在驗證之後模擬用戶端,以及建立全域物件安全性設定 (821546 的概述。EN-US 2.2)

本文討論如何在 驗證之後模擬用戶端 ,以及 建立全域物件 的使用者權限。

原始產品版本:   Windows Server 2012 R2
原始 KB 編號:   821546

摘要

本文討論「驗證之後模擬用戶端」和「建立全域物件」的使用者權限。 這兩項新的安全性設定第一次是在 Windows 2000 Service Pack 4 (SP4 中引入) 並協助您提高 Windows 2000 中的安全性。 本文說明新的安全性設定,也包含有關可能發生的一些已知問題的資訊,以及如何進行疑難排解。

重要

當您使用「預設網域原則」或「群組原則」來套用「驗證之後模擬用戶端」和「建立全域物件」使用者權限時,請考慮下列問題:

  • 「在驗證之後模擬用戶端」和「建立全域物件」使用者權限只適用于執行 Windows 2000 SP4 或更新版本的電腦。

  • 如果電腦執行的是 Windows 2000 Service Pack 2 (SP2) 或更新版本,您可以使用預設網域原則或群組原則,將「在驗證之後模擬用戶端」和「建立全域物件」安全性設定套用至您環境中的電腦。 請注意,雖然您可以在包含 Windows 2000 SP2 和 Windows 2000 Service Pack 3 (SP3) 型電腦的環境中部署安全性設定,但是安全性設定 適用于 Windows 2000 SP4 的電腦。 設定不適用於執行 Windows 2000 SP2 或 Windows 2000 SP3 的電腦。

  • 請勿使用預設網域原則或其他群組原則,將這兩種新使用者權限或兩者都套用至執行 Windows 2000 或 Windows 2000 Service Pack 1 (SP1) 的電腦。 請注意,如果您使用預設網域原則或不同的群組原則,將這些使用者權限套用至執行 Windows 2000 或 Windows 2000 Service Pack 1 (SP1) 的電腦,則傳播原則的安全性設定會失敗。 也就是說,原則不會傳播至 Windows 2000 或 Windows 2000 SP1 電腦,而且使用者權限不會顯示在 [本機安全性設定] 嵌入式管理單元中。 如果您使用預設網域原則或其他群組原則,將這兩個新使用者權限或兩者都套用至執行 Windows 2000 或 Windows 2000 Service Pack 1 (SP1) 的電腦,則可能會發生下列情況:

    • 位於相同群組原則物件中,且目標 Windows 2000 或 Windows 2000 Service Pack 1 (SP1) 裝置的其他安全性原則設定不會傳播至目的地裝置。

    • 使用其他群組原則套用的其他安全性原則設定,這些設定會透過 SDOU (網站、網域、組織單位) 路徑,將會傳播的 Windows 2000 或 Windows 2000 Service Pack 1 (SP1) 裝置。

    • 如果兩個或兩個新安全性設定的目標是以 Windows 2000 或 Windows 2000 Service Pack 1 (SP1) 裝置,這些裝置上的本機 MMC 安全性嵌入式管理單元將無法正確顯示任何安全性設定。 不過,從其他網域端群組原則物件套用到目標裝置的所有安全性設定,如果不包含新設定) (仍會套用到這些目標裝置。

  • 同樣地,您可以使用預設的網域控制站安全性原則,將「在驗證後模擬用戶端」和「建立全域物件」安全性設定套用至環境中的網域控制站(如果網域控制站執行 Windows 2000 SP2 或更新版本)。 請注意,雖然您可以在包含 Windows 2000 SP2 和 Windows 2000 SP3 型網域控制站的環境中部署安全性設定,但是安全性設定 適用于 windows 2000 SP4 的網域控制站。 設定不適用於執行 Windows 2000 SP2 或 Windows 2000 SP3 的網域控制站。

問題1: "模擬用戶端 AfterAuthentication" 使用者權利 (SeImpersonatePrivilege)

「在驗證之後模擬用戶端」使用者權利 (SeImpersonatePrivilege) 是一種 Windows 2000 安全性設定,第一次是在 Windows 2000 SP4 中引入。 依預設,裝置的本機系統管理員群組成員和裝置的本機服務帳戶會指派「在驗證之後模擬用戶端」使用者權利。 下列元件也具有此使用者許可權:

  • 服務控制管理員所啟動的服務
  • 元件物件模型由 COM 基礎結構所啟動,且設定為在特定帳戶下執行的 COM) 伺服器 (

當您指派「驗證之後模擬用戶端」的使用者許可權給使用者時,允許代表該使用者執行的程式模仿用戶端。 這種安全性設定可協助防止未經授權的伺服器類比用戶端透過遠端過程呼叫 (RPC) 或具名管道等方法來連接至該用戶端。 如需 SeImpersonatePrivilege 函數的相關資訊,請流覽下列 Microsoft 網站:
https://msdn2.microsoft.com/library/aa375728.aspx
如需模擬功能 (例如 ImpersonateClient、ImpersonateLoggedOnUser 及 ImpersonateNamedPipeClient) 的詳細資訊,請在 Microsoft Platform SDK 檔中搜尋 SeImpersonatePrivilege。 若要查看此檔,請流覽下列 Microsoft 網站:
https://msdn2.microsoft.com/library/aa375728.aspx

問題1疑難排解

  • 在您安裝 Windows 2000 SP4 後,某些使用模擬的程式可能無法正常運作。

    在您的電腦上安裝 Windows 2000 Service Pack 4 (SP4) 之後,使用模擬的某些程式可能無法正常運作。

    在用來執行此程式的使用者帳戶不具備「驗證之後模擬用戶端」的使用者權利時,可能會發生此問題。

    在執行 Windows 2000 Service Pack 3 (SP3) 及更早版本的電腦上,類比用戶端不需要使用者權利。 因此,在您安裝 Windows 2000 SP4 後,使用模擬的某些程式可能無法正常運作。

    若要解決此問題,請識別用來執行程式的使用者帳戶,然後將「驗證之後模擬用戶端」使用者許可權指派給該使用者帳戶。 若要執行此動作,請依照下列步驟執行:

    1. 按一下 [ 開始],指向 [ 程式],指向 [系統 管理工具],然後按一下 [ 本機安全性原則]。
    2. 展開 [ 本機原則],然後按一下 [ 使用者權利指派]。
    3. 在右窗格中,按兩下 [在 驗證後模擬用戶端]。
    4. 在 [ 本機安全性原則設定 ] 對話方塊中,按一下 [ 新增]。
    5. 在 [ 選取使用者或群組 ] 對話方塊中,按一下您要新增的使用者帳戶,按一下 [ 新增],然後按一下 [確定]
    6. 按一下 [確定]。

    注意

    若要疑難排解您無法判斷用來執行程式之使用者帳戶的情況,以及您想要驗證使用者許可權是否導致您所遇到的問題,請將「驗證之後模擬用戶端」使用者許可權指派給 Everyone 群組,然後再啟動程式。 如果程式運作正常,您所遇到的問題可能是由新的安全性設定所造成。

  • 當您在 Visual Studio .NET 中調試 web 應用程式時,收到「嘗試執行專案時發生錯誤」錯誤訊息。

問題2:「建立全域物件」使用者權利 (SeCreateGlobalPrivilege)

「建立全域物件」使用者權利 (SeCreateGlobalPrivilege) 是 windows 2000 SP4 中第一次引進的 Windows 2000 安全性設定。 使用者帳戶需要使用者許可權,才能在終端機服務會話中建立全域物件。 請注意,使用者仍可建立會話特有的物件,而不指派此使用者權利。 依預設,系統管理員群組的成員、系統帳戶,以及由服務控制管理員所啟動的服務會指派「建立全域物件」使用者權利。

問題2疑難排解

  • 安裝 Windows 2000 SP4 後,某些程式可能無法正常運作。

    在您的電腦上安裝 Windows 2000 Service Pack 4 (SP4) 之後,某些程式可能無法正常運作。 在用來執行此程式的使用者帳戶沒有「建立全域物件」使用者權利時,可能會發生此問題。

    若要解決此問題,請識別用來執行程式的使用者帳戶,然後將「建立全域物件」使用者許可權指派給該使用者帳戶。 若要執行此動作,請依照下列步驟執行:

    1. 按一下 [ 開始],指向 [ 程式],指向 [系統 管理工具],然後按一下 [ 本機安全性原則]。
    2. 展開 [ 本機原則],然後按一下 [ 使用者權利指派]。
    3. 在右窗格中,按兩下 [ 建立全域物件]。
    4. 在 [ 本機安全性原則設定 ] 對話方塊中,按一下 [ 新增]。
    5. 在 [ 選取使用者或群組 ] 對話方塊中,按一下您要新增的使用者帳戶,按一下 [ 新增],然後按一下 [確定]
    6. 按一下 [確定]。

    注意

    若要進行疑難排解:您無法判斷用來執行程式的使用者帳戶,以及您想要驗證使用者許可權是否導致您所遇到的問題,請將「建立全域物件」使用者許可權指派給 Everyone 群組,然後啟動此程式。 如果程式運作正常,您所遇到的問題可能是由新的安全性設定所造成。

  • 當您在終端機服務會話中搜尋 Office XP 檔中的剪貼畫時,收到「沒有足夠的記憶體」錯誤訊息。

  • 安裝 McAfee 父母控制後,當您重新開機 Windows 2000 伺服器的電腦時,電腦停止回應 (懸掛) 。