Требования к функциям управления сетью на контроллерах домен Active Directory

При вызове одной из функций управления сетью, перечисленных в этом разделе, на контроллере домена под управлением Active Directory доступ к защищаемому объекту будет разрешен или запрещен на основе списка управления доступом (ACL) для объекта. (Списки управления доступом указываются в каталоге.)

К запросам и обновлениям информации применяются различные требования к доступу.

Запросы

Для запросов ACL по умолчанию разрешает всем пользователям, прошедшим проверку подлинности, и членам группы "Доступ, совместимый с Windows 2000" для чтения и перечисления сведений. Затрагиваются перечисленные ниже функции.

• NetGroupEnum, NetGroupGetInfo, NetGroupGetUsers
• NetLocalGroupEnum, NetLocalGroupGetInfo, NetLocalGroupGetMembers
• NetQueryDisplayInformation
• NetSessionGetInfo (только уровни 1 и 2)
• NetShareEnum (только для уровней 2 и 502)
• NetUserEnum, NetUserGetGroups, NetUserGetInfo, NetUserGetLocalGroups, NetUserModalsGet
• NetWkstaGetInfo, NetWkstaUserEnum

Анонимный доступ к сведениям о группе требует явного добавления анонимного пользователя в группу "Доступ, совместимый с Windows 2000". Это связано с тем, что анонимные маркеры не включают идентификатор безопасности группы "Все".

Windows 2000: По умолчанию группа "Доступ, совместимый до Windows 2000", включает в себя всех участников. Это обеспечивает анонимный доступ (анонимный вход) к информации, если система разрешает анонимный доступ. Администраторы могут в любое время удалить всех из группы "Доступ, совместимый до Windows 2000". Удаление всех из группы ограничивает доступ к информации только пользователям, прошедшим проверку подлинности. Дополнительные сведения об анонимном доступе см. в разделе Идентификаторы безопасности и известные идентификаторы безопасности.

Вы можете переопределить системное значение по умолчанию, задав для следующего раздела реестра значение 1:

\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LsaEveryoneIncludesAnonymous = 1

Дополнительные сведения об анонимном доступе к сведениям о группе при вызове этих двух функций см. в разделах NetWkstaGetInfo и NetWkstaUserEnum .

Обновления

Для обновлений ACL по умолчанию позволяет только администраторам домена и операторам учетных записей записывать сведения. Одним из исключений является то, что пользователи могут изменить свой пароль и задать поле usri*_usr_comment. Другим исключением является то, что операторы учетных записей не могут изменять учетные записи администрирования. Затрагиваются перечисленные ниже функции.

• NetGroupAdd, NetGroupAddUser, NetGroupDel, NetGroupDelUser, NetGroupSetInfo, NetGroupSetUsers
• NetLocalGroupAdd, NetLocalGroupAddMembers, NetLocalGroupDel, NetLocalGroupDelMembers, NetLocalGroupSetInfo, NetLocalGroupSetMembers
• NetMessageBufferSend
• NetUserAdd, NetUserChangePassword, NetUserDel, NetUserModalsSet, NetUserSetGroups, NetUserSetInfo

Как правило, для успешного выполнения вызовов NetUserModalsSet, NetUserSetInfo, NetGroupSetInfo и NetLocalGroupSetInfo вызывающие объекты должны иметь доступ на запись ко всему объекту. Для более точного управления доступом следует рассмотреть возможность использования ADSI. Дополнительные сведения о ADSI см. в разделе Интерфейсы службы Active Directory.

Дополнительные сведения об управлении доступом к защищаемым объектам см. в разделе контроль доступа, Привилегии и Защищаемыеобъекты. Дополнительные сведения о вызове функций, которым требуются права администратора, см. в разделе Запуск с особыми привилегиями.