Alcune applicazioni e API richiedono l'accesso a informazioni di autorizzazione su oggetti account

Traduzione articoli Traduzione articoli
Identificativo articolo: 331951 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

Alcune applicazioni presentano caratteristiche che consente di leggere l'attributo di (TGGAU) del token-gruppi-globale-e-universal sugli oggetti account utente o sugli oggetti account computer del servizio di directory Microsoft Active Directory. Alcune funzioni di Win32 rendere pi¨ semplice leggere il TGGAU attributo. Applicazioni che leggono che questo attributo o che chiama un'API (definita come una funzione nella parte restante di questo articolo) che questo attributo viene caricato non riescano se il contesto di protezione chiamante non dispone di accesso all'attributo.

Per impostazione predefinita, l'accesso all'attributo TGGAU si dipende dalla decisione di CompatibilitÓ di autorizzazione (apportata quando il dominio Ŕ stato creato durante il processo di DCPromo.exe). La compatibilitÓ di autorizzazione predefinito dei nuovi domini Windows Server 2003 non concede all'ampia accesso all'attributo TGGAU. Accesso in lettura pu˛ essere concessa l'attributo TGGAU come necessario per il nuovo gruppo di Accesso autorizzazione Windows (WAA) in Windows Server 2003.

Informazioni

L'attributo di token-gruppi-globale-e-universale (TGGAU) Ŕ un valore calcolato in modo dinamico su oggetti di account di computer e degli oggetti di account utente in Active Directory. Questo attributo enumera le appartenenze ai gruppi globali e le appartenenze universale per gli account utente corrispondente account computer. Le applicazioni possono utilizzare le informazioni di gruppo che sono fornite dall'attributo TGGAU per prendere diverse decisioni relative a un utente specifico quando l'utente non Ŕ connesso.

Ad esempio, un'applicazione consente queste informazioni di determinare se un utente dispone dell'accesso a una risorsa accessibile per i controlli dell'applicazione. Le applicazioni che richiedono tali informazioni Ŕ possono leggere l'attributo TGGAU direttamente utilizzando o le interfacce di Lightweight Directory Access Protocol che Active Directory Services Interfaces. Tuttavia, Microsoft Windows Server 2003 introdotti diverse funzioni che semplificano la lettura e l'interpretazione dell'attributo TGGAU (inclusi la funzione AuthzInitializeContextFromSid non e la funzione LsaLogonUser ). Di conseguenza, le applicazioni che utilizzano queste funzioni potrebbero inavvertitamente da leggere l'attributo TGGAU.

Per le applicazioni per poter leggere questo attributo direttamente o se indirettamente leggere questo attributo (mediante l'utilizzo di un'API), il contesto di protezione l'applicazione viene eseguita in disporre accesso in lettura oggetto TGGAU sugli oggetti utente e per gli oggetti computer. Non si prevede che le applicazioni si presuppone che questi dispongano di accesso TGGAU. Di conseguenza, Ŕ possibile prevedere le applicazioni non riuscito quando viene negato l'accesso. In questo caso, (utente) Ŕ possibile che venga visualizzato un messaggio o una voce di registro che spiega che l'accesso negata durante il tentativo di leggere queste informazioni e che fornisce istruzioni su come ottenere l'accesso (come descritto pi¨ avanti in questo articolo).

Diverse applicazioni dipendono dalle informazioni che sono fornite da TGGAU poichÚ le informazioni disponibili per impostazione predefinita in Microsoft Windows NT 4.0 e nei sistemi operativi precedenti. Di conseguenza, nei sistemi operativi di Microsoft Windows 2000 e Windows Server 2003, accesso in lettura all'attributo TGGAU Ŕ concesso al gruppo Pre-Windows 2000 Compatible Access .

Per i domini che utilizzano le applicazioni esistenti, Ŕ possibile gestire queste applicazioni aggiungendo i contesti di protezione che le applicazioni eseguite al gruppo Pre-Windows 2000 Compatible Access . In alternativa, Ŕ possibile selezionare l'opzione "Autorizzazioni compatibili con server precedenti a Windows 2000" durante il processo di DCPromo quando si crea un dominio. (In Windows Server 2003, questa opzione Ŕ seguente nel modo seguente: "Autorizzazioni compatibili con sistemi operativi di server 2000 precedenti a Windows" .) Questa opzione aggiunge il gruppo Everyone al gruppo Pre-Windows 2000 Compatible Access e concede quindi l'il Everyone gruppo di accesso in lettura per l'attributo TGGAU e molti altri oggetti di dominio.

Per ulteriori informazioni sul gruppo Accesso compatibile precedente a Windows 2000, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
257988Descrizione delle scelte di autorizzazioni Dcpromo
Quando viene creato un nuovo dominio di Windows Server 2003, la selezione di compatibilitÓ di accesso predefinito Ŕ autorizzazioni compatibili solo con Windows 2000 o sistemi operativi Windows Server 2003 . Quando questa opzione Ŕ impostata, il gruppo Accesso compatibile di precedente a Windows 2000 include solo l'identificatore di protezione incorporato Authenticated Users e accesso in lettura all'attributo TGGAU sugli oggetti Ŕ limitato. In questo caso, applicazioni che richiedono l'accesso al gruppo TGGAU hanno accesso a meno che l'account con cui si esegue le applicazioni non disponga dei diritti di amministratore di dominio o diritti utente simili.

Abilitazione di applicazioni per la lettura dell'attributo TGGAU

Per semplificare il processo di concedere l'accesso in lettura sull'attributo token-gruppi-globale-e-universale (TGGAU) agli utenti che devono leggere l'attributo, Windows Server 2003 introduce il gruppo di accesso autorizzazione Windows (WAA).

Nelle nuove installazioni di domini di Windows Server 2003, il gruppo WAA Ŕ concesso l'accesso per la lettura TGGAU attributo su oggetti utente e degli oggetti di gruppo.

Domini di Windows 2000

Se il dominio Ŕ in modalitÓ di accesso precedente a Windows 2000 compatibilitÓ, il gruppo Everyone dispone di accesso in lettura all'attributo TGGAU su oggetti account utente e sulla oggetti account computer. In questa modalitÓ, in applicazioni e le funzioni sono hanno accesso a TGGAU.

Se il dominio Ŕ non in modalitÓ di accesso compatibilitÓ precedente a Windows 2000, potrebbe essere necessario consentono alcune applicazioni di leggere il TGGAU. PoichÚ il Gruppo di accesso autorizzazione Windows non Ŕ presente in Windows 2000, Ŕ consigliabile che si crea un gruppo locale di dominio per questo scopo e aggiungere l'account dell'utente o del computer che richiede l'accesso per il TGGAU attributo a tale gruppo. Questo gruppo dovrebbe essere concesso l'accesso all'attributo tokenGroupsGlobalAndUniversal negli oggetti utente, gli oggetti computer e gli oggetti iNetOrgPerson .

Per ulteriori informazioni su come effettuare questa operazione utilizzando uno script di esempio, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
331947Come applicare a livello di programmazione autorizzazioni di accesso per gruppi incorporati Windows Server 2003 il servizio di directory Active Directory

Domini in modalitÓ mista e domini aggiornati

Quando un controller di dominio di Windows Server 2003 viene aggiunto a un dominio di Windows 2000, la selezione di compatibilitÓ di accesso in precedenza Ŕ stata selezionata non viene modificata. Di conseguenza, domini in modalitÓ mista e domini sono stati aggiornati a Windows Server 2003 in modalitÓ di accesso precedente a Windows 2000 compatibilitÓ continuano affinchÚ il gruppo Everyone nel gruppo di Accesso di compatibilitÓ precedente a Windows 2000 . Inoltre, il Everyone ancora pu˛ accedere al TGGAU attributo. In questa modalitÓ, in applicazioni e le funzioni sono hanno accesso a TGGAU.

Se il dominio a modalitÓ mista Ŕ non in modalitÓ di accesso compatibilitÓ precedente a Windows 2000, Ŕ possibile concedere autorizzazioni per mezzo di WAA il gruppo:
  • Il gruppo WAA viene creato automaticamente quando un controller di dominio di Windows Server 2003 viene promosso al server di Floating Single Master Operations.
  • Il gruppo WAA accesso non viene concessa automaticamente il TGGAU attributo nei domini a modalitÓ mista e in aggiornati domini.
Per ulteriori informazioni su uno script viene illustrato come applicare queste autorizzazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
331947Come applicare a livello di programmazione autorizzazioni di accesso per gruppi incorporati Windows Server 2003 il servizio di directory Active Directory
Dopo avere accesso all'attributo TGGAU, il gruppo di accesso autorizzazione Windows (WAA) Ŕ possibile inserire gli account che richiedono l'accesso in WAA il gruppo.

Domini di nuovo Windows Server 2003

Se il dominio Ŕ in modalitÓ di accesso precedente a Windows 2000 compatibilitÓ, il gruppo Everyone dispone di accesso in lettura all'attributo TGGAU su oggetti account utente e sulla oggetti account computer. In questa modalitÓ, in applicazioni e le funzioni sono hanno accesso a TGGAU.

Se il dominio Ŕ non in modalitÓ di accesso precedente a Windows 2000 compatibilitÓ, aggiungere al WAA gruppo gli account che richiedono l'accesso a TGGAU. Nelle nuove installazioni di Windows Server 2003, il gruppo WAA Ŕ giÓ presente accesso in lettura a TGGAU degli oggetti utente e negli oggetti computer.

ProprietÓ

Identificativo articolo: 331951 - Ultima modifica: lunedý 1 dicembre 2008 - Revisione: 5.0
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows XP 64-Bit Edition Version 2003
Chiavi:á
kbmt kbsecurity kbinfo KB331951 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 331951
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com