Некоторые приложения и интерфейсы API требует доступ к данным авторизации на объекты учетных записей

Переводы статьи Переводы статьи
Код статьи: 331951 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

Некоторые приложения имеют возможности чтения маркер групп глобальный и универсальная (TGGAU) атрибут объектов учетной записи пользователя или учетной записи компьютера объекты в службе каталогов Microsoft Active Directory. Некоторые функции Win32 облегчить его чтение TGGAU атрибут. Приложения, считывающие этот атрибут или, вызывать API (так называемые функции в оставшейся части этой статьи), который считывает его атрибут не состоится, если контекст вызова безопасности не имеет доступа к атрибут.

По умолчанию определяется доступ к атрибуту TGGAU Совместимость разрешений решение (когда домен был создан во время Процесс DCPromo.exe). Совместимость разрешений по умолчанию для новых доменов Windows Server 2003 предоставляет широкий доступ к атрибуту TGGAU. Доступ прочесть атрибут TGGAU может быть предоставлено как необходимые для нового Windows Авторизация доступа Группа (WAA) в Windows Server 2003.

Дополнительная информация

Атрибут маркер групп глобальный и универсальная (TGGAU) динамически вычисляемое значение на объекты учетных записей компьютера и объектов учетной записи пользователя в активной Каталог. Этот атрибут перечисляет глобальных группах и универсальных группах для соответствующей учетной записи пользователя или учетной записи компьютера. Приложения могут использовать группы сведения, предоставляемые с помощью атрибута TGGAU для принятия различных решений о Если пользователь не вошел в систему определенного пользователя.

Например приложение может использовать эту информацию для определения, может ли пользователь право доступа к ресурс, доступ к элементам управления приложения для. Приложения, использующие это сведения можно прочесть атрибут TGGAU непосредственно с помощью протокола LDAP интерфейсы или интерфейсы служб Active Directory. Тем не менее Microsoft Windows Server 2003 появились несколько функций (включая AuthzInitializeContextFromSid функция и LsaLogonUser функция), упрощающие для чтения и интерпретации атрибута TGGAU. Таким образом приложения, использующие Эти функции могут непреднамеренно чтение атрибута TGGAU.

Для Чтобы приложения могли непосредственно чтение Этот атрибут или косвенно чтения Этот атрибут (через за использование API), необходимо иметь, приложение запускается в контексте безопасности разрешения на чтение для объекта TGGAU на объекты пользователей и объектов-компьютеров. Не хотят, чтобы предположить, что они имеют доступ к TGGAU приложения. Таким образом можно ожидать, приложения к ошибкам при доступе. В этом случае (пользователя) может появиться сообщение об ошибке или запись в журнал, объясняющее, что отказа в доступе при попытке прочитать эту информацию и который содержит инструкции о том, как получить доступ (как описано далее в этой статье).

Несколько существующие приложения зависят от информации, предоставляемого TGGAU поскольку информация доступна по умолчанию в Microsoft Windows NT 4.0 и более ранних операционных систем. Таким образом в операционных системах Microsoft Windows 2000 и Windows Server 2003, читать предоставляется доступ к атрибуту TGGAU Совместимая с пред-Windows 2000 Доступ Группа.

Для доменов, использующих существующие приложения вы можете обрабатывать эти приложения путем добавления контекстах безопасности, с которыми как для запуска приложений Пред-Windows 2000 доступ Группа. Кроме того, можно выбрать Разрешения «совместимый с пред-Windows 2000 серверы" параметр во время процесса DCPromo при создании домена. (На Windows Server 2003 этот параметр является формулировать следующим образом: Разрешения» совместимые с серверами пред-Windows 2000".) Этот параметр добавляет «Все» Группа для Пред-Windows 2000 доступ группы, и тем самым предоставляет «Все» доступ на чтение группе атрибут TGGAU и во многих других объекты домена.

Для получения дополнительных сведений о группе совместимости доступа пред-Windows 2000 щелкните следующий номер статьи базы знаний Майкрософт:
257988Описание вариантов разрешения Dcpromo
При новом домене Windows Server 2003 создается доступ по умолчанию установлено значение совместимости Разрешения совместимые только с операционными системами Windows 2000 или Windows Server 2003. Если этот параметр установлен, Пред-Windows 2000 доступ группа включает только Пользователи, прошедшие проверку Идентификатор встроенной безопасности и доступ на чтение к атрибуту TGGAU на объекты ограничены. В этом случае приложения, которым требуется доступ к TGGAU группе доступ запрещен Если учетная запись, под которой выполняются не имеет права администратора домена или аналогичные права.

Включение приложений прочесть атрибут TGGAU

Для упрощения процесса предоставления доступа на чтение маркер групп глобальный и универсальная атрибут (TGGAU) для пользователей, которым необходимо прочесть атрибут Windows Server 2003 представляет группу авторизации доступа Windows (WAA).

В новых установках Доменов Windows Server 2003 группы WAA предоставляется доступ для чтения TGGAU атрибут объектов пользователей и группы объектов.

В доменах Windows 2000

Если домен работает в совместимости с пред-Windows 2000 режим доступа «Все» группа имеет доступ на чтение к атрибуту TGGAU объекты учетных записей пользователей и объектов учетной записи компьютера. В этом режиме у приложений и функций доступ к TGGAU.

Если домен не совместимость пред-Windows 2000 режим доступа, может потребоваться включение определенных приложений для чтение TGGAU. Так как Группу авторизации доступа Windows не существует в Windows 2000, рекомендуется создать локальную группу домена для данного цели и добавления учетной записи пользователя или компьютера, требуется доступ к TGGAU атрибут для этой группы. Пришлось бы доступ к этой группе tokenGroupsGlobalAndUniversal атрибут для пользователя объекты на компьютере объекты и в iNetOrgPersonобъекты.

Для получения дополнительных сведений о том, как это сделать с помощью примера сценария щелкните следующий номер статьи базы знаний Майкрософт:
331947Как программно применять разрешения доступа для встроенных групп в службе каталогов Active Directory в Windows Server 2003

Домены в смешанном режиме и обновленных доменов

При добавлении контроллера домена Windows Server 2003 в домене Windows 2000 доступ совместимости ранее выбранную выделен не изменяется. Таким образом работающем в смешанном режиме доменов и доменов, которые были обновлены до Windows Server 2003, которые были в режиме совместимости доступа пред-Windows 2000 по-прежнему иметь «Все» в группе Совместимость пред-Windows 2000 Доступ Группа. Кроме того «Все» Группа по-прежнему имеет доступ к TGGAU атрибут. В этом режиме функции и приложения имеют доступ к TGGAU.

Если домен в смешанном режиме не в пред-Windows 2000 режим совместимости доступа, можно предоставить разрешения с помощью окна WAA Группа:
  • Когда Windows Server автоматически создается группа WAA 2003 контроллер домена повышается до одного хозяина операций с плавающей запятой Сервер.
  • Группа WAA не предоставляется автоматически доступ к TGGAU атрибут на домены в смешанном режиме и в обновлении доменов.
Для получения дополнительных сведений о сценарии, который демонстрирует, как применять эти разрешения щелкните следующий номер статьи базы знаний Майкрософт:
331947Как программно применять разрешения доступа для встроенных групп в службе каталогов Active Directory в Windows Server 2003
Если в группу авторизации доступа Windows (WAA) имеет доступ к атрибуту TGGAU, можно поместить учетные записи требующих доступа в WAA Группа.

Новых доменов Windows Server 2003

Если домен работает в совместимости с пред-Windows 2000 режим доступа «Все» группа имеет доступ на чтение к атрибуту TGGAU объекты учетных записей пользователей и объектов учетной записи компьютера. В этом режиме у приложений и функций доступ к TGGAU.

Если домен не совместимость пред-Windows 2000 режим доступа, добавьте WAA группировки этих учетных записей, которым необходим доступ к TGGAU. В новой установке Windows Server 2003 группа WAA уже имеет доступ на чтение к TGGAU на объекты пользователей, а на компьютере объекты.

Свойства

Код статьи: 331951 - Последний отзыв: 14 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
Ключевые слова: 
kbsecurity kbinfo kbmt KB331951 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:331951

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com