Windows 2000 ou Windows 2000 Service Pack 1 (SP1), o snap-in de segurança do MMC local nesses dispositivos não poderá exibir corretamente nenhuma configuração de segurança. No entanto, todas as configurações de segurança aplicadas aos dispositivos de destino de outros Objetos de Política de Grupo do lado do domínio (que não contêm as novas configurações) ainda serão aplicadas a esses dispositivos de destino.

  • Da mesma forma, você pode usar a diretiva de segurança Controlador de Domínio Padrão para aplicar as configurações de segurança "Representar um cliente após a autenticação" e "Criar objetos globais" aos controladores de domínio em seu ambiente se os controladores de domínio estiverem executando o Windows 2000 SP2 ou posterior. Observe que, embora você possa implantar as configurações de segurança em um ambiente que contenha controladores de domínio baseados no Windows 2000 SP2 e no Windows 2000 SP3, as configurações de segurança só se aplicam aos controladores de domínio baseados no Windows 2000 SP4. As configurações não se aplicam a controladores de domínio que executam o Windows 2000 SP2 ou o Windows 2000 SP3.

Problema 1: o direito de usuário "Representar um cliente após autenticação" (SeImpersonatePrivilege)

O direito de usuário "Representar um cliente após autenticação" (SeImpersonatePrivilege) é uma configuração de segurança do Windows 2000 que foi introduzida pela primeira vez no Windows 2000 SP4. Por padrão, os membros do grupo Administradores local do dispositivo e da conta de serviço local do dispositivo recebem o direito de usuário "Representar um cliente após a autenticação". Os seguintes componentes também têm esse direito de usuário:

  • Serviços iniciados pelo Service Control Manager
  • Servidores COM (Component Object Model) que são iniciados pela infraestrutura COM e que são configurados para serem executados em uma conta específica

Ao atribuir o direito de usuário "Representar um cliente após a autenticação" a um usuário, você permite que os programas executados em nome desse usuário representem um cliente. Essa configuração de segurança ajuda a impedir que servidores não autorizados representem clientes que se conectam a ela por meio de métodos como RPC (chamadas de procedimento remoto) ou pipes nomeados. Para obter mais informações sobre a função SeImpersonatePrivilege, visite o seguinte site da Microsoft:
Representar um cliente após a autenticação

Para obter mais informações sobre funções Impersonate (como ImpersonateClient, ImpersonateLoggedOnUser e ImpersonateNamedPipeClient), pesquise SeImpersonatePrivilege na documentação do SDK da Plataforma Microsoft. Para exibir esta documentação, visite o seguinte site da Microsoft:
Representar um cliente após a autenticação

Solução de problemas para o problema 1

  • Alguns programas que usam representação podem não funcionar corretamente após a instalação do Windows 2000 SP4.

    Depois de instalar o Windows 2000 Service Pack 4 (SP4) no computador, alguns programas que usam representação podem não funcionar corretamente.

    Esse problema pode ocorrer em situações em que a conta de usuário usada para executar o programa não tem o direito de usuário "Representar um cliente após autenticação".

    Em computadores que executam o Windows 2000 Service Pack 3 (SP3) e versões anteriores, um direito de usuário não é necessário para representar um cliente. Portanto, alguns programas que usam representação podem não funcionar corretamente após a instalação do Windows 2000 SP4.

    Para resolver esse problema, identifique a conta de usuário usada para executar o programa e atribua o direito de usuário "Representar um cliente após autenticação" a essa conta de usuário. Para fazer isso, siga estas etapas:

    1. Clique em Iniciar, aponte para Programas, aponte para Ferramentas Administrativas e clique em Política de Segurança Local.
    2. Expanda Políticas Locais e clique em Atribuição de Direitos de Usuário.
    3. No painel direito, clique duas vezes em Representar um cliente após a autenticação.
    4. Na caixa de diálogo Configuração de Diretiva de Segurança Local, clique em Adicionar.
    5. Na caixa de diálogo Selecionar Usuários ou Grupo , clique na conta de usuário que você deseja adicionar, clique em Adicionar e em OK.
    6. Clique em OK.

    Observação

    Para solucionar situações em que você não pode determinar a conta de usuário usada para executar o programa e em que deseja verificar se os sintomas que você está enfrentando são causados pelo direito de usuário, atribua o direito de usuário "Representar um cliente após a autenticação" ao grupo Todos e inicie o programa. Se o programa funcionar corretamente, o problema que você está enfrentando pode ser causado pela nova configuração de segurança.

  • Você recebe uma mensagem de erro "Erro ao tentar executar o projeto" ao depurar um aplicativo Web no Visual Studio .NET.

Problema 2: o direito de usuário "Criar objetos globais" (SeCreateGlobalPrivilege)

O direito de usuário "Criar objetos globais" (SeCreateGlobalPrivilege) é uma configuração de segurança do Windows 2000 que foi introduzida pela primeira vez no Windows 2000 SP4. O direito de usuário é necessário para que uma conta de usuário crie mapeamento de arquivo global e objetos de link simbólico. Observe que os usuários ainda podem criar objetos específicos da sessão sem receber esse direito de usuário. Por padrão, os membros do grupo Administradores, da conta do Sistema e dos Serviços iniciados pelo Gerenciador de Controle de Serviços recebem o direito de usuário "Criar objetos globais".

Solução de problemas para o problema 2

  • Alguns programas podem não funcionar corretamente após a instalação do Windows 2000 SP4.

    Depois de instalar o Windows 2000 Service Pack 4 (SP4) no computador, alguns programas podem não funcionar corretamente. Esse problema pode ocorrer em situações em que a conta de usuário usada para executar o programa não tem o direito de usuário "Criar objetos globais".

    Para resolver esse problema, identifique a conta de usuário usada para executar o programa e atribua o direito de usuário "Criar objetos globais" a essa conta de usuário. Para fazer isso, siga estas etapas:

    1. Clique em Iniciar, aponte para Programas, aponte para Ferramentas Administrativas e clique em Política de Segurança Local.
    2. Expanda Políticas Locais e clique em Atribuição de Direitos de Usuário.
    3. No painel direito, clique duas vezes em Criar objetos globais.
    4. Na caixa de diálogo Configuração de Diretiva de Segurança Local, clique em Adicionar.
    5. Na caixa de diálogo Selecionar Usuários ou Grupo , clique na conta de usuário que você deseja adicionar, clique em Adicionar e em OK.
    6. Clique em OK.

    Observação

    Para solucionar situações em que você não pode determinar a conta de usuário usada para executar o programa e em que deseja verificar se os sintomas que você está enfrentando são causados pelo direito de usuário, atribua o direito de usuário "Criar objetos globais" ao grupo Todos e inicie o programa. Se o programa funcionar corretamente, o problema que você está enfrentando pode ser causado pela nova configuração de segurança.

  • Você recebe uma mensagem de erro "Memória insuficiente" ao pesquisar clipes em um documento do Office XP em uma sessão dos Serviços de Terminal.

  • O computador para de responder (trava) quando você reinicia um computador baseado no Windows 2000 Server após a instalação do McAfee Parental Control.

  • Last updated on