โปรแกรมประยุกต์และ APIs บางอย่างต้องใช้การเข้าถึงข้อมูลการรับรองความถูกต้องบนวัตถุที่บัญชี

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 331951 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

สรุป

โปรแกรมประยุกต์บางโปรแกรมมีคุณลักษณะที่อ่านคุณลักษณะ (TGGAU) โทเค็นกลุ่มแบบส่วนกลาง และ-universal บนวัตถุที่บัญชีผู้ใช้ หรือ บนวัตถุบัญชีคอมพิวเตอร์ในบริการไดเรกทอรี Active Directory ของ Microsoft บางฟังก์ชัน Win32 ได้ง่ายในการอ่าน TGGAU แอตทริบิวต์ โปรแกรมประยุกต์ที่อ่านแอตทริบิวต์นี้หรือที่เรียกใช้การ API (เรียกว่าฟังก์ชันในส่วนที่เหลือของบทความนี้) ที่อ่านแอตทริบิวต์นี้ ไม่สำเร็จหากบริบทการรักษาความปลอดภัยเรียกไม่สามารถเข้าถึงแอตทริบิวต์

โดยค่าเริ่มต้น การเข้าถึงแอตทริบิวต์ TGGAU จะขึ้นอยู่กับความเข้ากันได้รับอนุญาตการตัดสินใจ (ทำเมื่อโดเมนถูกสร้างขึ้นในระหว่างกระบวนการ DCPromo.exe) ความเข้ากันได้รับอนุญาตของเริ่มต้นสำหรับโดเมน Windows Server 2003 ใหม่ไม่ให้สิทธิ์การเข้าถึงแอตทริบิวต์ TGGAU อย่างกว้าง เมื่อต้องการอ่านแอตทริบิวต์ TGGAU สามารถได้รับการเข้าถึงตามที่จำเป็นเพื่อใหม่windows การเข้าถึงการอนุญาตกลุ่ม (WAA) ใน Windows Server 2003

ข้อมูลเพิ่มเติม

แอตทริบิวต์โทเค็นกลุ่มแบบส่วนกลาง และ-universal (TGGAU) มีค่าเป็นแบบไดนามิกคำนวณ บนวัตถุบัญชีคอมพิวเตอร์ และ บนวัตถุบัญชีผู้ใช้ที่อยู่ใน Active Directory คุณลักษณะนี้ระบุสมาชิกกลุ่มส่วนกลางและสมาชิกของกลุ่มหลากหลายสำหรับบัญชีผู้ใช้ที่สอดคล้องกันหรือบัญชีคอมพิวเตอร์ โปรแกรมประยุกต์สามารถใช้ข้อมูลของกลุ่มที่ให้ไว้ โดยแอตทริบิวต์ TGGAU เพื่อทำการตัดสินใจที่หลากหลายเกี่ยวกับผู้ใช้เฉพาะเมื่อผู้ใช้ไม่ได้ถูกบันทึกไว้บน

For example, an application can use this information to determine whether a user has been granted access to a resource that the application controls access for. Applications that require this information can read the TGGAU attribute directly by using either Lightweight Directory Access Protocol interfaces or Active Directory Services Interfaces. However, Microsoft Windows Server 2003 introduced several functions (including theAuthzInitializeContextFromSidfunction and theLsaLogonUserfunction) that simplify reading and interpretation of the TGGAU attribute. Therefore, applications that use these functions may unknowingly be reading the TGGAU attribute.

For applications to be able to directly read this attribute or indirectly read this attribute (through the use of an API), the security context that the application runs in must have been granted read access to the TGGAU object on the user objects and on the computer objects. You do not expect applications to assume that they have access to TGGAU. Therefore, you can expect applications to be unsuccessful when access is denied. In this situation, you (the user) may receive an error message or a log entry that explains that access was denied while trying to read this information, and that provides instructions about how to obtain access (as described later in this article).

Several existing applications depend on the information that is provided by TGGAU because the information is available by default in Microsoft Windows NT 4.0 and in earlier operating systems. Therefore, on Microsoft Windows 2000 and Windows Server 2003 operating systems, read access to the TGGAU attribute is granted to thePre-Windows 2000 Compatible Accessgroup.

For domains that use existing applications, you can handle these applications by adding the security contexts that those applications run as to theรุ่นก่อน windows 2000 เข้ากันได้กับการเข้าถึงgroup. Alternatively, you can select the"Permissions compatible with pre-Windows 2000 servers"option during the DCPromo process when you create a domain. (On Windows Server 2003, this option is worded as follows:"Permissions compatible with pre-Windows 2000 server operating systems".) This selection adds theEveryonegroup to theรุ่นก่อน windows 2000 เข้ากันได้กับการเข้าถึงgroup, and thereby grants theEveryonegroup read access to the TGGAU attribute and to many other domain objects.

For more information about the pre-Windows 2000 Compatibility Access group, click the following article number to view the article in the Microsoft Knowledge Base:
257988Description of Dcpromo permissions choices
When a new Windows Server 2003 domain is created, the default access compatibility selection isPermissions compatible only with Windows 2000 or Windows Server 2003 operating systems. When this option is set, thePre-Windows 2000 Compatibility Accessgroup includes only theผู้ใช้ที่ได้รับการรับรองความถูกต้อง:built-in security identifier, and read access to the TGGAU attribute on objects is limited. In this case, applications that require access to the TGGAU group are denied access unless the account under which the applications run has domain administrator rights or similar user rights.

Enabling Applications to Read the TGGAU Attribute

To simplify the process of granting read access on the token-groups-global-and-universal (TGGAU) attribute to users who must read the attribute, Windows Server 2003 introduces the Windows Authorization Access (WAA) group.

On new installations of Windows Server 2003 domains, the WAA group is granted access to the read TGGAU attribute on user objects and on group objects.

Windows 2000 Domains

If the domain is in pre-Windows 2000 compatibility access mode, theEveryonegroup has read access to the TGGAU attribute on user account objects and on computer account objects. In this mode, applications and functions have access to TGGAU.

If the domain isไม่in pre-Windows 2000 compatibility access mode, you may have to enable certain applications to read the TGGAU. เนื่องจากการWindows Authorization Access Groupdoes not exist on Windows 2000, it is recommended that you create a domain local group for this purpose, and that you add the user or computer account that requires access to the TGGAU attribute to that group. This group would have to be given access to thetokenGroupsGlobalAndUniversalattribute on user objects, on computer objects, and oniNetOrgPersonวัตถุ

For more information about how to do this by using a sample script, click the following article number to view the article in the Microsoft Knowledge Base:
331947How to programmatically apply access permissions for Windows Server 2003 built-in groups in the Active Directory directory service

Mixed Mode Domains and Upgraded Domains

When a Windows Server 2003 domain controller is added to a Windows 2000 domain, the access compatibility selection that was previously selected is not changed. Therefore, mixed mode domains and domains that were upgraded to Windows Server 2003 that were in pre-Windows 2000 compatibility access mode continue to have theEveryonegroup in thePre-Windows 2000 Compatibility Accessgroup. นอกจากนี้Everyonegroup still has access to the TGGAU attribute. In this mode, applications and functions have access to TGGAU.

If the mixed mode domain isไม่in pre-Windows 2000 compatibility access mode, you can grant permissions by means of the WAA group:
  • The WAA group is automatically created when a Windows Server 2003 domain controller is promoted to the Floating Single Master Operations Server.
  • The WAA group is not automatically granted access to the TGGAU attribute on mixed-mode domains and on upgraded domains.
For more information about a script that demonstrates how to apply these permissions, click the following article number to view the article in the Microsoft Knowledge Base:
331947How to programmatically apply access permissions for Windows Server 2003 built-in groups in the Active Directory directory service
After the Windows Authorization Access (WAA) group has access to the TGGAU attribute, you can place the accounts that require access in the WAA group.

New Windows Server 2003 Domains

If the domain is in pre-Windows 2000 compatibility access mode, theEveryoneกลุ่มมีการเข้าถึงแบบอ่านแอตทริบิวต์ TGGAU บนวัตถุที่บัญชีผู้ใช้ และ บนวัตถุบัญชีคอมพิวเตอร์ ในโหมดนี้ โปรแกรมประยุกต์และฟังก์ชันสามารถเข้าถึง TGGAU

หากโดเมนอยู่ไม่ใน pre-Windows 2000 ความเข้ากันได้โหมดการเข้าถึง เพิ่มให้กับกลุ่ม WAA บัญชีที่ต้องการการเข้าถึง TGGAU ในการติดตั้งใหม่ของ Windows Server 2003 กลุ่ม WAA แล้วอ่านการเข้าถึง TGGAU บนวัตถุผู้ใช้ และ บนวัตถุคอมพิวเตอร์

คุณสมบัติ

หมายเลขบทความ (Article ID): 331951 - รีวิวครั้งสุดท้าย: 13 มกราคม 2554 - Revision: 3.0
ใช้กับ
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
Keywords: 
kbsecurity kbinfo kbmt KB331951 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:331951

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com