Ορισμένες εφαρμογές και τα API που απαιτούν πρόσβαση σε πληροφορίες εξουσιοδότησης σε αντικείμενα του λογαριασμού

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 331951 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Ανάπτυξη όλων | Σύμπτυξη όλων

Σε αυτήν τη σελίδα

Περίληψη

Ορισμένες εφαρμογές έχουν δυνατότητες που διαβάζει το χαρακτηριστικό διακριτικό-ομάδες-καθολικά-και-Διεθνής (TGGAU), σε αντικείμενα του λογαριασμού χρήστη ή σε αντικείμενα του λογαριασμού υπολογιστή στην υπηρεσία καταλόγου Microsoft Active Directory. Ορισμένες συναρτήσεις Win32 διευκολύνουν την ανάγνωση της TGGAU χαρακτηριστικό. Εφαρμογές που διαβάζετε αυτό το χαρακτηριστικό ή ότι η κλήση API (αναφέρεται ως μια συνάρτηση στο υπόλοιπο αυτού του άρθρου) που διαβάζει αυτό το χαρακτηριστικό δεν επιτύχει, εάν το περιβάλλον ασφάλειας κλήσης δεν έχει πρόσβαση στο χαρακτηριστικό.

Από προεπιλογή, η access το χαρακτηριστικό TGGAU καθορίζεται από τοΔικαίωμα συμβατότηταςη απόφαση (που έγιναν στον τομέα που δημιουργήθηκε κατά τη διάρκεια της διαδικασίας DCPromo.exe). Τη συμβατότητα δικαίωμα προεπιλογή για νέα τομείς του Windows Server 2003 δεν παραχωρεί ευρεία πρόσβαση στο χαρακτηριστικό TGGAU. Για να διαβάσετε το χαρακτηριστικό TGGAU μπορεί να χορηγηθεί δυνατότητα πρόσβασης όπως απαιτείται για τη νέαΤων Windows Η Access εξουσιοδότησηςΟμάδα (WAA) στον Windows Server 2003.

Περισσότερες πληροφορίες

Το διακριτικό-ομάδες-καθολικά-και-Διεθνής χαρακτηριστικό (TGGAU) είναι δυναμικά υπολογιζόμενη τιμή σε αντικείμενα του λογαριασμού υπολογιστή και σε αντικείμενα λογαριασμό χρήστη στην υπηρεσία καταλόγου Active Directory. Το χαρακτηριστικό αυτό απαριθμεί την Καθολική ιδιότητα μέλους και η ευρεία ομάδα μελών για τον αντίστοιχο λογαριασμό χρήστη ή το λογαριασμό υπολογιστή. Applications can use the group information that is provided by the TGGAU attribute to make various decisions about a specific user when the user is not logged on.

For example, an application can use this information to determine whether a user has been granted access to a resource that the application controls access for. Applications that require this information can read the TGGAU attribute directly by using either Lightweight Directory Access Protocol interfaces or Active Directory Services Interfaces. However, Microsoft Windows Server 2003 introduced several functions (including theAuthzInitializeContextFromSidλειτουργία και τοLsaLogonUserfunction) that simplify reading and interpretation of the TGGAU attribute. Therefore, applications that use these functions may unknowingly be reading the TGGAU attribute.

For applications to be able to directly read this attribute or indirectly read this attribute (through the use of an API), the security context that the application runs in must have been granted read access to the TGGAU object on the user objects and on the computer objects. You do not expect applications to assume that they have access to TGGAU. Therefore, you can expect applications to be unsuccessful when access is denied. In this situation, you (the user) may receive an error message or a log entry that explains that access was denied while trying to read this information, and that provides instructions about how to obtain access (as described later in this article).

Several existing applications depend on the information that is provided by TGGAU because the information is available by default in Microsoft Windows NT 4.0 and in earlier operating systems. Therefore, on Microsoft Windows 2000 and Windows Server 2003 operating systems, read access to the TGGAU attribute is granted to thePre-Windows 2000 Compatible AccessΌμιλος.

For domains that use existing applications, you can handle these applications by adding the security contexts that those applications run as to thePre-Windows 2000 Compatible AccessΌμιλος. Alternatively, you can select the"Permissions compatible with pre-Windows 2000 servers"option during the DCPromo process when you create a domain. (On Windows Server 2003, this option is worded as follows:"Permissions compatible with pre-Windows 2000 server operating systems".) This selection adds theEveryonegroup to thePre-Windows 2000 Compatible Accessgroup, and thereby grants theEveryonegroup read access to the TGGAU attribute and to many other domain objects.

For more information about the pre-Windows 2000 Compatibility Access group, click the following article number to view the article in the Microsoft Knowledge Base:
257988Description of Dcpromo permissions choices
When a new Windows Server 2003 domain is created, the default access compatibility selection isPermissions compatible only with Windows 2000 or Windows Server 2003 operating systems. When this option is set, thePre-Windows 2000 Compatibility Accessgroup includes only theAuthenticated Usersbuilt-in security identifier, and read access to the TGGAU attribute on objects is limited. In this case, applications that require access to the TGGAU group are denied access unless the account under which the applications run has domain administrator rights or similar user rights.

Enabling Applications to Read the TGGAU Attribute

To simplify the process of granting read access on the token-groups-global-and-universal (TGGAU) attribute to users who must read the attribute, Windows Server 2003 introduces the Windows Authorization Access (WAA) group.

On new installations of Windows Server 2003 domains, the WAA group is granted access to the read TGGAU attribute on user objects and on group objects.

Windows 2000 Domains

If the domain is in pre-Windows 2000 compatibility access mode, theEveryonegroup has read access to the TGGAU attribute on user account objects and on computer account objects. In this mode, applications and functions have access to TGGAU.

If the domain isNotin pre-Windows 2000 compatibility access mode, you may have to enable certain applications to read the TGGAU. Επειδή τοWindows Authorization Access Groupdoes not exist on Windows 2000, it is recommended that you create a domain local group for this purpose, and that you add the user or computer account that requires access to the TGGAU attribute to that group. This group would have to be given access to thetokenGroupsGlobalAndUniversalattribute on user objects, on computer objects, and oniNetOrgPersonδύο διαστάσεων.

For more information about how to do this by using a sample script, click the following article number to view the article in the Microsoft Knowledge Base:
331947How to programmatically apply access permissions for Windows Server 2003 built-in groups in the Active Directory directory service

Mixed Mode Domains and Upgraded Domains

When a Windows Server 2003 domain controller is added to a Windows 2000 domain, the access compatibility selection that was previously selected is not changed. Therefore, mixed mode domains and domains that were upgraded to Windows Server 2003 that were in pre-Windows 2000 compatibility access mode continue to have theEveryonegroup in thePre-Windows 2000 Compatibility AccessΌμιλος. Επιπλέον, τοEveryonegroup still has access to the TGGAU attribute. In this mode, applications and functions have access to TGGAU.

If the mixed mode domain isNotin pre-Windows 2000 compatibility access mode, you can grant permissions by means of the WAA group:
  • The WAA group is automatically created when a Windows Server 2003 domain controller is promoted to the Floating Single Master Operations Server.
  • The WAA group is not automatically granted access to the TGGAU attribute on mixed-mode domains and on upgraded domains.
For more information about a script that demonstrates how to apply these permissions, click the following article number to view the article in the Microsoft Knowledge Base:
331947How to programmatically apply access permissions for Windows Server 2003 built-in groups in the Active Directory directory service
After the Windows Authorization Access (WAA) group has access to the TGGAU attribute, you can place the accounts that require access in the WAA group.

New Windows Server 2003 Domains

If the domain is in pre-Windows 2000 compatibility access mode, theEveryoneη ομάδα έχει πρόσβαση ανάγνωσης στο χαρακτηριστικό TGGAU σε αντικείμενα του λογαριασμού χρήστη και σε αντικείμενα του λογαριασμού υπολογιστή. Σε αυτήν την κατάσταση, συναρτήσεις και εφαρμογές έχουν πρόσβαση σε TGGAU.

Εάν ο τομέας είναιNotσε κατάσταση πρόσβασης προγενέστερο των Windows 2000 συμβατότητας, προσθήκη στην ομάδα WAA αυτούς τους λογαριασμούς που απαιτούν πρόσβαση σε TGGAU. Σε νέες εγκαταστάσεις του Windows Server 2003, η ομάδα WAA έχει ήδη πρόσβαση ανάγνωσης σε TGGAU σε αντικείμενα χρήστη και σε αντικείμενα υπολογιστή.

Ιδιότητες

Αναγν. άρθρου: 331951 - Τελευταία αναθεώρηση: Τρίτη, 21 Δεκεμβρίου 2010 - Αναθεώρηση: 2.0
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
Λέξεις-κλειδιά: 
kbsecurity kbinfo kbmt KB331951 KbMtel
Μηχανικά μεταφρασμένο
ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.
Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη:331951

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com