Alcune applicazioni e API richiedono l'accesso alle informazioni di autorizzazione sugli oggetti account
Questo articolo descrive alcune applicazioni e le API (Application Programming Interface) devono avere accesso all'attributo token-groups-global-and-universal (TGGAU) negli oggetti account utente o negli oggetti account computer nel servizio Directory Active Directory.
Si applica a: Windows Server 2012 R2
Numero KB originale: 331951
Riepilogo
Alcune applicazioni hanno funzionalità che leggono l'attributo token-groups-global-and-universal (TGGAU) negli oggetti account utente o negli oggetti account computer nel servizio directory di Microsoft Active Directory. Alcune funzioni Win32 semplificano la lettura dell'attributo TGGAU. Le applicazioni che leggono questo attributo o che chiamano un'API (definita funzione nel resto di questo articolo) che legge questo attributo non hanno esito positivo se il contesto di sicurezza chiamante non ha accesso all'attributo.
Per impostazione predefinita, l'accesso all'attributo TGGAU è determinato dalla decisione di compatibilità delle autorizzazioni (presa quando il dominio è stato creato durante il processo di DCPromo.exe). La compatibilità delle autorizzazioni predefinita per i nuovi domini di Windows Server 2003 non concede l'accesso ampio all'attributo TGGAU. L'accesso per leggere l'attributo TGGAU può essere concesso in base alle esigenze del nuovo gruppo Di accesso all'autorizzazione di Windows (WAA) in Windows Server 2003.
Ulteriori informazioni
L'attributo token-groups-global-and-universal (TGGAU) è un valore calcolato dinamicamente sugli oggetti account computer e sugli oggetti account utente in Active Directory. Questo attributo enumera le appartenenze ai gruppi globali e le appartenenze a gruppi universali per l'account utente o l'account computer corrispondente. Le applicazioni possono usare le informazioni di gruppo fornite dall'attributo TGGAU per prendere varie decisioni su un utente specifico quando l'utente non è connesso.
Ad esempio, un'applicazione può usare queste informazioni per determinare se a un utente è stato concesso l'accesso a una risorsa per cui l'applicazione controlla l'accesso. Le applicazioni che richiedono queste informazioni possono leggere direttamente l'attributo TGGAU usando interfacce Lightweight Directory Access Protocol o Interfacce di Active Directory Services. Tuttavia, Microsoft Windows Server 2003 ha introdotto diverse funzioni (tra cui la funzione AuthzInitializeContextFromSid e la funzione LsaLogonUser) che semplificano la lettura e l'interpretazione dell'attributo TGGAU. Pertanto, le applicazioni che usano queste funzioni potrebbero leggere inconsapevolmente l'attributo TGGAU.
Per consentire alle applicazioni di leggere direttamente questo attributo o leggere indirettamente questo attributo (tramite l'uso di un'API), al contesto di sicurezza in cui viene eseguita l'applicazione deve essere stato concesso l'accesso in lettura all'oggetto TGGAU negli oggetti utente e negli oggetti computer. Non si prevede che le applicazioni presuppongono che abbiano accesso a TGGAU. Pertanto, è possibile prevedere che le applicazioni non riescano quando l'accesso viene negato. In questo caso, l'utente potrebbe ricevere un messaggio di errore o una voce di log che spiega che l'accesso è stato negato durante il tentativo di leggere queste informazioni e che fornisce istruzioni su come ottenere l'accesso (come descritto più avanti in questo articolo).
Diverse applicazioni esistenti dipendono dalle informazioni fornite da TGGAU perché le informazioni sono disponibili per impostazione predefinita in Microsoft Windows NT 4.0 e nei sistemi operativi precedenti. Pertanto, nei sistemi operativi Microsoft Windows 2000 e Windows Server 2003, l'accesso in lettura all'attributo TGGAU viene concesso al gruppo accesso compatibile pre-Windows 2000 .
Per i domini che usano applicazioni esistenti, è possibile gestire queste applicazioni aggiungendo i contesti di sicurezza eseguiti da tali applicazioni al gruppo Accesso compatibile pre-Windows 2000 . È invece possibile selezionare l'opzione "Autorizzazioni compatibili con server pre-Windows 2000" durante il processo DCPromo quando si crea un dominio. In Windows Server 2003 questa opzione è definita come segue: "Autorizzazioni compatibili con i sistemi operativi server pre-Windows 2000". Questa selezione aggiunge il gruppo Everyone al gruppo Accesso compatibile pre-Windows 2000 e concede quindi al gruppo Everyone l'accesso in lettura all'attributo TGGAU e a molti altri oggetti di dominio.
Quando viene creato un nuovo dominio di Windows Server 2003, la selezione della compatibilità di accesso predefinita è Autorizzazioni compatibili solo con i sistemi operativi Windows 2000 o Windows Server 2003. Quando questa opzione è impostata, il gruppo Accesso compatibilità precedenti a Windows 2000 include solo l'identificatore di sicurezza predefinito Utenti autenticati e l'accesso in lettura all'attributo TGGAU negli oggetti è limitato. In questo caso, alle applicazioni che richiedono l'accesso al gruppo TGGAU viene negato l'accesso a meno che l'account in cui vengono eseguite le applicazioni non disponga di diritti di amministratore di dominio o diritti utente simili.
Abilitazione delle applicazioni per la lettura dell'attributo TGGAU
Per semplificare il processo di concessione dell'accesso in lettura sull'attributo token-groups-global-and-universal (TGGAU) agli utenti che devono leggere l'attributo, Windows Server 2003 introduce il gruppo accesso all'autorizzazione windows (WAA).
Nelle nuove installazioni dei domini di Windows Server 2003, al gruppo WAA viene concesso l'accesso all'attributo TGGAU in lettura negli oggetti utente e negli oggetti gruppo.
Domini di Windows 2000
Se il dominio è in modalità di accesso di compatibilità pre-Windows 2000, il gruppo Everyone ha accesso in lettura all'attributo TGGAU negli oggetti account utente e negli oggetti account computer. In questa modalità le applicazioni e le funzioni hanno accesso a TGGAU.
Se il dominio non è in modalità di accesso alla compatibilità pre-Windows 2000, potrebbe essere necessario abilitare determinate applicazioni per la lettura di TGGAU. Poiché il gruppo di accesso all'autorizzazione windows non esiste in Windows 2000, è consigliabile creare un gruppo locale di dominio a questo scopo e aggiungere l'account utente o computer che richiede l'accesso all'attributo TGGAU a tale gruppo. A questo gruppo dovrebbe essere concesso l'accesso all'attributo tokenGroupsGlobalAndUniversal negli oggetti utente, negli oggetti computer e negli iNetOrgPerson oggetti .
Domini in modalità mista e domini aggiornati
Quando un controller di dominio Windows Server 2003 viene aggiunto a un dominio windows 2000, la selezione della compatibilità di accesso selezionata in precedenza non viene modificata. I domini e i domini in modalità mista aggiornati a Windows Server 2003 che erano in modalità di accesso alla compatibilità precedenti a Windows 2000 continuano ad avere il gruppo Everyone nel gruppo Accesso compatibilità precedenti a Windows 2000 . Inoltre, il gruppo Everyone ha ancora accesso all'attributo TGGAU. In questa modalità le applicazioni e le funzioni hanno accesso a TGGAU.
Se il dominio in modalità mista non è in modalità di accesso di compatibilità pre-Windows 2000, è possibile concedere le autorizzazioni tramite il gruppo WAA:
- Il gruppo WAA viene creato automaticamente quando un controller di dominio di Windows Server 2003 viene promosso a Floating Single Master Operations Server.
- Al gruppo WAA non viene concesso automaticamente l'accesso all'attributo TGGAU nei domini in modalità mista e nei domini aggiornati.
Dopo che il gruppo accesso all'autorizzazione di Windows (WAA) ha accesso all'attributo TGGAU, è possibile inserire gli account che richiedono l'accesso nel gruppo WAA.
Nuovi domini di Windows Server 2003
Se il dominio è in modalità di accesso di compatibilità pre-Windows 2000, il gruppo Everyone ha accesso in lettura all'attributo TGGAU negli oggetti account utente e negli oggetti account computer. In questa modalità le applicazioni e le funzioni hanno accesso a TGGAU.
Se il dominio non è in modalità di accesso di compatibilità pre-Windows 2000, aggiungere al gruppo WAA gli account che richiedono l'accesso a TGGAU. Nelle nuove installazioni di Windows Server 2003, il gruppo WAA ha già accesso in lettura a TGGAU negli oggetti utente e negli oggetti computer.
Commenti e suggerimenti
Presto disponibile: nel corso del 2024 verranno dismessi i problemi di GitHub come meccanismo di feedback per il contenuto e verranno sostituiti con un nuovo sistema di feedback. Per altre informazioni, vedere: https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per