일부 응용 프로그램 및 API 계정 개체에 대한 권한 부여 정보 액세스가 필요합니다.

기술 자료 번역 기술 자료 번역
기술 자료: 331951 - 이 문서가 적용되는 제품 보기.
모두 확대 | 모두 축소

이 페이지에서

요약

일부 응용 프로그램은 사용자 계정 개체 또는 Microsoft Active Directory 디렉터리 서비스의 컴퓨터 계정 개체를 토큰-그룹-글로벌-및-유니버설 (TGGAU) 특성의 읽을 기능이 있습니다. 일부 Win32 함수가 있는 TGGAU 읽기 쉽도록 특성. 호출 보안 컨텍스트 특성에 액세스하는 경우 이 특성 또는 이 특성을 읽어 본 문서의 나머지 함수로 집합이라고 하는 API를 호출할 읽을 응용 프로그램을 성공적으로.

기본적으로 TGGAU 특성 액세스 (DCPromo.exe 프로세스 동안 도메인을 만들 때 변경한) 사용 권한 호환성 결정에 의해 결정됩니다. 새 Windows Server 2003 도메인에 대한 기본 사용 권한 호환성 TGGAU 특성 광범위한 액세스를 부여하지 않습니다. 액세스를 부여할 수 있는 TGGAU 특성을 읽는 데 필요한 Windows Server 2003의 새로운 Windows 인증 액세스 (WAA) 그룹에.

추가 정보

토큰-그룹-글로벌-및-유니버설 (TGGAU) 특성을 컴퓨터 계정 개체 및 Active Directory 사용자 계정 개체에 따라 동적으로 계산된 값입니다. 이 특성을 글로벌 그룹 구성원 및 해당 사용자 계정 또는 컴퓨터 계정의 유니버설 그룹 구성원을 열거합니다. 응용 프로그램에서 사용자가 로그온할 때 특정 사용자에 대한 여러 가지 의사 결정을 내릴 수 TGGAU 특성에 의해 제공되는 그룹 정보를 사용할 수 있습니다.

예를 들어, 응용 프로그램에서 이 정보를 사용자가 리소스에 대한 응용 프로그램 컨트롤에 액세스할 권한이 허용된 여부를 확인할 수 있습니다. 이 정보를 필요로 하는 응용 프로그램을 경량 디렉터리 액세스 프로토콜 인터페이스 또는 Active Directory 서비스 인터페이스 중 하나를 사용하여 직접 TGGAU 특성을 읽을 수 있습니다. 그러나 Microsoft Windows Server 2003 읽기 및 TGGAU 특성 해석은 간소화하는 AuthzInitializeContextFromSid 함수 및 LsaLogonUser 함수를 포함한 몇 가지 함수를 소개했습니다. 따라서 이러한 함수를 사용하는 응용 프로그램은 TGGAU 특성 모르는 사이에 읽기 수 있습니다.

응용 프로그램은 이 특성을 읽기 직접 또는 간접적으로 (통해 API)이 이 특성을 읽을 수 있도록 TGGAU 개체 사용자 개체 및 컴퓨터 개체에 대한 읽기 권한이 응용 프로그램이 실행될 보안 컨텍스트가 부여된 합니다. 응용 프로그램 TGGAU 액세스가 있다고 가정해 봅시다 거친다고지 않습니다. 따라서 응용 프로그램의 액세스가 거부될 때 실패할 수 예상할 수 있습니다. 이 상황에서 (사용자) 오류 메시지가 나타날 수 또는 액세스를 설명하는 로그 항목이 이 정보를 읽는 동안 거부되었습니다 및 액세스 (이 문서의 뒷부분에 설명된 대로) 구하는 방법에 대한 지침을 제공합니다.

정보를 사용할 수 있기 때문에 Microsoft Windows NT 4.0 및 이전 버전의 운영 체제에서는 기본적으로 TGGAU에 의해 제공되는 정보를 몇 가지 기존 응용 프로그램에 따라 달라집니다. 따라서, Microsoft Windows 2000 및 Windows Server 2003 운영 체제에서 Windows 2000 이전 버전 호환 액세스 그룹에 TGGAU 특성에 대한 읽기 권한이 부여됩니다.

기존 응용 프로그램을 사용하는 도메인을 Windows 2000 이전 버전 호환 액세스 그룹에 같이 해당 응용 프로그램이 실행되는 보안 컨텍스트를 추가하여 이러한 응용 프로그램을 처리할 수 있습니다. 또한 도메인을 만들 때 DCPromo 프로세스 동안 "pre-Windows 2000 서버와 호환되는 사용 권한" 옵션을 선택할 수 있습니다. (Windows Server 2003에서 이 옵션은 다음과 같은 worded: "pre-Windows 2000 서버 운영 체제와 호환되는 사용 권한".) 이 선택 Everyone 그룹의 Windows 2000 이전 버전 호환 액세스 그룹에 추가하고 있으므로 Everyone 그룹에 읽기 액세스를 TGGAU 특성 및 기타 많은 도메인 개체에 부여합니다.

pre-Windows 2000 호환 액세스 그룹에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
257988설명 Dcpromo 사용 권한 선택
새 Windows Server 2003 도메인이 만들어질 때 기본 액세스 호환성 호환되는 사용 권한 경우에만 Windows 2000 또는 Windows Server 2003 운영 체제를 선택입니다. 이 옵션을 설정한 경우 Windows 2000 이전 버전 호환 액세스 그룹의 인증된 사용자를 기본 제공 보안 식별자를 포함하며 TGGAU 특성에 개체에 대한 읽기 액세스가 제한됩니다. 이 경우 응용 프로그램을 실행할 계정 도메인 관리자 권한 또는 유사한 사용자 권한을 가진 경우에만 TGGAU 그룹에 대한 액세스를 필요로 하는 응용 프로그램은 액세스가 거부됩니다.

TGGAU 특성 읽기 응용 프로그램 사용

특성을 읽어야 하는 사용자에게 토큰을-그룹-글로벌-및-유니버설 (TGGAU) 특성에 대한 읽기 액세스 권한을 부여하는 프로세스를 단순화하기 위해 Windows Server 2003 Windows 인증 액세스 (WAA) 그룹을 소개합니다.

새 설치의 Windows Server 2003 도메인 WAA 그룹에 액세스 권한을 사용자 개체 및 개체 그룹 TGGAU 읽기 특성.

Windows 2000 도메인

도메인 pre-Windows 2000 호환성 액세스 모드에 있는 경우 Everyone 그룹의 사용자 계정 개체 및 컴퓨터 계정 개체를 TGGAU 특성에 대한 읽기 권한이 있습니다. 이 모드에서 응용 프로그램 및 기능을 TGGAU 액세스할 수 있습니다.

도메인의 경우 않은 Windows 2000 이전 버전 호환 액세스 모드에서 특정 응용 프로그램이 있는 TGGAU 읽을 수 있도록 할 수 있습니다. Windows 인증 액세스 그룹에 Windows 2000에 존재하지 않기 때문에 이 목적을 위해 도메인 로컬 그룹을 만들고 해당 TGGAU 액세스가 필요한 사용자 또는 컴퓨터 계정 추가 권장할 그룹에 특성. 이 그룹 tokenGroupsGlobalAndUniversal 특성에 사용자 개체, 컴퓨터 개체 및 iNetOrgPerson 개체 액세스를 부여해야 합니다.

이 예제 스크립트를 사용하여 작업을 수행하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
331947Windows Server 2003 기본 제공 그룹은 Active Directory 디렉터리 서비스에 대한 액세스 권한을 프로그래밍 방식으로 적용하는 방법

혼합된 모드 도메인 및 업그레이드된 도메인

Windows Server 2003 도메인 컨트롤러가 Windows 2000 도메인에 추가될 때 이전에 선택한 액세스 호환성 선택 영역이 변경되지 않습니다. 따라서 혼합된 모드 도메인 및 pre-Windows 2000 호환 액세스 모드에서 있던 Windows Server 2003으로 업그레이드된 도메인은 Everyone 그룹의 Windows 2000 이전 버전 호환 액세스 그룹의 계속 가집니다. 또한 Everyone 그룹을 계속 액세스할 수 있는 TGGAU 가지고 특성. 이 모드에서 응용 프로그램 및 기능을 TGGAU 액세스할 수 있습니다.

혼합된 모드 도메인의 경우 않은 Windows 2000 이전 버전 호환 액세스 모드를 통해 WAA 권한을 부여할 그룹:
  • Windows Server 2003 도메인 컨트롤러를 부동 단일 마스터 작업 서버로 올리면 WAA 그룹이 자동으로 만들어집니다.
  • WAA 그룹 액세스를 자동으로 부여되지 않은 특성 및 시 혼합 모드 도메인의 도메인 수 TGGAU 업그레이드할.
이러한 사용 권한을 적용하는 방법을 보여 주는 스크립트에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
331947Windows Server 2003 기본 제공 그룹은 Active Directory 디렉터리 서비스에 대한 액세스 권한을 프로그래밍 방식으로 적용하는 방법
Windows 인증 액세스 (WAA) 그룹 TGGAU 특성 액세스한 후에는 해당 WAA 액세스가 필요한 계정을 배치할 수 그룹.

새 Windows Server 2003 도메인

도메인 pre-Windows 2000 호환성 액세스 모드에 있는 경우 Everyone 그룹의 사용자 계정 개체 및 컴퓨터 계정 개체를 TGGAU 특성에 대한 읽기 권한이 있습니다. 이 모드에서 응용 프로그램 및 기능을 TGGAU 액세스할 수 있습니다.

도메인의 경우 않은 Windows 2000 이전 버전 호환 액세스 모드에서 TGGAU 액세스가 필요한 계정을 WAA 그룹에 추가합니다. 새 설치의 Windows Server 2003 사용자 개체 및 컴퓨터 개체에 대한 읽기 액세스 권한을 TGGAU WAA 그룹에 이미 있습니다.

속성

기술 자료: 331951 - 마지막 검토: 2008년 12월 1일 월요일 - 수정: 5.0
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows XP 64-Bit Edition Version 2003
키워드:?
kbmt kbsecurity kbinfo KB331951 KbMtko
기계 번역된 문서
중요: 본 문서는 전문 번역가가 번역한 것이 아니라 Microsoft 기계 번역 소프트웨어로 번역한 것입니다. Microsoft는 번역가가 번역한 문서 및 기계 번역된 문서를 모두 제공하므로 Microsoft 기술 자료에 있는 모든 문서를 한글로 접할 수 있습니다. 그러나 기계 번역 문서가 항상 완벽한 것은 아닙니다. 따라서 기계 번역 문서에는 마치 외국인이 한국어로 말할 때 실수를 하는 것처럼 어휘, 구문 또는 문법에 오류가 있을 수 있습니다. Microsoft는 내용상의 오역 또는 Microsoft 고객이 이러한 오역을 사용함으로써 발생하는 부 정확성, 오류 또는 손해에 대해 책임을 지지 않습니다. Microsoft는 이러한 문제를 해결하기 위해 기계 번역 소프트웨어를 자주 업데이트하고 있습니다.

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com