Aracılığıyla paylaş

Bir etki alanı denetleyicisinde LDAP sorgusu çalıştırdığınızda kısmi bir öznitelik listesi elde edebilirsiniz

Bu makalede, bir etki alanı denetleyicisinde LDAP sorgusu çalıştırdığınızda kısmi bir öznitelik listesi elde ettiğinizde sorun için geçici çözümler sağlanır.

Özgün KB numarası: 976063

Belirtiler

Windows Server 2008 tabanlı bir etki alanı denetleyicisinde Basit Dizin Erişim Protokolü (LDAP) isteği çalıştırdığınızda, kısmi bir öznitelik listesi alırsınız. Ancak, Windows Server 2003 tabanlı bir etki alanı denetleyicisinde aynı LDAP sorgusunu çalıştırırsanız, yanıtta tam bir öznitelik listesi alırsınız.

Not

Bu sorguyu etki alanı denetleyicisinden veya Windows Vista veya Windows Server 2008 çalıştıran bir istemci bilgisayardan çalıştırabilirsiniz.

LDAP sorgusunu çalıştırmak için kullandığınız kullanıcı hesabı aşağıdaki özelliklere sahiptir:

  • Hesap, yerleşik Yöneticiler grubunun bir üyesidir.
  • Hesap, yerleşik yönetici hesabı değildir.
  • Hesap, Domain Admins grubunun bir üyesidir.
  • Kullanıcı nesnesinin isteğe bağlı erişim denetim listesi (DACL), Administrators grubu için tam denetim izni içerir.
  • Üzerinde sorguladığınız nesnenin etkili izinleri, kullanıcının tam denetim iznine sahip olduğunu gösterir.

Neden

Bu sorun, Yönetici Onay Modu (AAM) özelliğinin Windows Vista ve Windows Server 2008'de kullanıcı hesabı için etkinleştirilmesi nedeniyle oluşur. "Kullanıcı Hesabı Denetimi" (UAC) olarak da bilinir. Yerel kaynak erişimi için güvenlik sisteminin bir geri döngü kodu vardır, bu nedenle LDAP oturumu için etkileşimli oturum açma oturumundan etkin Erişim Belirtecini kullanır ve LDAP sorgu işlemi sırasında erişim denetimleri gerçekleştirir.

AAM özelliği hakkında daha fazla bilgi için aşağıdaki Microsoft TechNet Web sitesini ziyaret edin: https://technet.microsoft.com/library/cc772207(WS.10).aspx

Geçici çözüm

Geçici bir çözüm olarak aşağıdaki yöntemlerden birini kullanın.

1. Yöntem

  1. Komut İstemi penceresini açmak için Yönetici olarak çalıştır seçeneğini kullanın.
  2. Komut İstemi penceresinde LDAP sorgusunu çalıştırın.

2. Yöntem

Aşağıdaki güvenlik ayarı için İstem yok değerini belirtin:
Kullanıcı Hesabı Denetimi: Yönetici Onay Modu'ndaki yöneticiler için yükseltme isteminin davranışı
Bu güvenlik ayarının değerini belirtme hakkında daha fazla bilgi için aşağıdaki Microsoft TechNet Web sitesini ziyaret edin: https://technet.microsoft.com/library/cc772207(WS.10).aspx

Yöntem 3

  1. Etki alanında yeni bir grup oluşturun.
  2. Etki Alanı Yöneticileri grubunu bu yeni gruba ekleyin.
  3. Bu yeni gruba etki alanı bölümünde Okuma izni verin. Bunu yapmak için şu adımları izleyin:
    1. Başlat'a tıklayın, Çalıştır'a tıklayın, adsiedit.msc yazın ve tamam'a tıklayın.
    2. ADSI Düzenle penceresinde DC=Ad,DC>=<com'a sağ tıklayın ve özellikler'e tıklayın.
    3. Özellikler penceresinde Güvenlik sekmesine tıklayın.
    4. Güvenlik sekmesinde Ekle'ye tıklayın.
    5. Seçecek nesne adlarını girin altında, yeni grubun adını yazın ve Tamam'a tıklayın.
    6. Grup veya kullanıcı adları'nın altında grubun seçili olduğundan emin olun, Okuma izni için İzin Ver'i seçmek için tıklayın ve ardından Tamam'a tıklayın.
    7. ADSI Düzenleme penceresini kapatın.
  4. LDAP sorgusunu yeniden çalıştırın.

Durum

Bu davranış, tasarım gereğidir.

Daha Fazla Bilgi

Varsayılan olarak, AAM özelliği Windows Vista ve Windows Server 2008'de yerleşik yönetici hesabı için devre dışıdır. Ayrıca, AAM özelliği yerleşik Administrators grubunun üyesi olan diğer hesaplar için etkinleştirilir.

Bunu doğrulamak için bir Komut İstemi penceresinde aşağıdaki komutu çalıştırın.

whoami /all

Kullanıcı hesabı için AAM özelliği etkinleştirildiyse, çıkış aşağıdakine benzer olur.

USER INFORMATION
----------------

User Name SID 
============== ==============================================
MyDomain\MyUser S-1-5-21-2146773085-903363285-719344707-326360

GROUP INFORMATION
-----------------

Group Name Type SID Attributes 
============================================= ================ ================================================= ===============================================================
Everyone Well-known group S-1-1-0 Mandatory group, Enabled by default, Enabled group 
BUILTIN\Administrators Alias S-1-5-32-544 Group used for deny only

Yerleşik Administrators grubu aşağıdaki özniteliğe sahiptir:

Group used for deny only

"Etki Alanı Yöneticileri" grubu, whoami /all içinde "Zorunlu grup, Varsayılan olarak etkin, Etkin grup" olan etkin grup olarak gösterilir, ancak ACE'lere izin ver için gerçekten devre dışıdır. Bu, Windows Server 2008 R2 ve Windows Server 2012'de bilinen bir sorundur.

Bu çıkışa bağlı olarak, LDAP sorgusunu çalıştırmak için kullandığınız kullanıcı hesabında AAM özelliği etkindir. LDAP sorgusunu çalıştırdığınızda, tam erişim belirteci yerine filtrelenmiş erişim belirteci kullanırsınız. Kullanıcı nesnesine Administrators grubu için tam denetim izni verilse bile tam denetim izniniz yoktur. Bu nedenle, yalnızca kısmi bir öznitelik listesi alırsınız.