Požadavky pro funkce správy sítě na řadičích domény služby Active Directory

Pokud voláte jednu z funkcí správy sítě uvedených v tomto tématu na řadiči domény se službou Active Directory, přístup k zabezpečitelnému objektu je povolen nebo odepřen na základě seznamu řízení přístupu (ACL) seznamu řízení přístupu (ACL) objektu. (ACL jsou definovány v adresáři.)

Různé požadavky na přístup platí pro dotazy na informace a aktualizace informací.

Dotazy

U dotazů výchozí seznam ACL umožňuje ověřeným uživatelům a členům skupiny "Pre-Windows 2000 compatible access" číst a vyhledávat informace. Ovlivněné jsou následující funkce:

• NetGroupEnum, NetGroupGetInfo, NetGroupGetUsers
• NetLocalGroupEnum, NetLocalGroupGetInfo, NetLocalGroupGetMembers
• NetQueryDisplayInformation
• netSessionGetInfo (pouze úrovně 1 a 2)
• NetShareEnum (pouze úrovně 2 a 502)
• NetUserEnum, NetUserGetGroups, NetUserGetInfo, NetUserGetLocalGroups, NetUserModalsGet
• NetWkstaGetInfo, NetWkstaUserEnum

Anonymní přístup k informacím o skupině vyžaduje, aby byl uživatel explicitně přidán do skupiny Kompatibilní přístup před Windows 2000. Důvodem je to, že anonymní tokeny nezahrnují identifikátor SID skupiny Všichni.

Windows 2000: Ve výchozím nastavení skupina "Přístup kompatibilní s Před Windows 2000" zahrnuje všechny jako člena. To umožňuje anonymní přístup (anonymní přihlášení) k informacím, pokud systém povoluje anonymní přístup. Správci můžou kdykoli odebrat všechny ze skupiny Přístup kompatibilní se systémem Windows 2000. Odebráním všech ze skupiny omezíte přístup k informacím jenom ověřeným uživatelům. Další informace o anonymním přístupu naleznete v tématu Identifikátory zabezpečení a identifikátory SID Well-Known.

Výchozí nastavení systému můžete přepsat nastavením následujícího klíče v registru na hodnotu 1:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\KaždýVčetněAnonymních = 1

Další informace o anonymním přístupu ke skupinovým informacím při volání těchto dvou funkcí najdete v tématech NetWkstaGetInfo a NetWkstaUserEnum.

Aktualizace

U aktualizací umožňuje výchozí seznam řízení přístupu (ACL) zapisovat informace pouze správcům domény a operátorům účtů. Jednou z výjimek je, že uživatelé můžou změnit vlastní heslo a nastavit pole usri*_usr_comment. Další výjimkou je, že operátoři účtů nemohou upravovat účty pro správu. Ovlivněné jsou následující funkce:

• NetGroupAdd, NetGroupAddUser, NetGroupDel, NetGroupDelUser, NetGroupSetInfo, NetGroupSetUsers
• NetLocalGroupAdd, NetLocalGroupAddMembers, NetLocalGroupDel, NetLocalGroupDelMembers, NetLocalGroupSetInfo, NetLocalGroupSetMembers
• NetMessageBufferSend
• NetUserAdd, NetUserChangePassword, NetUserDel, NetUserModalsSet, NetUserSetGroups, NetUserSetInfo

Volající obvykle musí mít přístup k zápisu do celého objektu, aby volání NetUserModalsSet, NetUserSetInfo, NetGroupSetInfo a NetLocalGroupSetInfo byla úspěšná. Pro jemné řízení přístupu byste měli zvážit použití rozhraní ADSI. Další informace o rozhraních ADSI naleznete v tématu rozhraní služby Active Directory.

Další informace o řízení přístupu k zabezpečitelným objektům naleznete v tématu Řízení přístupu, Oprávněnía Zabezpečitelné objekty. Další informace o volání funkcí, které vyžadují oprávnění správce, naleznete v tématu Spuštěno se speciálními oprávněními.