Поделиться через

При выполнении запроса LDAP к контроллеру домена вы получите частичный список атрибутов.

В этой статье приводятся обходные решения для проблемы при выполнении запроса LDAP к контроллеру домена, вы получите частичный список атрибутов.

Исходный номер базы знаний: 976063

Симптомы

При выполнении запроса протокола LDAP для контроллера домена на основе Windows Server 2008 вы получите частичный список атрибутов. Однако при выполнении того же запроса LDAP к контроллеру домена на основе Windows Server 2003 вы получите полный список атрибутов в ответе.

Примечание.

Этот запрос можно выполнить с контроллера домена или с клиентского компьютера под управлением Windows Vista или Windows Server 2008.

Учетная запись пользователя, используемая для выполнения запроса LDAP, имеет следующие свойства:

  • Учетная запись входит в встроенную группу администраторов.
  • Учетная запись не является встроенной учетной записью администратора.
  • Учетная запись входит в группу администраторов домена.
  • Список управления доступом (DACL) пользовательского объекта содержит разрешение на полный контроль для группы администраторов.
  • Действующие разрешения объекта, который вы запрашиваете, показывают, что у пользователя есть разрешение на полный контроль.

Причина

Эта проблема возникает, так как функция режима утверждения администратора (AAM) включена для учетной записи пользователя в Windows Vista и в Windows Server 2008. Он также известен как "Контроль учетных записей пользователей" (UAC). Для доступа к локальным ресурсам система безопасности имеет код обратного цикла, поэтому он использует активный маркер доступа из интерактивного сеанса входа в сеанс LDAP и проверки доступа во время обработки запросов LDAP.

Дополнительные сведения о функции AAM см. на следующем веб-сайте Microsoft TechNet: https://technet.microsoft.com/library/cc772207(WS.10).aspx

Обходное решение

Для решения проблемы используйте один из указанных ниже способов.

Метод 1

  1. Используйте параметр "Запуск от имени администратора", чтобы открыть окно командной строки.
  2. Запустите запрос LDAP в окне командной строки.

Метод 2.

Укажите значение "Нет запроса" для следующего параметра безопасности:
Контроль учетных записей пользователей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором
Дополнительные сведения о том, как указать значение этого параметра безопасности, посетите следующий веб-сайт Microsoft TechNet: https://technet.microsoft.com/library/cc772207(WS.10).aspx

Метод 3

  1. Создайте новую группу в домене.
  2. Добавьте группу "Администраторы домена" в эту новую группу.
  3. Предоставьте этому новому группе разрешение на чтение для секции домена. Для этого выполните следующие действия.
    1. Нажмите кнопку "Пуск", нажмите кнопку "Запустить", введите adsiedit.msc и нажмите кнопку "ОК".
    2. В окне редактирования ADSI щелкните правой кнопкой мыши DC=<Name>, DC=com и выберите пункт "Свойства".
    3. В окне "Свойства" щелкните вкладку "Безопасность".
    4. На вкладке Безопасность нажмите Добавить.
    5. В разделе "Введите имена объектов для выбора", введите имя новой группы и нажмите кнопку "ОК".
    6. Убедитесь, что группа выбрана в группе или именах пользователей, нажмите кнопку "Разрешить для разрешения на чтение" и нажмите кнопку "ОК".
    7. Закройте окно редактирования ADSI.
  4. Снова запустите запрос LDAP.

Состояние

Такое поведение предусмотрено программой.

Дополнительная информация

По умолчанию функция AAM отключена для встроенной учетной записи администратора в Windows Vista и в Windows Server 2008. Кроме того, функция AAM включена для других учетных записей, входящих в встроенную группу администраторов.

Чтобы проверить это, выполните следующую команду в окне командной строки.

whoami /all

Если функция AAM включена для учетной записи пользователя, выходные данные выглядят следующим образом.

USER INFORMATION
----------------

User Name SID 
============== ==============================================
MyDomain\MyUser S-1-5-21-2146773085-903363285-719344707-326360

GROUP INFORMATION
-----------------

Group Name Type SID Attributes 
============================================= ================ ================================================= ===============================================================
Everyone Well-known group S-1-1-0 Mandatory group, Enabled by default, Enabled group 
BUILTIN\Administrators Alias S-1-5-32-544 Group used for deny only

Встроенная группа администраторов имеет следующий атрибут:

Group used for deny only

Группа "Администраторы домена" отображается как включенная группа с "Обязательной группой, включенной по умолчанию, включенной группой" в whoami /all, но на самом деле отключена для allow ACEs. Эта известная проблема в Windows Server 2008 R2 и Windows Server 2012.

На основе этих выходных данных учетная запись пользователя, используемая для выполнения запроса LDAP, включает функцию AAM. При выполнении запроса LDAP вместо полного маркера доступа используйте отфильтрованный маркер доступа. Даже если разрешение на полный контроль для группы администраторов предоставляется объекту пользователя, у вас по-прежнему нет разрешения на полный контроль. Поэтому вы получаете только частичный список атрибутов.