Alguns aplicativos e APIs exigir acesso a informações de autorização em objetos de conta

Traduções deste artigo Traduções deste artigo
ID do artigo: 331951 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Alguns aplicativos possuem recursos que ler o atributo de (TGGAU) de token-grupos-global-e-universal em objetos de conta de usuário ou em objetos de conta de computador no serviço de diretório do Microsoft Active Directory. Algumas funções do Win32 facilitam a leitura a TGGAU atributo. Aplicativos que lêem que esse atributo ou que chamar uma API (chamada de uma função no restante deste artigo), que lê esse atributo não têm êxito se o contexto de segurança chamada não tiver acesso ao atributo.

Por padrão, o acesso ao atributo TGGAU é determinado pela decisão de Compatibilidade de permissão (feita quando o domínio foi criado durante o processo DCPromo.exe). A compatibilidade de permissão padrão para novos domínios do Windows Server 2003 não concede acesso amplo para o atributo TGGAU. Acesso de leitura pode ser concedido o atributo TGGAU conforme necessário ao novo grupo de Acesso de autorização do Windows (WAA) no Windows Server 2003.

Mais Informações

O atributo de (TGGAU) de token-grupos-global-e-universal é um valor calculado dinamicamente em objetos de conta de computador e em objetos de conta de usuário no Active Directory. Esse atributo enumera os membros do grupo global e os membros do grupo universal para a conta do usuário correspondente ou a conta do computador. Aplicativos podem usar as informações de grupo que forneceu pelo atributo TGGAU para tomar várias decisões sobre um usuário específico quando o usuário não estiver conectado.

Por exemplo, um aplicativo pode usar essas informações para determinar se um usuário recebeu acesso a um recurso que os controles do aplicativo acessar para. Os aplicativos que exigem essas informações podem ler o atributo TGGAU diretamente usando interfaces de LDAP ou interfaces de serviços do Active Directory. No entanto, o Microsoft Windows Server 2003 introduziu várias funções (incluindo a função AuthzInitializeContextFromSid e a função LsaLogonUser ) que simplificam a leitura e interpretação do atributo TGGAU. Portanto, aplicativos que usam essas funções podem inadvertidamente estar lendo o atributo TGGAU.

Para aplicativos poder ler este atributo diretamente ou indiretamente ler esse atributo (através do uso de uma API), que o aplicativo seja executado no contexto de segurança deve ter recebido acesso de leitura ao objeto TGGAU objetos de usuário e os objetos de computador. Você não espera que aplicativos assumir que eles têm acesso a TGGAU. Portanto, você pode esperar aplicativos sejam sem êxito quando o acesso é negado. Nessa situação, você (o usuário) pode receber uma mensagem de erro ou uma entrada de log que explica que o acesso foi negada ao tentar ler essas informações e que fornece instruções sobre como obter acesso (conforme descrito neste artigo).

Vários aplicativos dependem das informações que são fornecidas por TGGAU porque as informações estão disponíveis por padrão no Microsoft Windows NT 4.0 e em sistemas operacionais anteriores. Portanto, nos sistemas operacionais Microsoft Windows 2000 e Windows Server 2003, o acesso de leitura ao atributo TGGAU é concedido ao grupo Acesso compatível anterior ao Windows 2000 .

Para os domínios que usam aplicativos existentes, você pode manipular esses aplicativos, adicionando os contextos de segurança que esses aplicativos executam como ao grupo Acesso compatível anterior ao Windows 2000 . Como alternativa, você pode selecionar a opção "Permissões compatíveis com servidores 2000 pré-Windows" durante o processo DCPromo quando você cria um domínio. (No Windows Server 2003, esta opção é worded da seguinte maneira: "Permissões compatíveis com os sistemas operacionais de servidor 2000 anteriores ao Windows" .) Esta seleção adiciona o grupo todos ao grupo Acesso compatível anterior ao Windows 2000 e, portanto, conceda o todos grupo de acesso de leitura para o atributo TGGAU e muitos outros objetos de domínio.

Para obter mais informações sobre o grupo de acesso de compatibilidade anterior ao Windows 2000, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
257988Descrição das opções de permissões de Dcpromo
Quando um novo domínio do Windows Server 2003 é criado, a seleção de compatibilidade de acesso padrão é permissões compatíveis somente com Windows 2000 ou sistemas operacionais Windows Server 2003 . Quando essa opção é definida, o grupo de Acesso de compatibilidade anterior ao Windows 2000 inclui somente o identificador de segurança interna de Usuários autenticados e acesso de leitura para o atributo TGGAU em objetos é limitado. Nesse caso, aplicativos que requerem acesso ao grupo TGGAU têm acesso negados a menos que a conta sob a qual os aplicativos executados tenha direitos de administrador de domínio ou direitos de usuário similar.

Habilitando aplicativos ler o atributo TGGAU

Para simplificar o processo de conceder acesso de leitura no atributo token-grupos-global-e-universal (TGGAU) aos usuários que devem ler o atributo, o Windows Server 2003 apresenta o grupo de acesso de autorização do Windows (WAA).

Em novas instalações de domínios do Windows Server 2003, o grupo WAA é concedido acesso para leitura TGGAU atributo em objetos de usuário e em objetos de grupo.

Domínios do Windows 2000

Se o domínio estiver no modo de acesso compatibilidade anterior ao Windows 2000, o grupo todos tem acesso de leitura ao atributo TGGAU em objetos de conta de usuário e em objetos de conta de computador. Nesse modo, funções e aplicativos têm acesso a TGGAU.

Se o domínio for não no modo de acesso de compatibilidade anterior ao Windows 2000, talvez você precise ativar determinados aplicativos para ler o TGGAU. Porque o Grupo de acesso de autorização do Windows não existe no Windows 2000, é recomendável que você crie um grupo local de domínio para essa finalidade, e que você adicionar a conta de usuário ou computador que requer acesso para o TGGAU atributo a esse grupo. Esse grupo teria que ter permissão de acesso ao atributo tokenGroupsGlobalAndUniversal em objetos de usuário, objetos de computador e objetos iNetOrgPerson .

Para obter mais informações sobre como fazer isso usando um script de exemplo, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
331947Como aplicar programaticamente permissões de acesso para grupos internos do Windows Server 2003 no serviço de diretório do Active Directory

Domínios de modo misto e domínios atualizados

Quando um controlador de domínio do Windows Server 2003 é adicionado a um domínio do Windows 2000, a seleção de compatibilidade de acesso que anteriormente foi selecionada não é alterada. Portanto, domínios de modo misto e domínios que foram atualizados para o Windows Server 2003 que estavam no modo de acesso compatibilidade anterior ao Windows 2000 continuam com o grupo todos no grupo de Acesso de compatibilidade anterior ao Windows 2000 . Além disso, o grupo todos ainda tem acesso ao TGGAU atributo. Nesse modo, funções e aplicativos têm acesso a TGGAU.

Se o domínio de modo misto for não no modo de acesso de compatibilidade anterior ao Windows 2000, você pode conceder permissões por meio do WAA grupo:
  • O grupo WAA é criado automaticamente quando um controlador de domínio do Windows Server 2003 é promovido a flutuante Single Master Operations Server.
  • O grupo WAA não recebe automaticamente acesso para o TGGAU atributo domínios de modo misto e atualizado domínios.
Para obter mais informações sobre um script que demonstra como aplicar essas permissões, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
331947Como aplicar programaticamente permissões de acesso para grupos internos do Windows Server 2003 no serviço de diretório do Active Directory
Após o grupo de acesso de autorização do Windows (WAA) tenha acesso ao atributo TGGAU, você pode colocar as contas que requerem acesso em WAA o grupo.

Domínios do novo Windows Server 2003

Se o domínio estiver no modo de acesso compatibilidade anterior ao Windows 2000, o grupo todos tem acesso de leitura ao atributo TGGAU em objetos de conta de usuário e em objetos de conta de computador. Nesse modo, funções e aplicativos têm acesso a TGGAU.

Se o domínio for não no modo de acesso de compatibilidade anterior ao Windows 2000, adicionar ao grupo WAA essas contas que requerem acesso a TGGAU. Em novas instalações do Windows Server 2003, o grupo WAA já tem acesso de leitura TGGAU em objetos de usuário e em objetos de computador.

Propriedades

ID do artigo: 331951 - Última revisão: segunda-feira, 1 de dezembro de 2008 - Revisão: 5.0
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows XP 64-Bit Edition Version 2003
Palavras-chave: 
kbmt kbsecurity kbinfo KB331951 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 331951

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com