Certains applications et les API requièrent accès aux informations d'autorisation sur les objets de compte

Traductions disponibles Traductions disponibles
Numéro d'article: 331951 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Résumé

Certaines applications ont des fonctionnalités qui lire l'attribut (TGGAU) jeton groupes-global-et-universel sur objets compte d'utilisateur ou sur les objets de compte d'ordinateur dans le le service d'annuaire Microsoft Active Directory. Certaines fonctions Win32 faciliter la lecture la TGGAU attribut. Les applications qui lisent que cet attribut ou qu'appeler une API (appelé une fonction dans le reste de cet article) qui lit cet attribut ne pas réussir si le contexte de sécurité appel n'a pas accès à l'attribut.

Par défaut, l'accès à l'attribut TGGAU est déterminé par la décision de compatibilité d'autorisation (créée lorsque le domaine a été créé au cours du processus DCPromo.exe). La compatibilité d'autorisation par défaut pour les nouveaux domaines Windows Server 2003 n'accorde pas à large accès à l'attribut TGGAU. Accès en lecture à l'attribut TGGAU peut être accordé comme requis pour le nouveau groupe Windows d'accéder à d'autorisations (WAA) dans Windows Server 2003.

Plus d'informations

L'attribut de (TGGAU) jeton groupes-global-et-universelle est une valeur calculée dynamiquement sur objets de compte d'ordinateur et sur les objets de compte d'utilisateur dans Active Directory. Cet attribut énumère les appartenances aux groupes globaux et les appartenances universel pour le compte d'utilisateur correspondant ou le compte ordinateur. Applications peuvent utiliser les informations de groupe qui sont fournies par l'attribut TGGAU à prendre des décisions différentes sur un utilisateur spécifique si l'utilisateur n'est pas connecté.

Par exemple, une application peut utiliser ces informations pour déterminer si un utilisateur a accès à une ressource qui le contrôle de l'application l'accès pour. Les applications qui nécessitent cette information peuvent lire l'attribut TGGAU directement en utilisant les interfaces de Lightweight Directory Access Protocol ou Active Directory Services Interfaces. Toutefois, Microsoft Windows Server 2003 a introduit plusieurs fonctions (y compris la fonction AuthzInitializeContextFromSid et la fonction LsaLogonUser ) qui simplifient la lecture et d'interprétation de l'attribut TGGAU. Par conséquent, les applications qui utilisent ces fonctions peuvent involontairement être lit l'attribut TGGAU.

Pour les applications pouvoir lire cet attribut directement ou indirectement lire cet attribut (par le biais d'une API), l'application s'exécute dans le contexte de sécurité doit avoir accès en lecture l'objet TGGAU sur les objets utilisateur et sur les objets ordinateur. Vous ne prévoyez pas applications supposent que leur aient accès à TGGAU. Par conséquent, vous pouvez vous attendre applications soient échoue lorsque l'accès est refusé. Dans ce cas, vous (l'utilisateur) pouvez recevoir un message d'erreur ou une entrée de journal qui explique que l'accès refusée lors de tentative de lecture de ces informations et qui fournit des instructions sur la façon d'obtenir accès (comme décrit plus loin dans cet article).

Plusieurs applications existantes varient selon les informations fournies par TGGAU car les informations sont disponibles par défaut dans Microsoft Windows NT 4.0 et dans les systèmes d'exploitation antérieurs. Par conséquent, pour les systèmes d'exploitation Microsoft Windows 2000 et Windows Server 2003, accès en lecture à l'attribut TGGAU est accordé au groupe Accès compatible pré-Windows 2000 .

Pour les domaines qui utilisent les applications existantes, vous pouvez gérer ces applications en ajoutant les contextes de sécurité qui ces applications s'exécutent en tant qu'au groupe Accès compatible pré-Windows 2000 . Sinon, vous pouvez sélectionner l'option « Autorisations compatibles avec les serveurs 2000 antérieur à Windows » au cours du processus DCPromo lorsque vous créez un domaine. (Formulées sur Windows Server 2003, cette option est sélection comme suit: « autorisations compatibles avec les systèmes d'exploitation de serveur 2000 antérieur à Windows » .) Cette sélection ajoute le groupe tout le monde au groupe Accès compatible pré-Windows 2000 et ainsi accorde le tout le monde groupe lecture accès pour l'attribut TGGAU et plusieurs autres objets de domaine.

Pour plus d'informations sur le groupe compatibilité Access 2000 antérieur à Windows, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
257988 Description des options d'autorisations Dcpromo
Lorsqu'un nouveau domaine Windows Server 2003 est créé, la sélection de compatibilité de l'accès par défaut est Autorisations compatibles uniquement avec Windows 2000 ou des systèmes d'exploitation Windows Server 2003 . Lorsque cette option est définie, le groupe Accès de compatibilité pré-Windows 2000 inclut uniquement l'identificateur de sécurité intégré utilisateurs authentifiés et accès en lecture à l'attribut TGGAU sur des objets est limité. Dans ce cas, applications nécessitant des accès à du groupe TGGAU sont refusées l'accès, sauf si le compte sous lequel les applications s'exécutent dispose des droits d'administrateur de domaine ou droits utilisateur similaire.

L'activation d'applications pour lire l'attribut TGGAU

Pour simplifier le processus d'accorder un accès en lecture sur l'attribut (TGGAU) jeton groupes-global-et-universel aux utilisateurs qui doivent lire l'attribut, Windows Server 2003 introduit le groupe Windows Authorization Access (WAA).

Sur les nouvelles installations de domaines Windows Server 2003, le groupe WAA a accès en la lecture TGGAU attribut sur objets utilisateur et sur les objets de groupe.

Windows 2000 domaines

Si le domaine est en mode d'accès compatibilité antérieur à Windows 2000, le groupe tout le monde a accès en lecture à l'attribut TGGAU sur objets de compte d'utilisateur et sur les objets compte d'ordinateur. Dans ce mode, applications et fonctions ont accès à TGGAU.

Si le domaine est pas en mode de l'accès de compatibilité antérieur à Windows 2000, vous devez peut-être activer certaines applications lire le TGGAU. Parce que le groupe d'accès d'autorisation Windows n'existe pas sur Windows 2000, il est recommandé que vous créez un groupe local de domaine à cette fin, et que vous ajoutez le compte utilisateur ou ordinateur requiert l'accès à la TGGAU attribut à ce groupe. Ce groupe doivent disposer d'un accès à l'attribut tokenGroupsGlobalAndUniversal sur les objets utilisateur, sur les objets ordinateur et sur les objets iNetOrgPerson .

Pour savoir comment faire en utilisant un script exemple, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
331947 Comment appliquer par programmation autorisations d'accès des groupes intégrés Windows Server 2003 dans le service d'annuaire Active Directory

Domaines en mode mixte et mise à niveau des domaines

Lorsqu'un contrôleur de domaine Windows Server 2003 est ajouté à un domaine Windows 2000, la sélection de compatibilité accès précédemment sélectionnée n'est pas modifiée. Par conséquent, domaines en mode mixte et des domaines qui ont été mis à niveau vers Windows Server 2003 qui se trouvaient dans mode d'accès compatibilité antérieur à Windows 2000 continuent à avoir le groupe tout le monde dans le groupe Accès compatibilité pré-Windows 2000 . En outre, le groupe tout le monde toujours a accès à la TGGAU attribut. Dans ce mode, applications et fonctions ont accès à TGGAU.

Si le domaine en mode mixte est pas en mode de l'accès de compatibilité antérieur à Windows 2000, vous pouvez accorder autorisations au moyen de la WAA groupe :
  • Le groupe WAA est créé automatiquement lorsqu'un contrôleur de domaine Windows Server 2003 est promu au serveur opérations variable Single Master.
  • Le groupe WAA n'a pas automatiquement accès à la TGGAU attribut sur les domaines en mode mixte et en mise à niveau domaines.
Pour plus d'informations sur un script qui illustre comment appliquer ces autorisations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
331947 Comment appliquer par programmation autorisations d'accès des groupes intégrés Windows Server 2003 dans le service d'annuaire Active Directory
Une fois le groupe Windows Authorization Access (WAA) a accès à l'attribut TGGAU, vous pouvez placer les comptes qui requièrent l'accès dans le WAA groupe.

Nouveau domaine de Server 2003 Windows

Si le domaine est en mode d'accès compatibilité antérieur à Windows 2000, le groupe tout le monde a accès en lecture à l'attribut TGGAU sur objets de compte d'utilisateur et sur les objets compte d'ordinateur. Dans ce mode, applications et fonctions ont accès à TGGAU.

Si le domaine est pas en mode de l'accès de compatibilité antérieur à Windows 2000, ajouter au groupe WAA les comptes qui ont besoin d'accéder à TGGAU. Dans les nouvelles installations de Windows Server 2003, le groupe WAA a déjà accès en lecture à TGGAU, sur les objets utilisateur et sur les objets ordinateur.

Propriétés

Numéro d'article: 331951 - Dernière mise à jour: lundi 1 décembre 2008 - Version: 5.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows XP 64-Bit Edition Version 2003
Mots-clés : 
kbmt kbsecurity kbinfo KB331951 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 331951
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com