Active Directory 域控制器上的网络管理功能要求
如果在运行 Active Directory 的域控制器上调用本主题中列出的网络管理功能之一,则会根据对象的访问控制列表 (ACL) 允许或拒绝对安全对象的访问。 (ACL 在目录中指定。)
不同的访问要求适用于信息查询和信息更新。
查询
对于查询,默认 ACL 允许所有经过身份验证的用户和“Pre-Windows 2000 兼容访问”组的成员读取和枚举信息。 下面列出的函数将受到影响:
- NetGroupEnum、 NetGroupGetInfo、 NetGroupGetUsers
- NetLocalGroupEnum、 NetLocalGroupGetInfo、 NetLocalGroupGetMembers
- NetQueryDisplayInformation
- NetSessionGetInfo (级别 1 和 2 仅)
- NetShareEnum (级别 2 和 502 仅)
- NetUserEnum、 NetUserGetGroups、 NetUserGetInfo、 NetUserGetLocalGroups、 NetUserModalsGet
- NetWkstaGetInfo、 NetWkstaUserEnum
对组信息的匿名访问要求将用户匿名显式添加到“Windows 2000 之前的兼容访问”组。 这是因为匿名令牌不包括每个人组 SID。
Windows 2000: 默认情况下,“Windows 2000 之前的兼容访问”组将“每个人”作为成员。 如果系统允许匿名访问,这将启用匿名访问 (匿名登录) 信息。 管理员可以随时从“Pre-Windows 2000 Compatible Access”组中删除“每个人”。 从组中删除“所有人”将信息访问限制为经过身份验证的用户。 有关匿名访问的详细信息,请参阅 安全标识符 和 已知 SID。
可以通过将注册表中的以下项设置为值 1 来替代系统默认值:
\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LsaEveryoneIncludesAnonymous = 1
有关调用这两个函数时匿名访问组信息的其他信息,请参阅 NetWkstaGetInfo 和 NetWkstaUserEnum 。
更新
对于更新,默认 ACL 仅允许域管理员和帐户操作员写入信息。 一个例外是用户可以更改自己的密码并设置 usri*_usr_comment字段。 另一个例外是帐户操作员无法修改管理帐户。 下面列出的函数将受到影响:
- NetGroupAdd、 NetGroupAddUser、 NetGroupDel、 NetGroupDelUser、 NetGroupSetInfo、 NetGroupSetUsers
- NetLocalGroupAdd、 NetLocalGroupAddMembers、 NetLocalGroupDel、 NetLocalGroupDelMembers、 NetLocalGroupSetInfo、 NetLocalGroupSetMembers
- NetMessageBufferSend
- NetUserAdd、 NetUserChangePassword、 NetUserDel、 NetUserModalsSet、 NetUserSetGroups、 NetUserSetInfo
通常,调用方必须对整个 对象具有写入访问权限,才能成功调用 NetUserModalsSet、 NetUserSetInfo、 NetGroupSetInfo 和 NetLocalGroupSetInfo 。 为了进行精细的访问控制,应考虑使用 ADSI。 有关 ADSI 的详细信息,请参阅 Active Directory 服务接口。
有关控制对安全对象的访问的详细信息,请参阅访问控制、特权和安全对象。 有关调用需要管理员权限的函数的详细信息,请参阅 使用特殊特权运行。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈