Requisitos para funções de gerenciamento de rede em controladores de Domínio do Active Directory

Se você chamar uma das funções de gerenciamento de rede listadas neste tópico em um controlador de domínio que executa o Active Directory, o acesso a um objeto protegível será permitido ou negado com base na ACL ( lista de controle de acesso ) do objeto. (As ACLs são especificadas no diretório.)

Diferentes requisitos de acesso se aplicam a consultas de informações e atualizações de informações.

Consultas

Para consultas, a ACL padrão permite que todos os usuários autenticados e membros do grupo "Acesso compatível com Pré-Windows 2000" leiam e enumerem informações. As funções listadas a seguir são afetadas:

• NetGroupEnum, NetGroupGetInfo, NetGroupGetUsers
• NetLocalGroupEnum, NetLocalGroupGetInfo, NetLocalGroupGetMembers
• NetQueryDisplayInformation
• NetSessionGetInfo (somente níveis 1 e 2)
• NetShareEnum (somente níveis 2 e 502)
• NetUserEnum, NetUserGetGroups, NetUserGetInfo, NetUserGetLocalGroups, NetUserModalsGet
• NetWkstaGetInfo, NetWkstaUserEnum

O acesso anônimo às informações do grupo exige que o usuário Anônimo seja adicionado explicitamente ao grupo "Acesso compatível com o Windows 2000 pré-Windows 2000". Isso ocorre porque os tokens anônimos não incluem o SID de Grupo de Todos.

Windows 2000: Por padrão, o grupo "Acesso compatível com Pré-Windows 2000" inclui Todos como membro. Isso habilita o acesso anônimo (Logon Anônimo) a informações se o sistema permitir acesso anônimo. Os administradores podem remover Todos do grupo "Acesso Compatível pré-Windows 2000" a qualquer momento. A remoção de Todos do grupo restringe o acesso de informações somente a usuários autenticados. Para obter mais informações sobre acesso anônimo, consulte Identificadores de segurança e SIDs conhecidos.

Você pode substituir o padrão do sistema definindo a seguinte chave no Registro como o valor 1:

\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LsaEveryoneIncludesAnonymous = 1

Consulte NetWkstaGetInfo e NetWkstaUserEnum para obter informações adicionais sobre acesso anônimo a informações de grupo ao chamar essas duas funções.

Atualizações

Para atualizações, a ACL padrão permite que apenas administradores de domínio e operadores de conta escrevam informações. Uma exceção é que os usuários podem alterar sua própria senha e definir o campo usri*_usr_comment. Outra exceção é que os Operadores de Conta não podem modificar contas de administração. As funções listadas a seguir são afetadas:

• NetGroupAdd, NetGroupAddUser, NetGroupDel, NetGroupDelUser, NetGroupSetInfo, NetGroupSetUsers
• NetLocalGroupAdd, NetLocalGroupAddMembers, NetLocalGroupDel, NetLocalGroupDelMembers, NetLocalGroupSetInfo, NetLocalGroupSetMembers
• NetMessageBufferSend
• NetUserAdd, NetUserChangePassword, NetUserDel, NetUserModalsSet, NetUserSetGroups, NetUserSetInfo

Normalmente, os chamadores devem ter acesso de gravação ao objeto inteiro para que as chamadas para NetUserModalsSet, NetUserSetInfo, NetGroupSetInfo e NetLocalGroupSetInfo tenham êxito. Para um controle de acesso mais fino, você deve considerar o uso de ADSI. Para obter mais informações sobre ADSI, consulte Interfaces de serviço do Active Directory.

Para obter mais informações sobre como controlar o acesso a objetos protegíveis, consulte Controle de Acesso, Privilégios e Objetos Protegíveis. Para obter mais informações sobre como chamar funções que exigem privilégios de administrador, consulte Executando com privilégios especiais.