Algumas aplicações e APIs requerem acesso às informações de autorização no objectos de conta

Traduções de Artigos Traduções de Artigos
Artigo: 331951 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Algumas aplicações têm funcionalidades que leia o atributo de (TGGAU) de token-grupos-global-e-universal em objectos de conta de utilizador ou de objectos de conta de computador no serviço de directório do Active Directory da Microsoft. Algumas funções do Win32 facilitam a leitura a TGGAU atributo. As aplicações que leia que este atributo ou que chamada uma API (referida como uma função no resto deste artigo) que lê este atributo não têm êxito se o contexto de segurança chamada não tiver acesso ao atributo.

Por predefinição, o acesso ao atributo TGGAU é determinado pela decisão de Compatibilidade de permissões (efectuada quando o domínio foi criado durante o processo DCPromo.exe). A compatibilidade de permissões predefinida para novos domínios do Windows Server 2003 não lhe concede acesso vasto ao atributo TGGAU. Acesso para ler o atributo TGGAU pode ser concedido como necessário para o novo grupo de Acesso de autorização do Windows (WAA) no Windows Server 2003.

Mais Informação

O atributo (TGGAU) de token-grupos-global-e-universal é um valor calculado dinamicamente em objectos de conta de computador e em objectos de conta de utilizador no Active Directory. Este atributo Enumera os membros do grupo global e os membros do grupo universal para a conta de utilizador correspondente ou a conta de computador. As aplicações podem utilizar as informações de grupo que são fornecidas pelo atributo TGGAU tomar várias decisões sobre um utilizador específico quando o utilizador não tem sessão iniciada.

Por exemplo, uma aplicação pode utilizar estas informações para determinar se um utilizador foi concedido acesso a um recurso de aplicação controla o acesso para. As aplicações que requerem estas informações podem ler o atributo TGGAU directamente utilizando o Lightweight Directory Access Protocol interfaces ou interfaces de serviços do Active Directory. No entanto, o Microsoft Windows Server 2003 introduziu (incluindo a função AuthzInitializeContextFromSid e a função LsaLogonUser ) várias funções para simplificar a leitura e interpretação do atributo TGGAU. Por este motivo, as aplicações que utilizam estas funções poderão inadvertidamente possível ler o atributo TGGAU.

Para as aplicações consigam ler este atributo directa ou indirectamente ler este atributo (através da utilização de uma API), que a aplicação é executada no contexto de segurança tem ter sido concedido acesso de leitura ao objecto de TGGAU objectos de utilizador e os objectos de computador. Não deverá aplicações partem do princípio que tiverem acesso a TGGAU. Por conseguinte, pode esperar que as aplicações sem êxito quando o acesso é negado. Nesta situação, (utilizador) que poderá receber uma mensagem de erro ou uma entrada de registo que explica que o acesso foi negada ao tentar ler estas informações e que fornece instruções sobre como obter acesso (tal como descrito neste artigo).

Várias aplicações existentes dependem das informações fornecidas pelo TGGAU porque as informações estão disponíveis por predefinição no Microsoft Windows NT 4.0 e em sistemas operativos anteriores. Por conseguinte, nos sistemas operativos Microsoft Windows 2000 e Windows Server 2003, acesso de leitura ao atributo TGGAU é concedido ao grupo Pre-Windows 2000 Compatible Access .

Para domínios que utilizam aplicações existentes, podem processar estas aplicações, adicionando os contextos de segurança com essas aplicações como ao grupo Pre-Windows 2000 Compatible Access . Em alternativa, pode seleccionar a opção "Permissões compatíveis com versões anteriores ao Windows 2000 servidores" durante o processo de DCPromo quando criar um domínio. (No Windows Server 2003, esta opção é worded da seguinte forma: "Permissões compatíveis com versões anteriores ao Windows sistemas operativos de servidor 2000" .) Esta selecção adiciona o grupo todos ao grupo Pre-Windows 2000 Compatible Access e assim concede o Todos (Everyone) grupo leitura acesso ao atributo TGGAU e muitos outros objectos de domínio.

Para obter mais informações sobre o grupo de acesso de compatibilidade anterior ao Windows 2000, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
257988Descrição das opções de permissões Dcpromo
Quando é criado um novo domínio do Windows Server 2003, a selecção de compatibilidade de acesso predefinida é permissões compatíveis apenas com Windows 2000 ou sistemas operativos Windows Server 2003 . Quando esta opção estiver definida, o grupo de Acesso de compatibilidade de versões anteriores ao Windows 2000 inclui apenas o identificador de segurança incorporada de Utilizadores autenticados e o acesso de leitura ao atributo TGGAU em objectos é limitado. Neste caso, as aplicações que requerem acesso ao grupo TGGAU são negadas acesso a menos que a conta em que as aplicações executado tenha direitos de administrador de domínio ou direitos de utilizador semelhante.

Activar aplicações para o atributo TGGAU de leitura

Para simplificar o processo de conceder acesso de leitura no atributo token-grupos-global-e-universal (TGGAU) a utilizadores que tem o atributo de leitura, o Windows Server 2003 apresenta o grupo de acesso de autorização do Windows (WAA).

Em novas instalações de domínios do Windows Server 2003, o grupo WAA é concedido acesso para leitura TGGAU atributos em objectos de utilizador e em objectos de grupo.

Domínios do Windows 2000

Se o domínio estiver no modo de acesso de compatibilidade 2000 anteriores ao Windows, o grupo todos tem acesso de leitura para o atributo TGGAU em objectos de conta de utilizador e em objectos de conta de computador. Neste modo, as aplicações e funções têm acesso TGGAU.

Se o domínio não no modo de acesso de compatibilidade anterior ao Windows 2000, poderá ter de activar determinadas aplicações ler o TGGAU. Porque não existe o Grupo de acesso autorizado pelo Windows no Windows 2000, é recomendável que criar um grupo local de domínio para este fim, e que adicione a conta de utilizador ou computador que requer acesso a TGGAU atributo a esse grupo. Este grupo tem de ser concedido acesso ao atributo tokenGroupsGlobalAndUniversal sobre objectos de utilizador, em objectos de computador e no iNetOrgPerson objectos.

Para obter mais informações sobre como fazê-lo utilizando um script de exemplo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
331947Como aplicar programaticamente permissões de acesso para Windows Server 2003 grupos incorporados no serviço de directório do Active Directory

Domínios de modo misto e domínios actualizados

Quando um controlador de domínio do Windows Server 2003 é adicionado a um domínio do Windows 2000, a selecção de compatibilidade de acesso que tiver sido seleccionada anteriormente não é alterada. Por este motivo, os domínios de modo misto e os domínios que foram actualizados para o Windows Server 2003 que estavam no modo de acesso de compatibilidade 2000 anteriores ao Windows continuam a ter o grupo todos do grupo de Acesso de compatibilidade de versões anteriores ao Windows 2000 . Além disso, o grupo Todos (Everyone) ainda tem acesso a TGGAU atributo. Neste modo, as aplicações e funções têm acesso TGGAU.

Se o domínio de modo misto não no modo de acesso de compatibilidade anterior ao Windows 2000, pode conceder permissões através do WAA grupo:
  • O grupo WAA é criado automaticamente quando um controlador de domínio do Windows Server 2003 é promovido ao servidor de operações de mestre único flutuante.
  • O grupo WAA não é concedido automaticamente acesso para o TGGAU atributo em domínios de modo misto e no actualizar domínios.
Para obter mais informações sobre um script que demonstra como aplicar estas permissões, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
331947Como aplicar programaticamente permissões de acesso para Windows Server 2003 grupos incorporados no serviço de directório do Active Directory
Depois do grupo de acesso de autorização do Windows (WAA) tem acesso ao atributo TGGAU, pode colocar as contas que requerem acesso a WAA grupo.

Domínios do novo Windows Server 2003

Se o domínio estiver no modo de acesso de compatibilidade 2000 anteriores ao Windows, o grupo todos tem acesso de leitura para o atributo TGGAU em objectos de conta de utilizador e em objectos de conta de computador. Neste modo, as aplicações e funções têm acesso TGGAU.

Se o domínio não no modo de acesso de compatibilidade anterior ao Windows 2000, adicionar ao grupo WAA as contas que necessitem de acesso a TGGAU. Nas novas instalações do Windows Server 2003, o grupo WAA já tem acesso de leitura a TGGAU em objectos de utilizador e em objectos de computador.

Propriedades

Artigo: 331951 - Última revisão: 1 de dezembro de 2008 - Revisão: 5.0
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows XP 64-Bit Edition Version 2003
Palavras-chave: 
kbmt kbsecurity kbinfo KB331951 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 331951

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com