Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
При вызове одной из функций управления сетями, перечисленных в этом разделе, на контроллере домена, работающем в Active Directory, доступ к защищаемому объекту разрешен или запрещен на основе списка управления доступом (ACL) для объекта. (Списки контроля доступа (ACL) указываются в каталоге.)
Различные требования к доступу применяются к запросам информации и обновлениям информации.
Запросы
Для запросов ACL по умолчанию позволяет всем прошедшим проверку подлинности пользователям и членам группы "Доступ, совместимый с предыдущими версиями Windows 2000" читать и перечислять информацию. Подвержены влиянию следующие функции:
- NetGroupEnum, NetGroupGetInfo, NetGroupGetUsers
- NetLocalGroupEnum, NetLocalGroupGetInfo, NetLocalGroupGetMembers
- NetQueryDisplayInformation
- NetSessionGetInfo (только уровни 1 и 2)
- NetShareEnum (только уровни 2 и 502)
- NetUserEnum, NetUserGetGroups, NetUserGetInfo, NetUserGetLocalGroups, NetUserModalsGet
- NetWkstaGetInfo, NetWkstaUserEnum
Анонимный доступ к информации о группе требует явного добавления пользователя "Anonymous" в группу "Доступ, совместимый с Windows 2000". Это связано с тем, что анонимные токены не включают идентификатор безопасности группы "Все".
Windows 2000: По умолчанию в группу «Доступ с совместимостью до Windows 2000» входят все пользователи. Это обеспечивает анонимный доступ (анонимный вход) к информации, если система разрешает анонимный доступ. Администраторы могут удалять всех пользователей из группы "Доступ с совместимостью с Windows 2000" в любое время. Удаление всех пользователей из группы ограничивает доступ к информации только прошедшим проверку подлинности пользователям. Для получения дополнительной информации об анонимном доступе см. разделы Идентификаторы безопасности и Well-KnownSIDs.
Вы можете переопределить значение по умолчанию системы, установив следующий ключ в реестре на значение 1:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\ВсеВключаяАнонимных = 1
Для получения дополнительных сведений об анонимном доступе к информации о группе при вызове этих двух функций см. NetWkstaGetInfo и NetWkstaUserEnum.
Обновления
Для обновлений ACL по умолчанию позволяет записывать сведения только администраторам домена и операторам учетных записей. Одним из исключений является то, что пользователи могут изменить свой пароль и задать поле usri*_usr_comment. Другим исключением является то, что операторы учетных записей не могут изменять учетные записи администрирования. Влияние на следующие функции:
- NetGroupAdd, NetGroupAddUser, NetGroupDel, NetGroupDelUser, NetGroupSetInfo, NetGroupSetUsers
- NetLocalGroupAdd, NetLocalGroupAddMembers, NetLocalGroupDel, NetLocalGroupDelMembers, NetLocalGroupSetInfo, NetLocalGroupSetMembers
- NetMessageBufferSend
- NetUserAdd, NetUserChangePassword, NetUserDel, NetUserModalsSet, NetUserSetGroups, NetUserSetInfo
Как правило, вызывающие должны иметь права на запись ко всему объекту для успешного выполнения вызовов NetUserModalsSet, NetUserSetInfo, NetGroupSetInfo и NetLocalGroupSetInfo. Для более точного управления доступом следует рассмотреть возможность использования ADSI. Дополнительные сведения о ADSI см. в интерфейсах службы Active Directory.
Для получения более подробной информации об управлении доступом к защищаемым объектам см. Контроль доступа, Привилегиии Защищаемые объекты. Дополнительные сведения о вызовах функций, требующих прав администратора, см. в разделе Запуск с специальными привилегиями.