Active Directory 網域 控制器上的網路管理功能需求

如果您在執行 Active Directory 的網域控制站上呼叫本主題中列出的其中一個網路管理功能，則會根據物件的存取控制清單 (ACL) ，允許或拒絕安全性實體物件的存取權。 (ACL 是在 directory 中指定。)

不同的存取需求適用于資訊查詢和資訊更新。

查詢

針對查詢，預設 ACL 允許所有已驗證的使用者和「Windows 2000 相容存取」群組的成員讀取和列舉資訊。 下列函式受到影響：

• NetGroupEnum、 NetGroupGetInfo、 NetGroupGetUsers
• NetLocalGroupEnum、 NetLocalGroupGetInfo、 NetLocalGroupGetMembers
• NetQueryDisplayInformation
• NetSessionGetInfo (層級 1 和 2 僅)
• NetShareEnum (層級 2 和 502 僅)
• NetUserEnum、 NetUserGetGroups、 NetUserGetInfo、 NetUserGetLocalGroups、 NetUserModalsGet
• NetWkstaGetInfo、 NetWkstaUserEnum

群組資訊的匿名存取需要明確將使用者匿名新增至「Windows 2000 前相容存取」群組。 這是因為匿名權杖不包含所有人群組 SID。

Windows 2000： 根據預設，「Windows 2000 前相容存取」群組包含「所有人」作為成員。 如果系統允許匿名存取，這可讓匿名存取 (匿名登入) 資訊。 系統管理員可以隨時從「Windows 2000 相容存取」群組中移除所有人。 從群組移除 [所有人] 只會限制已驗證使用者的資訊存取。 如需匿名存取的詳細資訊，請參閱 安全性識別碼 和 已知 SID。

您可以將登錄中的下列機碼設定為值 1，以覆寫系統預設值：

\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LsaEveryoneIncludesAnonymous = 1

如需在呼叫這兩個函式時匿名存取群組資訊的詳細資訊，請參閱 NetWkstaGetInfo 和 NetWkstaUserEnum 。

更新

針對更新，預設 ACL 只允許網域系統管理員和帳戶操作員寫入資訊。 其中一個例外狀況是使用者可以變更自己的密碼，並設定 usri*_usr_comment 欄位。 另一個例外狀況是帳戶操作員無法修改系統管理帳戶。 下列函式受到影響：

• NetGroupAdd、NetGroupAddUser、NetGroupDel、NetGroupDelUser、NetGroupSetInfo、NetGroupSetUsers
• NetLocalGroupAdd、NetLocalGroupAddMembers、NetLocalGroupDel、NetLocalGroupDelMembers、NetLocalGroupSetInfo、NetLocalGroupSetMembers
• NetMessageBufferSend
• NetUserAdd、 NetUserChangePassword、 NetUserDel、 NetUserModalsSet、 NetUserSetGroups、 NetUserSetInfo

一般而言，呼叫端必須具有整個物件的寫入權限，才能成功呼叫 NetUserModalsSet、 NetUserSetInfo、 NetGroupSetInfo 和 NetLocalGroupSetInfo 。 如需更精細的存取控制，您應該考慮使用 ADSI。 如需 ADSI 的詳細資訊，請參閱 Active Directory 服務介面。

如需控制安全性物件存取權的詳細資訊，請參閱存取控制、許可權和安全性實體物件。 如需呼叫需要系統管理員許可權之函式的詳細資訊，請參閱 以特殊許可權執行。