驗證后模擬用戶端的概觀,以及建立全域對象安全性設定

本文討論驗證 后模擬客戶 端和 建立全域對象 用戶權力。

適用:Windows Server 2012 R2
原始 KB 編號: 821546

摘要

本文討論「驗證后模擬用戶端」和「建立全域物件」用戶權力。 這些新的安全性設定最初是在 Windows 2000 Service Pack 4 (SP4) 中引進,並有助於提高 Windows 2000 中的安全性。 本文說明新的安全性設定,也包含一些可能發生之已知問題的資訊,以及如何進行疑難解答。

重要事項

當您使用預設網域原則或 群組原則 套用「驗證后模擬用戶端」和「建立全域物件」用戶權力時,請考慮下列問題:

  • 「驗證后模擬用戶端」和「建立全域物件」用戶權力僅適用於執行 Windows 2000 SP4 或更新版本的電腦。

  • 如果計算機執行的是 Windows 2000 Service Pack 2 (SP2) 或更新版本,您可以使用預設網域原則或 群組原則,將[驗證后模擬用戶端] 和 [建立全域物件] 安全性設定套用至環境中的計算機。 請注意,雖然您可以在包含 Windows 2000 SP2 和 Windows 2000 Service Pack 3 (SP3) 型電腦的環境中部署安全性設定,但安全性設定 適用於 Windows 2000 SP4 型計算機。 這些設定不適用於執行 Windows 2000 SP2 或 Windows 2000 SP3 的電腦。

  • 請勿使用預設網域原則或其他 群組原則,將這兩個新的用戶權力套用至執行 Windows 2000 或 Windows 2000 Service Pack 1 (SP1) 的計算機。 請注意,如果您使用預設網域原則或不同的 群組原則,將這些用戶權力套用至執行 Windows 2000 或 Windows 2000 Service Pack 1 (SP1) 的計算機,則原則安全性設定的傳播會失敗。 也就是說,原則不會傳播到 Windows 2000 或 Windows 2000 SP1 計算機,而且用戶權力不會顯示在 [本機安全性設定] 嵌入式管理單元中。 如果您使用預設網域原則或其他 群組原則,將這兩個新的用戶權力套用至執行 Windows 2000 或 Windows 2000 Service Pack 1 (SP1) 的計算機,可能會發生下列案例:

    • 位於相同 群組原則 物件中且目標為 Windows 2000 或 Windows 2000 Service Pack 1 (SP1) 裝置的其他安全策略設定,不會傳播至目的地裝置。

    • 其他安全策略設定,這些設定是透過在將傳播的裝置上,使用其他組策略 (月臺、網域、組織單位) 路徑套用到 Windows 2000 或 Windows 2000 Service Pack 1 (SP1) 路徑。

    • 如果這兩個新的安全性設定是以 Windows 2000 或 Windows 2000 Service Pack 1 (SP1) 裝置為目標,則這些裝置上的本機 MMC 安全性嵌入式管理單元無法正確顯示任何安全性設定。 不過,從其他網域端套用至目標裝置的所有安全性設定 群組原則 物件 (不包含新設定) 仍會套用至這些目標裝置。

  • 同樣地,如果域控制器執行的是 Windows 2000 SP2 或更新版本,您可以使用預設域控制器安全策略,將[驗證后模擬用戶端] 和 [建立全域物件] 安全性設定套用至環境中的域控制器。 請注意,雖然您可以在包含 Windows 2000 SP2 和 Windows 2000 SP3 型域控制器的環境中部署安全性設定,但安全性設定 適用於 Windows 2000 SP4 型域控制器。 這些設定不適用於執行 Windows 2000 SP2 或 Windows 2000 SP3 的域控制器。

問題 1:「模擬用戶端 AfterAuthentication」用戶權力 (SeImpersonatePrivilege)

「驗證后模擬用戶端」用戶權力 (SeImpersonatePrivilege) 是 Windows 2000 SP4 中首次引進的 Windows 2000 安全性設定。 根據預設,裝置的本機 Administrators 群組成員和裝置的本機服務帳戶會獲指派「驗證后模擬用戶端」用戶權力。 下列元件也有此用戶權力:

  • 服務控制管理員所啟動的服務
  • 元件物件模型 (COM) 由 COM 基礎結構啟動且設定為在特定帳戶下執行的伺服器

當您將「驗證後模擬用戶端」用戶許可權指派給使用者時,您可以允許代表該使用者執行的程式模擬用戶端。 此安全性設定有助於防止未經授權的伺服器模擬透過遠端過程調用 (RPC) 或命名管道等方法連線到它的用戶端。 如需 SeImpersonatePrivilege 函式的詳細資訊,請造訪下列 Microsoft 網站:
在驗證後模擬用戶端

如需模擬函式 (的詳細資訊,例如 ImpersonateClient、ImpersonateLoggedOnUser 和 ImpersonateNamedPipeClient) ,請在 Microsoft Platform SDK 檔中搜尋 SeImpersonatePrivilege。 若要檢視此檔,請造訪下列 Microsoft 網站:
在驗證後模擬用戶端

問題 1 的疑難解答

  • 安裝 Windows 2000 SP4 之後,某些使用仿真的程式可能無法正常運作。

    在計算機上安裝 Windows 2000 Service Pack 4 (SP4) 之後,某些使用仿真的程式可能無法正常運作。

    當用來執行程式的使用者帳戶沒有「驗證后模擬用戶端」用戶權力時,就可能發生此問題。

    在執行 Windows 2000 Service Pack 3 (SP3) 及更早版本的電腦上,不需要用戶權力即可模擬用戶端。 因此,在您安裝 Windows 2000 SP4 之後,某些使用仿真的程式可能無法正常運作。

    若要解決此問題,請識別用來執行程式的用戶帳戶,然後將「驗證后模擬用戶端」用戶許可權指派給該用戶帳戶。 如果要執行這項操作,請依照下列步驟執行:

    1. 按兩下 [開始],指向 [ 程式],指向 [ 系統管理工具],然後按兩下 [ 本機安全策略]
    2. 展開 [ 本機原則],然後按兩下 [ 用戶權力指派]
    3. 在右窗格中,按兩下 [ 驗證后模擬用戶端]
    4. 在 [ 本機安全策略設定] 對話框中,按兩下 [ 新增]
    5. 在 [ 選取使用者或群組 ] 對話框中,按兩下您要新增的用戶帳戶,按兩下 [ 新增],然後按兩下 [ 確定]
    6. 按一下確定

    注意事項

    若要針對無法判斷用來執行程式的用戶帳戶,以及要確認您遇到的徵兆是由用戶權力所造成的情況進行疑難解答,請將「驗證后模擬用戶端」用戶許可權指派給 Everyone 群組,然後啟動程式。 如果程式正常運作,您遇到的問題可能是由新的安全性設定所造成。

  • 當您在 Visual Studio .NET 中偵錯 Web 應用程式時,會收到「嘗試執行專案時發生錯誤」錯誤訊息。

問題 2:「建立全域物件」用戶權力 (SeCreateGlobalPrivilege)

SeCreateGlobalPrivilege () 的「建立全域物件」用戶權力) 是 Windows 2000 SP4 中首次引進的 Windows 2000 安全性設定。 用戶帳戶必須要有用戶權力,才能建立全域檔案對應和符號連結物件。 請注意,使用者仍然可以建立會話特定物件,而不需要被指派此用戶權力。 根據預設,由服務控制管理員啟動之 Administrators 群組、系統帳戶和服務的成員會獲指派「建立全域物件」用戶權力。

問題 2 的疑難解答

  • 安裝 Windows 2000 SP4 之後,某些程式可能無法正常運作。

    在您的計算機上安裝 Windows 2000 Service Pack 4 (SP4) 之後,某些程式可能無法正常運作。 當用來執行程式的使用者帳戶沒有「建立全域物件」用戶權力時,可能會發生此問題。

    若要解決此問題,請識別用來執行程式的用戶帳戶,然後將「建立全域物件」用戶許可權指派給該用戶帳戶。 如果要執行這項操作,請依照下列步驟執行:

    1. 按兩下 [開始],指向 [ 程式],指向 [ 系統管理工具],然後按兩下 [ 本機安全策略]
    2. 展開 [ 本機原則],然後按兩下 [ 用戶權力指派]
    3. 在右窗格中,按兩下 [ 建立全域物件]
    4. 在 [ 本機安全策略設定] 對話框中,按兩下 [ 新增]
    5. 在 [ 選取使用者或群組 ] 對話框中,按兩下您要新增的用戶帳戶,按兩下 [ 新增],然後按兩下 [ 確定]
    6. 按一下確定

    注意事項

    若要疑難解答無法判斷用來執行程式的用戶帳戶,以及您想要確認您遇到的徵兆是由用戶權力所造成的情況,請將「建立全域物件」用戶許可權指派給 Everyone 群組,然後啟動程式。 如果程式正常運作,您遇到的問題可能是由新的安全性設定所造成。

  • 當您在終端機服務會話中搜尋 Office XP 檔中的剪輯時,會收到「記憶體不足」錯誤訊息。

  • 當您在安裝 McAfee 父代控件之後重新啟動 Windows 2000 伺服器型電腦時,計算機會停止回應 (停止當機) 。