Active Directory 域控制器上的網路管理功能需求

如果您在執行 Active Directory 的域控制器上呼叫本主題中列出的其中一個網路管理功能，則會根據物件的 存取控制清單 （ACL） 來允許或拒絕存取 安全性實體 物件。 （ACL 是在目錄中指定的。）

不同的存取需求適用於資訊查詢和資訊更新。

查詢

針對查詢，預設的 ACL 允許所有已驗證的用戶及“Windows 2000 前相容存取”群組的成員讀取和列舉資訊。 下列所列的函式會受到影響：

• NetGroupEnum、NetGroupGetInfo、NetGroupGetUsers
• NetLocalGroupEnum、NetLocalGroupGetInfo、NetLocalGroupGetMembers
• NetQueryDisplayInformation
• NetSessionGetInfo （僅限層級 1 和 2）
• NetShareEnum （僅限層級 2 和 502）
• NetUserEnum、NetUserGetGroups、NetUserGetInfo、NetUserGetLocalGroups、NetUserModalsGet
• NetWkstaGetInfo、NetWkstaUserEnum

群組資訊的匿名存取需要將使用者匿名明確新增至「Windows 2000 前相容存取」群組。 這是因為匿名令牌不包含「Everyone 群組」的 SID。

Windows 2000： 根據預設，「Windows 2000 前相容存取」群組包含 Everyone 為成員。 如果系統允許匿名存取，這將允許對於資訊進行匿名登入。 系統管理員可以隨時從「Windows 2000 前相容存取」群組中移除所有人。 從群組移除 [所有人] 只會限制已驗證使用者的資訊存取。 如需匿名存取的詳細資訊，請參閱 安全性識別碼 和 Well-Known SID。

您可以將登入中的下列機碼設定為值 1，以覆寫系統預設值：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous = 1

如需匿名存取群組資訊的詳細資料，請在呼叫這兩個函式時參閱 NetWkstaGetInfo 與 NetWkstaUserEnum。

更新

針對更新，預設 ACL 只允許網域系統管理員和帳戶作員寫入資訊。 其中一個例外是使用者可以變更自己的密碼，並設定 usri*_usr_comment 字段。 另一個例外是帳戶操作員無法修改管理員帳戶。 下列所列的函式會受到影響：

• NetGroupAdd、NetGroupAddUser、NetGroupDel、NetGroupDelUser、NetGroupSetInfoNetGroupSetUsers
• NetLocalGroupAdd、NetLocalGroupAddMembers、NetLocalGroupDel、NetLocalGroupDelMembers、NetLocalGroupSetInfo、NetLocalGroupSetMembers
• NetMessageBufferSend
• NetUserAdd、NetUserChangePassword、NetUserDel、NetUserModalsSet、NetUserSetGroups、NetUserSetInfo

呼叫者通常必須具有整個物件的寫入許可權，才能呼叫 netUserModalsSet、NetUserSetInfo、NetGroupSetInfo 和 NetLocalGroupSetInfo 成功。 為了更精細的訪問控制，您應該考慮使用 ADSI。 如需 ADSI 的詳細資訊，請參閱 Active Directory 服務介面。

如需控制安全性實體物件存取的詳細資訊，請參閱 訪問控制、許可權和 安全性實體物件。 如需呼叫需要系統管理員許可權之函式的詳細資訊，請參閱 以特殊許可權執行。