Algunas aplicaciones y API requieren acceso a información de autorización en objetos de cuenta

Seleccione idioma Seleccione idioma
Id. de artículo: 331951 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

Algunas aplicaciones tienen características que leer el atributo de símbolo (token) de grupos-global-y-universal (TGGAU) en objetos de cuenta de usuario o en los objetos de la cuenta de equipo en el servicio de directorio Microsoft Active Directory. Algunas funciones de Win32 facilitan la lectura TGGAU el atributo. No correctamente las aplicaciones que leer este atributo o llamar a una API (denominada una función en el resto de este artículo) que lee este atributo si el contexto de seguridad llamada no tiene acceso al atributo.

De forma predeterminada, acceso al atributo TGGAU está determinado por la decisión de Compatibilidad de permisos (realizada cuando se crea el dominio durante el proceso de DCPromo.exe). La compatibilidad de permisos predeterminada para nuevos dominios de Windows Server 2003 no le concede acceso amplio al atributo TGGAU. Acceso para leer el atributo TGGAU puede concederse según sea necesario al nuevo grupo de Acceso de autorización de Windows (WAA) en Windows Server 2003.

Más información

El atributo de símbolo (token) de grupos-global-y-universal (TGGAU) es un valor calculado dinámicamente en objetos de cuenta de equipo y en objetos de la cuenta de usuario en Active Directory. Este atributo enumera las pertenencias a grupos globales y la pertenencia a grupos universales para la correspondiente cuenta de usuario o cuenta de equipo. Las aplicaciones pueden utilizar la información de grupo que es proporcionado por el atributo TGGAU para tomar decisiones diferentes sobre un usuario específico cuando el usuario no se ha iniciado sesión.

Por ejemplo, una aplicación puede utilizar esta información para determinar si un usuario se ha concedido acceso a un recurso que obtener acceso los controles de la aplicación para. Las aplicaciones que requieren esta información pueden leer el atributo TGGAU directamente mediante interfaces de Protocolo ligero de acceso a directorios o interfaces de servicios de Active Directory. Sin embargo, Microsoft Windows Server 2003 presenta varias funciones (incluyendo la función AuthzInitializeContextFromSid y la función LsaLogonUser ) que simplifican la lectura y la interpretación del atributo TGGAU. Por lo tanto, las aplicaciones que utilizan estas funciones pueden, sin saberlo, se lee el atributo TGGAU.

Para que las aplicaciones poder leer este atributo directamente o indirectamente leer este atributo (mediante el uso de una API), el contexto de seguridad que la aplicación se ejecuta en debe tener concedido acceso de lectura al objeto TGGAU en los objetos de usuario y en los objetos de equipo. No esperan que las aplicaciones asume que dispone de acceso a TGGAU. Por lo tanto, puede esperar que las aplicaciones no realizarse cuando se ha denegado el acceso. En esta situación (usuario) puede recibir un mensaje de error o una entrada de registro que explica que el acceso fue denegada al intentar leer esta información y que proporciona instrucciones acerca de cómo obtener acceso (como se describe más adelante en este artículo).

Varias aplicaciones existentes dependen de la información proporcionada por TGGAU porque la información está disponible de forma predeterminada en Microsoft Windows NT 4.0 y en sistemas operativos anteriores. Por lo tanto, en sistemas operativos de Microsoft Windows 2000 y Windows Server 2003, acceso de lectura al atributo TGGAU se concede el grupo Acceso Compatible anterior a Windows 2000 .

Para los dominios que utilizan las aplicaciones existentes, puede controlar estas aplicaciones agregando los contextos de seguridad esas las aplicaciones se ejecutan como al grupo Acceso Compatible anterior a Windows 2000 . Como alternativa, puede seleccionar la opción "Permisos compatibles con servidores anteriores a Windows 2000" durante el proceso DCPromo cuando crea un dominio. (En Windows Server 2003, esta opción es por manera escrita: "Permisos compatibles con sistemas operativos de servidor 2000 anteriores a Windows" .) Esta selección agrega el grupo todos al grupo Acceso Compatible anterior a Windows 2000 y, por lo que conceda el todos grupo acceso de lectura para el atributo TGGAU y muchos otros objetos de dominio.

Para obtener más información sobre el grupo de acceso de compatibilidad anterior a Windows 2000, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
257988Descripción de las opciones de permisos Dcpromo
Cuando se crea un nuevo dominio de Windows Server 2003, la selección de compatibilidad de acceso predeterminada es permisos compatibles sólo con Windows 2000 o sistemas operativos Windows Server 2003 . Cuando se establece esta opción, el grupo de Acceso de compatibilidad anterior a Windows 2000 incluye sólo el identificador de seguridad integrado Usuarios autenticados y acceso de lectura al atributo TGGAU en objetos está limitado. En este caso, las aplicaciones que requieren acceso al grupo TGGAU denegadas el acceso a menos que la cuenta bajo la que se ejecutan las aplicaciones tenga derechos de administrador de dominio o derechos de usuario similares.

Habilitar aplicaciones leer el atributo TGGAU

Para simplificar el proceso de conceder acceso de lectura en el atributo de símbolo (token) de grupos-global-y-universal (TGGAU) a los usuarios que deben leer el atributo, Windows Server 2003 introduce al grupo de acceso de autorización de Windows (WAA).

En instalaciones nuevas de dominios de Windows Server 2003, el grupo WAA tiene concedido acceso a la lectura TGGAU atributos en los objetos de usuario y objetos de grupo.

Dominios de Windows 2000

Si el dominio está en modo de acceso de compatibilidad de 2000 anterior a Windows, el grupo todos tiene acceso de lectura al atributo TGGAU en objetos de la cuenta de usuario y en objetos de cuenta de equipo. En este modo, las aplicaciones y funciones tienen acceso a TGGAU.

Si el dominio es no en modo de acceso de compatibilidad anterior a Windows 2000, quizás tenga que habilitar determinadas aplicaciones para leer el TGGAU. Porque no existe el Grupo de acceso de autorización de Windows en Windows 2000, se recomienda que cree un grupo local de dominio para este propósito y que agregue la cuenta de usuario o equipo que requiere acceso a la TGGAU atributos a ese grupo. Este grupo tendría que dará acceso al atributo tokenGroupsGlobalAndUniversal en objetos de usuario, en objetos de equipo y en objetos iNetOrgPerson .

Para obtener más información acerca de cómo hacerlo mediante una secuencia de comandos de ejemplo, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
331947Cómo aplicar mediante programación permisos de acceso para Windows Server 2003 grupos integrados en el servicio de directorio Active Directory

Dominios de modo mixto y dominios actualizados

Cuando se agrega un controlador de dominio de Windows Server 2003 a un dominio de Windows 2000, no se cambia la selección de compatibilidad de acceso que se había seleccionada previamente. Por lo tanto, dominios de modo mixto y los dominios que se han actualizado a Windows Server 2003 que estaban en modo de acceso de compatibilidad de 2000 anterior a Windows continúan que el grupo todos en el grupo de Acceso de compatibilidad anterior a Windows 2000 . Además, el grupo todos sigue teniendo acceso a la TGGAU atributo. En este modo, las aplicaciones y funciones tienen acceso a TGGAU.

Si el dominio de modo mixto es no en modo de acceso de compatibilidad anterior a Windows 2000, puede conceder permisos por medio de la WAA grupo:
  • El grupo WAA se crea automáticamente cuando se promueve un controlador de dominio de Windows Server 2003 al servidor de operaciones de maestro único flotante.
  • El grupo WAA no se concede automáticamente acceso a la TGGAU atributo en dominios de modo mixto y en actualiza dominios.
Para obtener más información acerca de una secuencia de comandos muestra cómo aplicar estos permisos, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
331947Cómo aplicar mediante programación permisos de acceso para Windows Server 2003 grupos integrados en el servicio de directorio Active Directory
Cuando el grupo de acceso de autorización de Windows (WAA) tiene acceso al atributo TGGAU, puede colocar las cuentas que requieren acceso en el WAA grupo.

Dominios de nuevo Windows Server 2003

Si el dominio está en modo de acceso de compatibilidad de 2000 anterior a Windows, el grupo todos tiene acceso de lectura al atributo TGGAU en objetos de la cuenta de usuario y en objetos de cuenta de equipo. En este modo, las aplicaciones y funciones tienen acceso a TGGAU.

Si el dominio es no en modo de acceso de compatibilidad anterior a Windows 2000, agregue al grupo WAA aquellas cuentas que requieren acceso a TGGAU. En instalaciones nuevas de Windows Server 2003, el grupo WAA ya tiene acceso de lectura a TGGAU en objetos de usuario y en objetos de equipo.

Propiedades

Id. de artículo: 331951 - Última revisión: lunes, 01 de diciembre de 2008 - Versión: 5.0
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows XP 64-Bit Edition Version 2003
Palabras clave: 
kbmt kbsecurity kbinfo KB331951 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 331951

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com