本文讨论 身份验证 后模拟客户端并 创建全局对象 用户权限。
原始 KB 数: 821546
总结
本文讨论“身份验证后模拟客户端”和“创建全局对象”用户权限。 这些新的安全设置首先在 Windows 2000 Service Pack 4(SP4)中引入,有助于提高 Windows 2000 的安全性。 本文介绍新的安全设置,还包含有关可能出现的一些已知问题以及如何对其进行故障排除的信息。
重要
使用默认域策略或组策略应用“身份验证后模拟客户端”和“创建全局对象”用户权限时,请考虑以下问题:
“身份验证后模拟客户端”和“创建全局对象”用户权限仅适用于运行 Windows 2000 SP4 或更高版本的计算机。
如果计算机运行的是 Windows 2000 Service Pack 2(SP2)或更高版本,则可以使用默认域策略或组策略将“身份验证后模拟客户端”和“创建全局对象”安全设置应用于环境中的计算机。 请注意,虽然你可以在包含基于 Windows 2000 SP2 和 Windows 2000 Service Pack 3(SP3)的计算机的环境中部署安全设置,但安全设置 仅适用于 基于 Windows 2000 SP4 的计算机。 这些设置不适用于运行 Windows 2000 SP2 或 Windows 2000 SP3 的计算机。
请勿使用默认域策略或其他组策略将这两项新用户权限应用于运行 Windows 2000 或 Windows 2000 Service Pack 1(SP1)的计算机。 请注意,如果使用默认域策略或其他组策略将这些用户权限应用于运行 Windows 2000 或 Windows 2000 Service Pack 1(SP1)的计算机,则策略的安全设置的传播将失败。 也就是说,策略不会传播到 Windows 2000 或 Windows 2000 SP1 计算机,并且用户权限不会显示在“本地安全设置”管理单元中。 如果使用默认域策略或其他组策略将这两个新用户权限应用于运行 Windows 2000 或 Windows 2000 Service Pack 1(SP1)的计算机,则可能会发生以下情况:
位于同一组策略对象中且面向 Windows 2000 或 Windows 2000 Service Pack 1(SP1)设备的其他安全策略设置不会传播到目标设备。
将传播的 Windows 2000 或 Windows 2000 Service Pack 1(SP1)设备使用 SDOU(站点、域、组织单位)路径应用的其他安全策略设置。
如果这两个新安全设置都针对 Windows 2000 或 Windows 2000 Service Pack 1 (SP1) 设备,则这些设备上的本地 MMC 安全管理单元无法正确显示任何安全设置。 但是,从其他域端组策略对象(不包含新设置)应用于目标设备的所有安全设置仍将应用于这些目标设备。
同样,如果域控制器正在运行 Windows 2000 SP2 或更高版本,则可以使用默认域控制器安全策略将“身份验证后模拟客户端”和“创建全局对象”安全设置应用到环境中的域控制器。 请注意,虽然你可以在包含 Windows 2000 SP2 和基于 Windows 2000 SP3 的域控制器的环境中部署安全设置,但安全设置 仅适用于 基于 Windows 2000 SP4 的域控制器。 这些设置不适用于运行 Windows 2000 SP2 或 Windows 2000 SP3 的域控制器。
问题 1:“模拟客户端 AfterAuthentication”用户权限(SeImpersonatePrivilege)
“身份验证后模拟客户端”用户权限(SeImpersonatePrivilege)是在 Windows 2000 SP4 中首次引入的 Windows 2000 安全设置。 默认情况下,设备本地管理员组的成员和设备本地服务帐户将分配“身份验证后模拟客户端”用户权限。 以下组件还具有此用户权限:
- 由服务控制管理器启动的服务
- 组件对象模型 (COM) 服务器,这些服务器由 COM 基础结构启动,并且配置为在特定帐户下运行
向用户分配“身份验证后模拟客户端”用户权限时,允许代表该用户运行的程序模拟客户端。 此安全设置有助于防止未经授权的服务器模拟通过远程过程调用(RPC)或命名管道等方法连接到它的客户端。 有关 SeImpersonatePrivilege 函数的详细信息,请访问以下Microsoft网站:
在身份验证后模拟客户端
有关 Impersonate 函数(如 ImpersonateClient、ImpersonateLoggedOnUser 和 ImpersonateNamedPipeClient)的详细信息,请在 Microsoft Platform SDK 文档中搜索 SeImpersonatePrivilege。 若要查看本文档,请访问以下Microsoft网站:
在身份验证后模拟客户端
问题 1 疑难解答
安装 Windows 2000 SP4 后,使用模拟的某些程序可能无法正常工作。
在计算机上安装 Windows 2000 Service Pack 4(SP4)后,使用模拟的某些程序可能无法正常工作。
在用于运行程序的用户帐户没有“身份验证后模拟客户端”用户权限时,可能会出现此问题。
在运行 Windows 2000 Service Pack 3(SP3)及更早版本的计算机上,无需用户权限来模拟客户端。 因此,安装 Windows 2000 SP4 后,使用模拟的某些程序可能无法正常工作。
若要解决此问题,请标识用于运行程序的用户帐户,然后将“身份验证后模拟客户端”用户权限分配给该用户帐户。 为此,请按照下列步骤进行操作:
- 单击“开始”,指向“程序”,指向“管理工具”,并单击“本地安全策略”。
- 展开 本地策略,然后单击“ 用户权限分配”。
- 在右窗格中,双击 身份验证后模拟客户端。
- 在 “本地安全策略设置” 对话框中,单击“ 添加”。
- 在“选择用户或组”对话框中,单击要添加的用户帐户,单击“添加”,然后单击“确定”。
- 单击 “确定” 。
注意
若要排查无法确定用于运行程序的用户帐户以及要验证你遇到的症状是否由用户权限引起的情况,请将“身份验证后模拟客户端”用户权限分配给“每个人”组,然后启动程序。 如果程序正常工作,则遇到的问题可能是由新的安全设置引起的。
在 Visual Studio .NET 中调试 Web 应用程序时,会收到“尝试运行项目时出错”错误消息。
问题 2:“创建全局对象”用户权限(SeCreateGlobalPrivilege)
“创建全局对象”用户权限(SeCreateGlobalPrivilege)是在 Windows 2000 SP4 中首次引入的 Windows 2000 安全设置。 用户帐户需要用户权限才能创建全局文件映射和符号链接对象。 请注意,用户仍然可以创建特定于会话的对象,而无需分配此用户权限。 默认情况下,由服务控制管理器启动的管理员组、系统帐户和服务的成员将分配“创建全局对象”用户权限。
问题 2 疑难解答
安装 Windows 2000 SP4 后,某些程序可能无法正常工作。
在计算机上安装 Windows 2000 Service Pack 4(SP4)后,某些程序可能无法正常工作。 当用于运行程序的用户帐户没有“创建全局对象”用户权限时,可能会出现此问题。
若要解决此问题,请标识用于运行程序的用户帐户,然后将“创建全局对象”用户权限分配给该用户帐户。 为此,请按照下列步骤进行操作:
- 单击“开始”,指向“程序”,指向“管理工具”,并单击“本地安全策略”。
- 展开 本地策略,然后单击“ 用户权限分配”。
- 在右窗格中,双击“ 创建全局对象”。
- 在 “本地安全策略设置” 对话框中,单击“ 添加”。
- 在“选择用户或组”对话框中,单击要添加的用户帐户,单击“添加”,然后单击“确定”。
- 单击 “确定” 。
注意
若要排查无法确定用于运行程序的用户帐户以及要验证你遇到的症状是否由用户权限引起的情况,请将“创建全局对象”用户权限分配给“每个人”组,然后启动程序。 如果程序正常工作,则遇到的问题可能是由新的安全设置引起的。
在终端服务会话的 Office XP 文档中搜索剪辑时,会收到“内存不足”错误消息。
安装 McAfee 家长控制后,当你重启基于 Windows 2000 Server 的计算机时,计算机停止响应(挂起)。