Einige Anwendungen und APIs erfordern Zugriff auf Autorisierungsinformationen für Kontoobjekte.
In diesem Artikel werden einige Anwendungen und Anwendungsprogrammierschnittstellen (APPLICATION Programming Interfaces, APIs) beschrieben, die Zugriff auf das TGGAU-Attribut (token-groups-global-and-universal) für Benutzerkontoobjekte oder auf Computerkontoobjekte im Active Directory-Verzeichnisdienst haben müssen.
Gilt für: Windows Server 2012 R2
Ursprüngliche KB-Nummer: 331951
Zusammenfassung
Einige Anwendungen verfügen über Features, die das Attribut token-groups-global-and-universal (TGGAU) für Benutzerkontoobjekte oder computerkontoobjekte im Microsoft Active Directory-Verzeichnisdienst lesen. Einige Win32-Funktionen erleichtern das Lesen des TGGAU-Attributs. Anwendungen, die dieses Attribut lesen oder eine API aufrufen (im restlichen Teil dieses Artikels als Funktion bezeichnet), die dieses Attribut liest, sind nicht erfolgreich, wenn der aufrufende Sicherheitskontext keinen Zugriff auf das Attribut hat.
Standardmäßig wird der Zugriff auf das TGGAU-Attribut durch die Berechtigungskompatibilitätsentscheidung bestimmt (die beim Erstellen der Domäne während des DCPromo.exe Prozesses getroffen wurde). Die Standardberechtigungskompatibilität für neue Windows Server 2003-Domänen gewährt keinen umfassenden Zugriff auf das TGGAU-Attribut. Der neuen Windows-Autorisierungszugriffsgruppe (WAA) in Windows Server 2003 kann der Lesezugriff auf das TGGAU-Attribut nach Bedarf gewährt werden.
Weitere Informationen
Das Attribut token-groups-global-and-universal (TGGAU) ist ein dynamisch berechneter Wert für Computerkontoobjekte und für Benutzerkontoobjekte in Active Directory. Dieses Attribut listet die globalen Gruppenmitgliedschaften und die universellen Gruppenmitgliedschaften für das entsprechende Benutzerkonto oder Computerkonto auf. Anwendungen können die vom TGGAU-Attribut bereitgestellten Gruppeninformationen verwenden, um verschiedene Entscheidungen über einen bestimmten Benutzer zu treffen, wenn der Benutzer nicht angemeldet ist.
Beispielsweise kann eine Anwendung anhand dieser Informationen ermitteln, ob einem Benutzer Zugriff auf eine Ressource gewährt wurde, für die die Anwendung den Zugriff steuert. Anwendungen, die diese Informationen benötigen, können das TGGAU-Attribut direkt mithilfe von Lightweight Directory Access Protocol-Schnittstellen oder Active Directory-Dienstschnittstellen lesen. In Microsoft Windows Server 2003 wurden jedoch mehrere Funktionen eingeführt (einschließlich der AuthzInitializeContextFromSid-Funktion und der LsaLogonUser-Funktion), die das Lesen und Interpretieren des TGGAU-Attributs vereinfachen. Daher können Anwendungen, die diese Funktionen verwenden, unwissentlich das TGGAU-Attribut lesen.
Damit Anwendungen dieses Attribut direkt oder indirekt (mithilfe einer API) lesen können, muss dem Sicherheitskontext, in dem die Anwendung ausgeführt wird, Lesezugriff auf das TGGAU-Objekt auf den Benutzerobjekten und auf den Computerobjekten gewährt worden sein. Sie erwarten nicht, dass Anwendungen davon ausgehen, dass sie Zugriff auf TGGAU haben. Daher können Sie davon ausgehen, dass Anwendungen nicht erfolgreich sind, wenn der Zugriff verweigert wird. In diesem Fall erhalten Sie (der Benutzer) möglicherweise eine Fehlermeldung oder einen Protokolleintrag, in dem erläutert wird, dass der Zugriff beim Lesen dieser Informationen verweigert wurde, und der Anweisungen zum Abrufen des Zugriffs enthält (wie weiter unten in diesem Artikel beschrieben).
Mehrere vorhandene Anwendungen hängen von den Informationen ab, die von TGGAU bereitgestellt werden, da die Informationen standardmäßig in Microsoft Windows NT 4.0 und in früheren Betriebssystemen verfügbar sind. Unter den Betriebssystemen Microsoft Windows 2000 und Windows Server 2003 wird der Gruppe Pre-Windows 2000 Compatible Access also Lesezugriff auf das TGGAU-Attribut gewährt.
Für Domänen, die vorhandene Anwendungen verwenden, können Sie diese Anwendungen behandeln, indem Sie die Sicherheitskontexte, die diese Anwendungen ausführen, zur Gruppe Pre-Windows 2000 Compatible Access hinzufügen. Stattdessen können Sie beim Erstellen einer Domäne während des DCPromo-Prozesses die Option "Mit Servern vor Windows 2000 kompatible Berechtigungen" auswählen. (Unter Windows Server 2003 lautet diese Option wie folgt: "Berechtigungen, die mit Vor-Windows 2000-Serverbetriebssystemen kompatibel sind".) Diese Auswahl fügt die Gruppe Jeder der Gruppe Pre-Windows 2000 Compatible Access hinzu und gewährt der Gruppe Jeder lesezugriff auf das TGGAU-Attribut und viele andere Domänenobjekte.
Wenn eine neue Windows Server 2003-Domäne erstellt wird, lautet die Standardauswahl für die Zugriffskompatibilität Berechtigungen, die nur mit Windows 2000- oder Windows Server 2003-Betriebssystemen kompatibel sind. Wenn diese Option festgelegt ist, enthält die Gruppe Pre-Windows 2000 Compatibility Access nur die integrierte Sicherheits-ID authentifizierte Benutzer, und der Lesezugriff auf das TGGAU-Attribut für Objekte ist eingeschränkt. In diesem Fall wird Anwendungen, die Zugriff auf die TGGAU-Gruppe benötigen, der Zugriff verweigert, es sei denn, das Konto, unter dem die Anwendungen ausgeführt werden, verfügt über Domänenadministratorrechte oder ähnliche Benutzerrechte.
Aktivieren von Anwendungen zum Lesen des TGGAU-Attributs
Um benutzern, die das Attribut lesen müssen, lesezugriff auf das Attribut token-groups-global-and-universal (TGGAU) zu vereinfachen, führt Windows Server 2003 die Windows-Autorisierungszugriffsgruppe (WAA) ein.
Bei Neuinstallationen von Windows Server 2003-Domänen wird der WAA-Gruppe Zugriff auf das Lese-TGGAU-Attribut für Benutzerobjekte und Gruppenobjekte gewährt.
Windows 2000-Domänen
Wenn sich die Domäne im Kompatibilitätszugriffsmodus vor Windows 2000 befindet, verfügt die Gruppe Jeder über Lesezugriff auf das TGGAU-Attribut für Benutzerkontoobjekte und Computerkontoobjekte. In diesem Modus haben Anwendungen und Funktionen Zugriff auf TGGAU.
Wenn sich die Domäne nicht im Kompatibilitätszugriffsmodus vor Windows 2000 befindet, müssen Sie möglicherweise bestimmten Anwendungen das Lesen des TGGAU aktivieren. Da die Windows-Autorisierungszugriffsgruppe unter Windows 2000 nicht vorhanden ist, wird empfohlen, zu diesem Zweck eine lokale Domänengruppe zu erstellen und der Gruppe das Benutzer- oder Computerkonto hinzuzufügen, für das Zugriff auf das TGGAU-Attribut erforderlich ist. Dieser Gruppe müsste Zugriff auf das tokenGroupsGlobalAndUniversal Attribut für Benutzerobjekte, Computerobjekte und - iNetOrgPerson Objekte gewährt werden.
Domänen im gemischten Modus und aktualisierte Domänen
Wenn einer Windows 2000-Domäne ein Windows Server 2003-Domänencontroller hinzugefügt wird, wird die zuvor ausgewählte Zugriffskompatibilitätsauswahl nicht geändert. Domänen im gemischten Modus und Domänen, die auf Windows Server 2003 aktualisiert wurden und sich im Kompatibilitätszugriffsmodus vor Windows 2000 befanden, verfügen daher weiterhin über die Gruppe Jeder in der Gruppe Kompatibilitätszugriff vor Windows 2000 . Darüber hinaus hat die Gruppe Jeder weiterhin Zugriff auf das TGGAU-Attribut. In diesem Modus haben Anwendungen und Funktionen Zugriff auf TGGAU.
Wenn sich die Domäne im gemischten Modus nicht im Kompatibilitätszugriffsmodus vor Windows 2000 befindet, können Sie Berechtigungen über die WAA-Gruppe erteilen:
- Die WAA-Gruppe wird automatisch erstellt, wenn ein Windows Server 2003-Domänencontroller auf den Floating Single Master Operations Server heraufgestuft wird.
- Der WAA-Gruppe wird nicht automatisch Zugriff auf das TGGAU-Attribut für Domänen im gemischten Modus und für aktualisierte Domänen gewährt.
Nachdem die Gruppe Windows-Autorisierungszugriff (WAA) Zugriff auf das TGGAU-Attribut hat, können Sie die Konten, die Zugriff benötigen, in der WAA-Gruppe platzieren.
Neue Windows Server 2003-Domänen
Wenn sich die Domäne im Kompatibilitätszugriffsmodus vor Windows 2000 befindet, verfügt die Gruppe Jeder über Lesezugriff auf das TGGAU-Attribut für Benutzerkontoobjekte und Computerkontoobjekte. In diesem Modus haben Anwendungen und Funktionen Zugriff auf TGGAU.
Wenn sich die Domäne nicht im Kompatibilitätszugriffsmodus vor Windows 2000 befindet, fügen Sie der WAA-Gruppe die Konten hinzu, die Zugriff auf TGGAU benötigen. In Neuinstallationen von Windows Server 2003 verfügt die WAA-Gruppe bereits über Lesezugriff auf TGGAU für Benutzer- und Computerobjekte.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für