Поделиться через

Обзор олицетворения клиента после проверки подлинности и создания параметров безопасности глобальных объектов

В этой статье рассматривается олицетворения клиента после проверки подлинности и создания прав пользователя глобальных объектов .

Исходный номер базы знаний: 821546

Итоги

В этой статье рассматриваются права пользователя "Олицетворения клиента после проверки подлинности" и "Создание глобальных объектов". Эти новые параметры безопасности впервые появились в Windows 2000 с пакетом обновления 4 (SP4) и помогают повысить безопасность в Windows 2000. В этой статье описываются новые параметры безопасности, а также сведения о некоторых известных проблемах, которые могут возникнуть и как их устранить.

Внимание

Учитывайте следующие проблемы, когда вы применяете права пользователя "Олицетворить клиент после проверки подлинности" и "Создание глобальных объектов" с помощью политики домена по умолчанию или групповой политики:

  • Права пользователя "Олицетворить клиент после проверки подлинности" и "Создать глобальные объекты" применяются только к компьютерам под управлением Windows 2000 с пакетом обновления 4 или более поздней версии.

  • Вы можете использовать политику домена по умолчанию или групповую политику для применения параметров безопасности "Олицетворения клиента после проверки подлинности" и "Создание глобальных объектов" к компьютерам в вашей среде, если компьютеры работают под управлением Windows 2000 с пакетом обновления 2 (SP2) или более поздней версии. Обратите внимание, что хотя вы можете развернуть параметры безопасности в среде, содержащей компьютеры под управлением Windows 2000 с пакетом обновления 2 (SP2) и Windows 2000 с пакетом обновления 3 (SP3), параметры безопасности применяются только к компьютерам под управлением Windows 2000 с пакетом обновления 4 (SP4). Параметры не применяются к компьютерам под управлением Windows 2000 с пакетом обновления 2 (SP2) или Windows 2000 с пакетом обновления 3 (SP3).

  • Не используйте политику домена по умолчанию или другую групповую политику для применения или обоих новых прав пользователя к компьютерам под управлением Windows 2000 или Windows 2000 с пакетом обновления 1 (SP1). Обратите внимание, что если вы используете политику домена по умолчанию или другую групповую политику для применения этих прав пользователей к компьютерам под управлением Windows 2000 или Windows 2000 с пакетом обновления 1 (SP1), распространение параметров безопасности политики завершается сбоем. То есть политика не распространяется на компьютеры Windows 2000 или Windows 2000 с пакетом обновления 1 (SP1) и права пользователя не отображаются в оснастке "Локальные параметры безопасности". Следующие сценарии могут возникнуть, если вы используете политику домена по умолчанию или другую групповую политику для применения либо обоих новых прав пользователя к компьютерам под управлением Windows 2000 или Windows 2000 с пакетом обновления 1 (SP1):

    • Дополнительные параметры политики безопасности, расположенные в одном объекте групповой политики и предназначенные для устройств с Windows 2000 или Windows 2000 с пакетом обновления 1 (SP1) не распространяется на конечные устройства.

    • Дополнительные параметры политики безопасности, применяемые с помощью других групповых политик вдоль пути SDOU (сайт, домен, подразделение) к устройствам Windows 2000 или Windows 2000 с пакетом обновления 1 (SP1), которые будут распространяться.

    • Если оба этих новых параметра безопасности предназначены для устройств Windows 2000 или Windows 2000 с пакетом обновления 1 (SP1), локальные оснастки безопасности MMC на этих устройствах не могут правильно отображать какие-либо параметры безопасности. Однако все параметры безопасности, применяемые к целевым устройствам из других объектов групповой политики на стороне домена (которые не содержат новые параметры), по-прежнему применяются к этим целевым устройствам.

  • Аналогичным образом можно использовать политику безопасности контроллера домена по умолчанию для применения параметров безопасности контроллера домена по умолчанию для применения параметров безопасности "Олицетворения клиента после проверки подлинности" и "Создание глобальных объектов" к контроллерам домена в вашей среде, если контроллеры домена работают под управлением Windows 2000 с пакетом обновления 2 (SP2) или более поздней версии. Обратите внимание, что хотя вы можете развернуть параметры безопасности в среде, содержащей контроллеры домена под управлением Windows 2000 с пакетом обновления 2 (SP2) и Windows 2000 с пакетом обновления 3 (SP3), параметры безопасности применяются только к контроллерам домена под управлением Windows 2000 с пакетом обновления 4 (SP4). Параметры не применяются к контроллерам домена, работающим под управлением Windows 2000 с пакетом обновления 2 (SP2) или Windows 2000 с пакетом обновления 3 (SP3).

Проблема 1: "Олицетворение клиента послеAuthentication" User Right (SeImpersonatePrivilege)

Право пользователя "Олицетворить клиент после проверки подлинности" (SeImpersonatePrivilege) — это параметр безопасности Windows 2000, который впервые появился в Windows 2000 с пакетом обновления 4 (SP4). По умолчанию члены локальной группы администраторов устройства и локальная учетная запись службы устройства назначаются пользователю "Олицетворить клиент после проверки подлинности". Следующие компоненты также имеют это право пользователя:

  • Службы, запущенные диспетчером управления службами
  • Серверы объектной модели компонента (COM), запущенные инфраструктурой COM и настроенные для запуска под определенной учетной записью

При назначении пользователю права "Олицетворения клиента после проверки подлинности" можно разрешить программам, которые выполняются от имени этого пользователя, чтобы олицетворить клиента. Этот параметр безопасности помогает предотвратить олицетворение несанкционированных серверов, которые подключаются к нему с помощью таких методов, как удаленные вызовы процедур (RPC) или именованные каналы. Дополнительные сведения о функции SeImpersonatePrivilege см. на следующем веб-сайте Майкрософт:
Олицетворение клиента после проверки подлинности

Дополнительные сведения о функциях олицетворения (например, ImpersonateClient, ImpersonateLoggedOnUser и ImpersonateNamedPipeClient), найдите SeImpersonatePrivilege в документации по пакету SDK для Платформы Майкрософт. Чтобы просмотреть эту документацию, посетите следующий веб-сайт Майкрософт:
Олицетворение клиента после проверки подлинности

Устранение неполадок с проблемой 1

  • Некоторые программы, использующие олицетворение, могут работать неправильно после установки Windows 2000 с пакетом обновления 4 (SP4).

    После установки Windows 2000 с пакетом обновления 4 (SP4) на компьютере некоторые программы, использующие олицетворение, могут работать неправильно.

    Эта проблема может возникать в ситуациях, когда учетная запись пользователя, используемая для запуска программы, не имеет права пользователя "Олицетворить клиент после проверки подлинности".

    На компьютерах под управлением Windows 2000 с пакетом обновления 3 (SP3) и более ранних версий пользователь не требует олицетворения клиента. Поэтому некоторые программы, использующие олицетворение, могут работать неправильно после установки Windows 2000 с пакетом обновления 4 (SP4).

    Чтобы устранить эту проблему, определите учетную запись пользователя, используемую для запуска программы, а затем назначьте пользователю право "Олицетворить клиент после проверки подлинности" этому пользователю. Для этого выполните следующие шаги.

    1. Нажиме кнопку Пуск, наведите указатель мыши на пункт Программы, а затем — на Администрирование и выберите Локальная политика безопасности.
    2. Разверните локальные политики и выберите пункт "Назначение прав пользователя".
    3. В правой области дважды щелкните олицетворение клиента после проверки подлинности.
    4. В диалоговом окне "Параметр локальной политики безопасности" нажмите кнопку "Добавить".
    5. В диалоговом окне "Выбор пользователей" или "Группа" щелкните учетную запись пользователя, которую вы хотите добавить, нажмите кнопку "Добавить" и нажмите кнопку "ОК".
    6. Нажмите кнопку ОК.

    Примечание.

    Чтобы устранить неполадки, когда не удается определить учетную запись пользователя, используемую для запуска программы, и где вы хотите убедиться, что симптомы, которые возникают у пользователя, вызваны правом пользователя, назначьте пользователю "Олицетворение клиента после проверки подлинности" право на группу "Все", а затем запустите программу. Если программа работает правильно, возникающая проблема может быть вызвана новым параметром безопасности.

  • При отладке веб-приложения в Visual Studio .NET появится сообщение об ошибке "Ошибка при попытке запустить проект".

Проблема 2. Право пользователя "Создание глобальных объектов" (SeCreateGlobalPrivilege)

Право пользователя Create global objects (SeCreateGlobalPrivilege) — это параметр безопасности Windows 2000, который впервые появился в Windows 2000 с пакетом обновления 4 (SP4). Для создания глобального сопоставления файлов и объектов символьной ссылки требуется право пользователя. Обратите внимание, что пользователи по-прежнему могут создавать объекты, относящиеся к сеансу, без назначения этому пользователю права. По умолчанию членам группы "Администраторы", системной учетной записи и службам, запущенным диспетчером управления службами, назначается право пользователя "Создать глобальные объекты".

Устранение неполадок для проблемы 2

  • Некоторые программы могут работать неправильно после установки Windows 2000 с пакетом обновления 4 (SP4).

    После установки Windows 2000 с пакетом обновления 4 (SP4) на компьютере некоторые программы могут работать неправильно. Эта проблема может возникать в ситуациях, когда учетная запись пользователя, используемая для запуска программы, не имеет права пользователя "Создать глобальные объекты".

    Чтобы устранить эту проблему, определите учетную запись пользователя, используемую для запуска программы, а затем назначьте пользователю право "Создать глобальные объекты" этому пользователю. Для этого выполните следующие шаги.

    1. Нажиме кнопку Пуск, наведите указатель мыши на пункт Программы, а затем — на Администрирование и выберите Локальная политика безопасности.
    2. Разверните локальные политики и выберите пункт "Назначение прав пользователя".
    3. В правой области дважды щелкните "Создать глобальные объекты".
    4. В диалоговом окне "Параметр локальной политики безопасности" нажмите кнопку "Добавить".
    5. В диалоговом окне "Выбор пользователей" или "Группа" щелкните учетную запись пользователя, которую вы хотите добавить, нажмите кнопку "Добавить" и нажмите кнопку "ОК".
    6. Нажмите кнопку ОК.

    Примечание.

    Чтобы устранить неполадки, когда не удается определить учетную запись пользователя, используемую для запуска программы, и где вы хотите проверить, вызваны ли симптомы, вызванные пользователем, назначьте пользователю право "Создать глобальные объекты" право на группу "Все", а затем запустите программу. Если программа работает правильно, возникающая проблема может быть вызвана новым параметром безопасности.

  • При поиске клипов в документе Office XP в сеансе служб терминалов появляется сообщение об ошибке "Недостаточно памяти".

  • Компьютер перестает отвечать (зависает) при перезапуске компьютера на основе Сервера Windows 2000 после установки McAfee Родительский контроль.