DetailPage-MSS-KB

Base de Dados de Conhecimento

ID do artigo: 821546 - Última revisão: terça-feira, 30 de janeiro de 2007 - Revisão: 7.0

Nesta página

Sumário

Este artigo descreve os direitos do usuário "Representar um cliente após autenticação" e "Criar objetos globais". Essas novas configurações de segurança foram apresentadas pela primeira vez no Windows 2000 Service Pack 4 (SP4) e ajudam a aumentar a segurança no Windows 2000. Este artigo descreve as novas configurações de segurança e também contém informações sobre alguns problemas conhecidos que podem ocorrer e sobre como solucioná-los.

Importante Considere os seguintes problemas ao aplicar os direitos do usuário "Representar um cliente após autenticação" e "Criar objetos globais" usando a Diretiva de domínio padrão ou a Diretiva de grupo:
  • Os direitos de usuário "Representar um cliente após autenticação" e "Criar objetos globais" se aplicam somente a computadores que estiverem executando o Windows 2000 SP4 ou posterior.
  • É possível usar a Diretiva de domínio padrão ou a Diretiva de grupo para aplicar as configurações de segurança "Representar um cliente após autenticação" e "Criar objetos globais" a computadores do seu ambiente se os computadores estiverem executando o Windows 2000 Service Pack 2 (SP2) ou posteriores. Observe que embora seja possível implantar as configurações de segurança em um ambiente que contenha computadores com Windows 2000 SP2 e Windows 2000 Service Pack 3 (SP3), as configurações de segurança somente se aplicam a computadores com Windows 2000 SP4. As configurações não se aplicam a computadores que estiverem executando o Windows 2000 SP2 ou o Windows 2000 SP3.
  • Não use a Diretiva de domínio padrão ou uma outra Diretiva de grupo para aplicar um ou mais desses novos direitos do usuário a computadores que estiverem executando o Windows 2000 ou o Windows 2000 Service Pack 1 (SP1). Oberve que se você usar a Diretiva de domínio padrão ou uma Diretiva de grupo diferente para aplicar esses direitos do usuário a computadores que estiverem executando o Windows 2000 ou o Windows 2000 Service Pack 1 (SP1), a propagação das configurações de segurança da diretiva irão falhar. Ou seja, a diretiva não será propagada aos computadores com Windows 2000 ou Windows 2000 SP1 e os direitos dos usuários não serão exibidos no snap-in de configurações locais de segurança. As situações a seguir podem ocorrer se você usar a Diretiva de domínio padrão ou outra Diretiva de grupo para aplicar um ou os dois direitos do usuário a computadores que estiverem executando o Windows 2000 ou Windows 2000 Service Pack 1 (SP1):
    • Configurações da diretiva de segurança adicionais localizadas no mesmo objeto de diretiva de grupo e que se destinam aos dispositivos com Windows 2000 ou Windows 2000 Service Pack 1 (SP1) não são propagadas aos dispositivos de destino.
    • Configurações da diretiva de segurança adicionais que são aplicadas usando outras Diretivas de grupo durante o caminho SDOU (Site, Domínio, Unidade organizacional) para os dispositivos com Windows 2000 ou Windows 2000 Service Pack 1 (SP1) é que serão propagadas.
    • Se uma ou ambas as novas configurações de segurança tiverem como destino os dispositivos do Windows 2000 ou do Windows 2000 Service Pack 1 (SP1), o snap-in do MMC de segurança local nesses dispositivos não poderá exibir corretamente nenhuma configuração de segurança. No entanto, todas as configurações de segurança aplicadas aos dispositivos alvo por outros objetos da diretiva de grupo do lado do domínio (que não contenham as novas configurações) ainda serão aplicadas para esses dispositivos alvo.
  • Da mesma maneira, é possível utilizar a diretiva de segurança do Controlador de domínio padrão para aplicar as configurações de segurança "Representar um cliente após autenticação" e "Criar objetos globais" a controladores de domínio do seu ambiente se os controladores de domínio estiverem executando o Windows 2000 SP2 ou posterior. Observe que embora seja possível implantar as configurações de segurança em um ambiente que contenha controladores de domínio com Windows 2000 SP2 e Windows 2000 SP3, as configurações de segurança se aplicam somente a controladores de domínio com Windows 2000 SP4. As configurações não se aplicam a controladores de domínio que estiverem executando o Windows 2000 SP2 ou o Windows 2000 SP3.

O direito de usuário "Representar um cliente após autenticação" (SeImpersonatePrivilege)

O direito de usuário "Representar um cliente após autenticação" (SeImpersonatePrivilege) é uma configuração de segurança do Windows 2000 que foi apresentado pela primeira vez no Windows 2000 SP4. Por padrão, os membros do grupo de administradores locais do dispositivo e a conta do serviço local do dispositivo recebem o direito de usuário "Representar um cliente após autenticação". Os seguintes componentes também têm esse direito de usuário:
  • Serviços que são iniciados pelo gerenciador de controle de serviço
  • Servidores COM (modelo de objeto componente) iniciados pela infra-estrutura COM que são configurados para serem executados sob uma conta específica
Ao designar o direito de usuário "Representar um cliente após autenticação" a um usuário, você permite que programas que são executados em nome do usuário representem um cliente. Essa configuração de segurança ajuda a impedir que servidores não autorizados representem clientes conectados por meio de métodos como chamadas de procedimento remoto (RPC) ou pipes nomeados. Para obter mais informações sobre a função SeImpersonatePrivilege, visite o seguinte site da Microsoft:
http://msdn2.microsoft.com/en-us/library/aa375728.aspx (http://msdn2.microsoft.com/en-us/library/aa375728.aspx) (site em inglês)
Para obter mais informações sobre funções de representação (como ImpersonateClient, ImpersonateLoggedOnUser e ImpersonateNamedPipeClient), procure SeImpersonatePrivilege na documentação do Microsoft Platform SDK. Para consultar essa documentação, visite o seguinte site da Microsoft:
http://msdn2.microsoft.com/en-us/library/aa375728.aspx (http://msdn2.microsoft.com/en-us/library/aa375728.aspx) (site em inglês)

Solução de problemas

  • Alguns programas que usam a representação podem não funcionar corretamente após a instalação do Windows 2000 SP4

    Após instalar o Windows 2000 Service Pack 4 (SP4) no seu computador, alguns programas que usam a representação podem não funcionar corretamente.

    Esse problema pode ocorrer em situações na qual a conta de usuário usada para executar o programa não tem o direito de usuário "Representar um cliente após autenticação".

    Em computadores que estiverem executando o Windows 2000 Service Pack 3 (SP3) ou anteriores, não é necessário ter direito de usuário para representar um cliente. Portanto, alguns programas que usam a representação podem não funcionar corretamente após a instalação do Windows 2000 SP4.

    Para resolver esse problema, identifique a conta de usuário usada para executar o programa e atribua o direito de usuário "Representar um cliente após autenticação" para essa conta de usuário. Para fazer isso, execute estas etapas:
    1. Clique em Iniciar, aponte para Programas, para Ferramentas administrativas e clique em Diretiva de segurança local.
    2. Expanda Diretivas locais e clique em Atribuição de direitos de usuário.
    3. No painel da direita, clique duas vezes em Representar cliente após autenticação.
    4. Na caixa de diálogo Configuração da diretiva de segurança local, clique em Adicionar.
    5. Na caixa de diálogo Selecionar usuários ou grupo, clique na conta de usuário que você quer adicionar, clique em Adicionar e em OK.
    6. Clique em OK.
    Observação Para solucionar problemas em situações nas quais não é possível saber qual conta de usuário é usada para executar o programa, e nas quais você queira verificar se os sintomas apresentados são causados pelo direito de usuário, atribua o direito de usuário "Representar um cliente após autenticação" para o grupo Todos e inicie o programa. Se o programa funcionar corretamente, o problema que você está tendo pode estar sendo causado pela nova configuração de segurança.
  • Você recebe uma mensagem de erro "Erro ao tentar executar projeto" ao depurar um aplicativo de Web no Visual Studio .NET

    Para obter mais informações sobre como resolver esse problema, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
    821255  (http://support.microsoft.com/kb/821255/PT-BR/ ) Mensagem de erro "Erro ao tentar executar projeto" ao depurar um aplicativo da Web no Visual Studio .NET

O direito de usuário "Criar objetos globais" (SeCreateGlobalPrivilege)

O direito de usuário "Criar objetos globais" (SeCreateGlobalPrivilege) é uma configuração de segurança do Windows 2000 que foi introduzida pela primeira vez no Windows 2000 SP4. O direito de usuário é necessário para criar objetos globais em uma sessão de serviços de terminal. Observe que os usuários ainda conseguem criar objetos específicos da sessão sem receber esse direito de usuário. Por padrão, os membros do grupo de administradores, a conta do sistema e os serviços iniciados pelo gerenciador de controle de serviço recebem o direito de usuário "Criar objetos globais".

Solução de problemas

  • Alguns programas podem não funcionar corretamente após a instalação do Windows 2000 SP4

    Após instalar o Windows 2000 Service Pack 4 (SP4) no seu computador, alguns programas podem não funcionar corretamente. Esse problema pode ocorrer em situações nas quais a conta de usuário usada para executar o programa não tem o direito de usuário "Criar objeto global".

    Para resolver esse problema, identifique a conta de usuário usada para executar o programa e atribua o direito de usuário "Criar objetos globais" para essa conta de usuário. Para fazer isso, execute estas etapas:
    1. Clique em Iniciar, aponte para Programas, para Ferramentas administrativas e clique em Diretiva de segurança local.
    2. Expanda Diretivas locais e clique em Atribuição de direitos de usuário.
    3. No painel direito, clique duas vezes em Criar objetos globais.
    4. Na caixa de diálogo Configuração da diretiva de segurança local, clique em Adicionar.
    5. Na caixa de diálogo Selecionar usuários ou grupo, clique na conta de usuário que você quer adicionar, clique em Adicionar e em OK.
    6. Clique em OK.
    Observação Para solucionar problemas em situações nas quais não é possível saber qual conta de usuário é utilizada para executar o programa, e nas quais você queira verificar se os sintomas apresentados estão sendo causados pelo direito de usuário, atribua o direito de usuário "Criar objetos globais" para o grupo Todos e inicie o programa. Se o programa funcionar corretamente, o problema que você está tendo pode ser causado pela nova configuração de segurança.
  • Você recebe uma mensagem de erro "Memória insuficiente" ao procurar clipes em um documento do Office XP em uma sessão de serviços de terminal

    Para obter informações adicionais sobre esse problema, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
    821257  (http://support.microsoft.com/kb/821257/PT-BR/ ) Mensagem de erro "Memória insuficiente" ao procurar clipes em um documento do Office XP em uma sessão de serviços de terminal
  • O computador pára de responder (trava) ao reiniciar um computador com Windows 2000 Server após a instalação do McAfee Parental Control

    Para obter informações adicionais sobre esse problema, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
    823043  (http://support.microsoft.com/kb/823043/PT-BR/ ) Computador com Windows 2000 Server pára de responder ao reiniciar após ter instalado o McAfee Parental Controls

Referências

Para obter informações adicionais sobre como obter o service pack mais recente para o Windows 2000, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
260910  (http://support.microsoft.com/kb/260910/PT-BR/ ) Como obter o service pack mais recente do Windows 2000

A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Service Pack 4
Palavras-chave: 
kbfix kbbug KB821546
Compartilhar
Opções de suporte adicionais
Fóruns de Suporte do Microsoft Community
Contate-nos diretamente
Localize um parceiro certificado da Microsoft
Microsoft Store