Einige Anwendungen und APIs benötigen Zugriff auf Autorisierungsinformationen für Kontoobjekte

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 331951 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Einige Anwendungen verfügen über Features, das Lesen der Token-Gruppen-global-and-Universal (TGGAU)-Attribut auf Benutzerkontenobjekte oder Computerkonto Objekte im Verzeichnisdienst Microsoft Active Directory. Einige Win32-Funktionen erleichtern das Lesen der TGGAU Attribut. Anwendungen, die gelesen, dass dieses Attribut oder, die eine API (eine Funktion in den weiteren Verlauf dieses Artikels genannt) aufrufen, die dies liest Attribut sind nicht erfolgreich, wenn der aufrufende Sicherheitskontext keinen Zugriff auf die Attribut.

Standardmäßig Zugriff auf das TGGAU-Attribut bestimmt, indem Sie die Berechtigungskompatibilität Entscheidung (vorgenommen, wenn die Domäne, während erstellt wurde die DCPromo.exe-Prozess). Die Standard-Berechtigungskompatibilität für neue Windows Server 2003-Domänen gewährt keine Breiten Zugriff auf das TGGAU-Attribut. Zugriff Erfahren Sie, dass das TGGAU-Attribut als gewährt werden kann benötigt, um die neue Windows Autorisierung für Zugriffe Gruppe (WAA) in Windows Server 2003.

Weitere Informationen

Das Token-Gruppen-global-and-Universal (TGGAU)-Attribut ist ein dynamisch berechnete Wert für Computerkontoobjekte und auf Benutzerkontenobjekte in aktiv Verzeichnis. Dieses Attribut Listet die Mitgliedschaften in globalen Gruppen und die universellen Gruppenmitgliedschaften für die entsprechenden Benutzer- oder Computerkonto. Anwendungen können die Gruppe verwenden. durch das Attribut TGGAU für verschiedenen Entscheidungen über enthaltenen Informationen ein bestimmte Benutzer, wenn der Benutzer nicht angemeldet ist.

Beispielsweise kann eine Anwendung Verwenden Sie diese Informationen, um zu bestimmen, ob ein Benutzer Zugriff auf gewährt wurde ein Ressource, die die Anwendung steuert für den Zugriff. Anwendungen, die dies erfordern Informationen kann das TGGAU-Attribut direkt mit Lightweight Directory Access Protocol-Schnittstellen oder Active Directory Services Interfaces gelesen. Microsoft Windows Server 2003 führte jedoch mehrere Funktionen (einschließlich die AuthzInitializeContextFromSid -Funktion und die Funktion LsaLogonUser ) zu vereinfachen Lesen und Interpretation der TGGAU-Attribut. Aus diesem Grund, Anwendungen, verwenden Diese Funktionen möglicherweise unwissentlich Attributs TGGAU gelesen werden.

Für Anwendungen, um direkt lesen zu können Dieses Attribut oder indirekt lesen Dieses Attribut (durch die Verwendung einer API), muss der Sicherheitskontext, den die Anwendung ausgeführt, in wird verfügen. Lesezugriff auf das TGGAU-Objekt die Benutzerobjekte und Computerobjekte gewährt wurde. Sie erwarten keine Anwendungen davon ausgehen, dass sie auf TGGAU zugreifen. Sie können daher erwarten, dass Anwendungen fehlschlagen, wenn der Zugriff verweigert wird. In diesem Fall können Sie (Benutzer) erhalten eine Fehlermeldung oder einen Protokolleintrag, die erklärt, dass der Zugriff verweigert wurde, bei dem Versuch, diese Informationen lesen und Anweisungen dazu, wie Sie Zugang zu erhalten (wie weiter unten in diesem Artikel beschrieben) bereitstellt.

Mehrere vorhandene Anwendungen hängt von der Informationen, die von TGGAU da die Informationen verfügbar sind bereitgestellt wird, in der Standardeinstellung in Microsoft Windows NT 4.0 und früheren Betriebssystemen. Daher, auf Microsoft Windows 2000 und Windows Server 2003-Betriebssysteme lesen Zugriff auf das TGGAU-Attribut wird gewährt, die Prä-Windows 2000 kompatibel Zugriff Gruppe.

Für Domänen, die vorhandene Anwendungen verwenden, können Sie Behandeln Sie diese Anwendungen durch das Hinzufügen der Sicherheitskontexte, die Führen Sie Anwendungen so an, dass die Prä-Windows 2000 kompatibler Zugriff Gruppe. Alternativ können Sie wählen die Mit Prä-Windows 2000 kompatible Berechtigungen" Server" Option während der Prozess "Dcpromo", wenn Sie eine Domäne erstellen. (Auf Windows Server 2003, diese Option lautet wie folgt: Berechtigungen" mit Prä-Windows 2000 Server-Betriebssystemen kompatibel".) Diese Option fügt die "Jeder" Gruppe, die Prä-Windows 2000 kompatibler Zugriff Gruppe, und so gewährt der "Jeder" Gruppe Lesezugriff für das TGGAU-Attribut und viele andere Domänenobjekte.

Weitere Informationen zu der Gruppe der Prä-Windows 2000 kompatibler Zugriff finden Sie im folgenden Artikel der Microsoft Knowledge Base:
257988Description of Dcpromo Permissions choices
Wenn eine neue Windows Server 2003-Domäne wird erstellt, den Standardzugriff Kompatibilität Auswahl ist Berechtigungen nur mit Windows 2000 oder Windows Server 2003-Betriebssystemen kompatibel. Wenn diese Option festgelegt ist, die Prä-Windows 2000 kompatibler Zugriff Gruppe enthält nur die Authentifizierte Benutzer integrierte Sicherheits-ID und Lesezugriff auf das TGGAU-Attribut auf Objekte ist beschränkt. In diesem Fall sind Anwendungen, die Zugriff auf die Gruppe TGGAU erfordern Zugriff verweigert. Wenn das Konto, unter dem die Anwendungen ausführen, über Domänenadministratorrechte oder ähnliche Benutzerrechte verfügt.

Aktivieren von Anwendungen, das TGGAU-Attribut zu lesen

Vereinfacht das Gewähren des Lesezugriffs auf das Token-Gruppen-global-and-Universal (TGGAU)-Attribut für Benutzer, die das Attribut lesen muss, führt Windows Server 2003 die Windows Authorization Access (WAA)-Gruppe.

Bei neuen Installationen von Windows Server 2003-Domänen WAA Gruppe erhält Zugriff auf die Read TGGAU Attribut von Benutzerobjekten und auf Objekte gruppieren.

Windows 2000-Domänen

Wenn die Domäne im Prä-Windows 2000-Kompatibilität wird Zugriffsmodus, die "Jeder" Gruppe verfügt über Lesezugriff auf das Attribut TGGAU auf Benutzerkontenobjekte und auf Computerkonto-Objekte. In diesem Modus haben, Anwendungen und Funktionen Zugriff auf TGGAU.

Wenn die Domäne ist nicht im Prä-Windows 2000-Kompatibilität Zugriffsmodus, müssen Sie bestimmte Anwendungen zu aktivieren Lesen Sie die TGGAU. Da die Windows-Autorisierungszugriffsgruppe existiert nicht auf Windows 2000 wird empfohlen, dass Sie eine lokale Domänengruppe für das Erstellen Zweck und, dass Sie das Benutzer- oder Computerkonto hinzufügen, das Zugriff auf die TGGAU erforderlich ist -Attribut an diese Gruppe. Diese Gruppe Zugriff gewährt werden müsste die Attribut "tokenGroupsGlobalAndUniversal" auf Benutzer Objekte, auf computer Objekte, und auf iNetOrgPerson. Objekte.

Weitere Informationen dazu, wie Sie hierzu verwenden ein Beispielskript finden Sie im folgenden Artikel der Microsoft Knowledge Base:
331947Wie Sie programmgesteuert Berechtigungen für Windows Server 2003 integrierten Gruppen in Active Directory-Verzeichnisdienst zuweisen

Domänen im gemischten Modus und aktualisierten Domänen

Wenn ein Windows Server 2003-Domänencontroller hinzugefügt wird ein Windows 2000-Domäne wird durch Auswahl die Kompatibilität, die zuvor ausgewählt wurde nicht geändert. Aus diesem Grund gemischten Modus Domänen und Domänen, die auf Windows aktualisiert wurden Server 2003, die im Zugriffsmodus für Prä-Windows 2000-Kompatibilität waren haben weiterhin die "Jeder" Gruppe in der Prä-Windows 2000-Kompatibilität Zugriff Gruppe. Darüber hinaus die "Jeder" Gruppe hat weiterhin Zugriff auf die TGGAU Attribut. In diesem Modus können Anwendungen und Funktionen auf TGGAU.

Wenn die Domäne im gemischten Modus ist nicht im Prä-Windows 2000 Access-Kompatibilitätsmodus, können Sie Berechtigungen mit Hilfe der WAA gewähren Gruppe:
  • Die Gruppe WAA wird automatisch bei einem Windows-Server erstellt. 2003-Domänencontroller wird zu der Floating Single Master Operations heraufgestuft. Server.
  • Die Gruppe WAA wird nicht automatisch Zugriff auf die TGGAU gewährt Attribut auf Domänen im gemischten Modus und im aktualisiert Domänen.
Weitere Informationen über ein Skript, die veranschaulicht, wie Sie diese Berechtigungen gelten, finden Sie im folgenden Artikel der Microsoft Knowledge Base:
331947Wie Sie programmgesteuert Berechtigungen für Windows Server 2003 integrierten Gruppen in Active Directory-Verzeichnisdienst zuweisen
Nachdem die Windows Authorization Access (WAA) Gruppe Zugriff auf das TGGAU-Attribut verfügt, können Sie die Konten platzieren. erfordern, die Access in der WAA Gruppe.

Neue Windows Server 2003-Domänen

Wenn die Domäne im Prä-Windows 2000-Kompatibilität wird Zugriffsmodus, die "Jeder" Gruppe verfügt über Lesezugriff auf das Attribut TGGAU auf Benutzerkontenobjekte und auf Computerkonto-Objekte. In diesem Modus haben, Anwendungen und Funktionen Zugriff auf TGGAU.

Wenn die Domäne ist nicht im Prä-Windows 2000-Kompatibilität zugreifen Sie Modus , fügen Sie hinzu die WAA gruppieren die Konten, die Zugriff auf TGGAU erforderlich ist. In neuen Installationen von Windows Server 2003 verfügt über die WAA-Gruppe bereits Lesezugriff auf TGGAU von Benutzerobjekten und auf computer Objekte.

Eigenschaften

Artikel-ID: 331951 - Geändert am: Sonntag, 16. Dezember 2012 - Version: 7.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
Keywords: 
kbsecurity kbinfo kbmt KB331951 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 331951
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com