Beberapa aplikasi dan api memerlukan akses ke otorisasi informasi pada akun objek

Beberapa aplikasi memiliki fitur yang membaca tanda-kelompok-global-dan-universal (TGGAU) atribut pada objek pengguna account atau account komputer objek dalam layanan direktori Microsoft Active Directory. Beberapa fungsi Win32 membuatnya lebih mudah untuk membaca TGGAU atribut. Aplikasi yang membaca atribut ini atau yang memanggil API (disebut sebagai fungsi di seluruh artikel ini) yang membaca ini atribut tidak berhasil jika konteks keamanan panggilan tidak memiliki akses ke atribut.

Secara default, akses ke atribut TGGAU ditentukan oleh Izin kompatibilitas keputusan (dibuat ketika domain diciptakan selama DCPromo.exe proses). Kompatibilitas izin default untuk domain Windows Server 2003 baru tidak memberikan akses yang luas untuk atribut TGGAU. Akses untuk membaca atribut TGGAU dapat diberikan sebagai diperlukan untuk baru Windows Otorisasi akses Kelompok (WAA) pada Windows Server 2003.

Atribut tanda-kelompok-global-dan-universal (TGGAU) nilai secara dinamis dihitung pada komputer account objek dan objek account pengguna di aktif Direktori. Atribut ini enumerates keanggotaan grup global dan keanggotaan universal group untuk account pengguna yang sesuai atau account komputer. Aplikasi dapat menggunakan grup informasi yang disediakan oleh TGGAU atribut untuk membuat berbagai keputusan tentang pengguna ketika pengguna tidak logon.

Sebagai contoh, aplikasi dapat menggunakan informasi ini untuk menentukan apakah pengguna telah diberikan akses ke sumber daya yang aplikasi kontrol akses untuk. Aplikasi yang membutuhkan ini informasi dapat membaca atribut TGGAU secara langsung dengan menggunakan Lightweight Directory Access Protocol interface atau antarmuka layanan direktori aktif. Namun, Microsoft Windows Server 2003 memperkenalkan beberapa fungsi (termasuk AuthzInitializeContextFromSid fungsi dan LsaLogonUser fungsi) yang menyederhanakan membaca dan interpretasi dari atribut TGGAU. Oleh karena itu, aplikasi yang menggunakan fungsi-fungsi ini mungkin tidak sadar membaca atribut TGGAU.

Untuk aplikasi untuk dapat langsung membaca atribut ini atau tidak langsung baca atribut ini (melalui penggunaan dari API), konteks keamanan yang aplikasi berjalan di harus telah diberikan akses baca ke objek TGGAU pada objek pengguna dan komputer objek. Anda tidak mengharapkan aplikasi untuk menganggap bahwa mereka memiliki akses ke TGGAU. Oleh karena itu, Anda dapat mengharapkan aplikasi akan gagal ketika akses ditolak. Dalam situasi ini, Anda (user) akan menerima pesan galat atau entri log yang menjelaskan bahwa akses ditolak saat mencoba membaca informasi ini, dan yang memberikan petunjuk tentang cara untuk mendapatkan akses (seperti yang dijelaskan nanti dalam artikel ini).

Beberapa ada aplikasi tergantung pada informasi yang disediakan oleh TGGAU karena informasi tersedia secara default pada Microsoft Windows NT 4.0 dan sistem operasi sebelumnya. Oleh karena itu, pada sistem operasi Microsoft Windows 2000 dan Windows Server 2003, membaca akses ke atribut TGGAU diberikan kepada Pre-Windows 2000 kompatibel Akses kelompok.

Untuk domain yang menggunakan aplikasi yang ada, Anda dapat menangani aplikasi ini dengan menambahkan konteks keamanan bahwa mereka aplikasi berjalan dengan Pre-Windows 2000 kompatibel akses kelompok. Atau, Anda dapat memilih "Izin kompatibel dengan pre-Windows 2000 server" pilihan selama proses DCPromo bila Anda membuat domain. (Pada Windows Server 2003, opsi ini bernada sebagai berikut: "Izin kompatibel dengan sistem operasi pre-Windows 2000 server".) Pilihan ini menambahkan Semua orang grup Pre-Windows 2000 kompatibel akses grup, dan dengan demikian hibah Semua orang kelompok membaca akses ke atribut TGGAU dan banyak lain domain objek.

Untuk informasi lebih lanjut tentang pre-Windows 2000 kompatibilitas akses grup, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:Ketika baru domain Windows Server 2003 dibuat, akses standar seleksi kompatibilitas Izin hanya kompatibel dengan sistem operasi Windows 2000 atau Windows Server 2003. Bila opsi ini diatur, Pre-Windows 2000 kompatibilitas akses kelompok termasuk hanya Dikonfirmasi pengguna pengenal built-in keamanan, dan akses baca untuk TGGAU atribut pada objek adalah terbatas. Dalam kasus ini, aplikasi yang membutuhkan akses ke grup TGGAU ditolak akses kecuali jika account yang menjalankan aplikasi memiliki hak administrator domain atau hak-hak pengguna yang sama.

Memungkinkan aplikasi untuk membaca atribut TGGAU

Untuk menyederhanakan proses pemberian akses baca pada tanda-kelompok-global-dan-universal (TGGAU) atribut untuk pengguna yang harus membaca atribut, Windows Server 2003 memperkenalkan Windows otorisasi akses (WAA) kelompok.

Pada penginstalan baru Domain Windows Server 2003, grup WAA diberikan akses untuk membaca TGGAU atribut pada objek pengguna dan grup objek.

Windows 2000 domain

Jika domain di pre-Windows 2000 kompatibilitas mode akses, Semua orang kelompok telah membaca akses atribut TGGAU objek pengguna dengan account dan pada komputer account objek. Dalam mode ini, aplikasi dan fungsi memiliki akses ke TGGAU.

Jika domain tidak dalam pre-Windows 2000 kompatibilitas mode akses, Anda mungkin harus mengaktifkan aplikasi tertentu untuk membaca TGGAU. Karena Windows otorisasi akses Group tidak ada di Windows 2000, dianjurkan bahwa Anda membuat grup lokal domain ini tujuan, dan bahwa Anda menambahkan account pengguna atau komputer yang memerlukan akses ke TGGAU atribut ke grup tersebut. Kelompok ini harus diberikan akses ke tokenGroupsGlobalAndUniversal atribut pada pengguna objek, pada komputer objek, dan iNetOrgPersonobjek.

Untuk informasi lebih lanjut tentang bagaimana melakukan ini dengan menggunakan sampel script, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:

Campuran Mode domain dan domain upgrade

Ketika pengontrol domain Windows Server 2003 ditambahkan ke domain Windows 2000, akses kompatibilitas seleksi yang sebelumnya dipilih adalah tidak berubah. Oleh karena itu, dicampur modus domain dan domain yang upgrade ke Windows Server 2003 yang berada di pre-Windows 2000 kompatibilitas mode akses terus memiliki Semua orang kelompok di Pre-Windows 2000 kompatibilitas Akses kelompok. Selain itu, Semua orang grup masih memiliki akses ke TGGAU atribut. Dalam mode ini, aplikasi dan fungsi memiliki akses ke TGGAU.

Jika domain modus campuran tidak di pre-Windows 2000 Kompatibilitas mode akses, Anda dapat memberikan hak akses oleh cara dari WAA grup:

• WAA kelompok secara otomatis dibuat ketika Windows Server kontroler domain 2003 dipromosikan untuk operasi satu Master mengambang Server.
• WAA kelompok tidak secara otomatis diberikan akses untuk TGGAU atribut pada modus campuran domain dan di upgrade domain.

Untuk informasi lebih lanjut tentang naskah yang menunjukkan cara untuk menerapkan izin ini, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:Setelah kelompok Windows otorisasi akses (WAA) memiliki akses ke atribut TGGAU, Anda dapat menempatkan account yang memerlukan akses di WAA kelompok.

Baru Windows Server 2003 domain

Jika domain di pre-Windows 2000 kompatibilitas mode akses, Semua orang kelompok telah membaca akses atribut TGGAU objek pengguna dengan account dan pada komputer account objek. Dalam mode ini, aplikasi dan fungsi memiliki akses ke TGGAU.

Jika domain tidak dalam pre-Windows 2000 kompatibilitas mengakses modus, tambahkan WAA kelompok account tersebut yang memerlukan akses ke TGGAU. Pada penginstalan baru Windows Server 2003, grup WAA sudah mempunyai akses baca ke TGGAU pada objek pengguna dan komputer objek.