某些应用程序和 Api 需要访问帐户对象上的身份验证信息

文章翻译 文章翻译
文章编号: 331951 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

某些应用程序必须读取的标记组-全局-和-通用 (TGGAU) 属性或 Microsoft 活动目录(AD) 目录服务中的计算机帐户对象上的帐户的用户对象的功能。一些 Win32 函数,使易于阅读的 TGGAU 属性。如果调用的安全上下文不具有访问该属性,则不会成功读取此属性或调用 API (称为本文的其余部分中的函数) 中读取此属性的应用程序。

默认情况下,TGGAU 属性的访问权限取决于权限兼容性决策 (DCPromo.exe 过程中创建域时)。新的 Windows Server 2003 域默认权限兼容性并不授予广泛访问 TGGAU 属性。读取 TGGAU 属性可被授予访问权,根据需要对 Windows Server 2003 中的新Windows 授权访问(waa ()) 组。

更多信息

标记组-全局-和-通用 (TGGAU) 属性是动态计算的值和在 活动目录(AD) 中的用户帐户对象上的计算机帐户对象。此特性枚举全局组成员身份,并为相应的用户帐户或计算机帐户的通用组成员身份。应用程序可以使用 TGGAU 属性,当用户没有登录时进行有关特定用户的各种决策提供的组信息。

例如,应用程序可以使用此信息来确定是否授予用户对应用程序控件访问的资源的访问。需要此信息的应用程序可以使用轻量目录访问协议接口或活动目录服务接口来直接读取 TGGAU 属性。但是,Microsoft Windows Server 2003 引入了多个功能 (包括AuthzInitializeContextFromSid函数和LsaLogonUser函数) 简化了阅读和解释的 TGGAU 属性。因此,使用这些功能的应用程序可能会无意中读取 TGGAU 属性。

对于能够直接读取此属性或间接读取该属性 (通过使用 API) 的应用程序,安全上下文中运行的应用程序必须已被授予读取访问权限的用户对象和计算机对象上的 TGGAU 对象。您不希望应用程序认为它们有权访问 TGGAU。因此,您可以预计会失败,访问被拒绝时的应用程序。在此情况下,您 (用户) 可能会收到一条错误消息,或日志条目解释该访问被拒绝时试图读取此信息,并说明有关如何获取访问权限 (如本文中稍后所述)。

几个现有的应用程序依赖于由 TGGAU 提供了信息,因为默认情况下,在 Microsoft Windows NT 4.0 和更早的操作系统的信息。因此,在 Microsoft Windows 2000 和 Windows Server 2003 操作系统到 TGGAU 属性的读取权限授予windows 2000 以前版本兼容访问组。

对于使用现有的应用程序的域,您可以通过添加这些应用程序运行windows 2000 以前版本兼容访问组的安全上下文来处理这些应用程序。或者,可以选择在 DCPromo 过程中的"Windows 2000 服务器之前与兼容的权限"选项,当您创建一个域。(在 Windows Server 2003 中,此选项措词如下: "与 Windows 2000 server 操作系统相兼容的权限"。)选择此选项将向所有人组添加windows 2000 以前版本兼容访问 进行分组,并从而授予Everyone组读取访问权到 TGGAU 属性和多个其他域的对象。

有关 Windows 2000 兼容的访问组的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
257988 Dcpromo 权限选项的说明
创建新的 Windows Server 2003 域时,默认访问权限兼容性选项时,只与 Windows 2000 或 Windows Server 2003 操作系统相兼容的权限。当设置此选项时, windows 2000 兼容的访问组包括只有经过身份验证的用户内置安全标识符,并且到对象上的 TGGAU 属性的读访问受限制。在这种情况下,应用程序需要访问 TGGAU 组被拒绝访问,除非应用程序在其下运行的帐户具有域管理员权限或类似的用户权限。

启用应用程序以读取 TGGAU 属性

为了简化必须读取属性的用户授权标记组-全局-和-通用 (TGGAU) 属性的读取访问权限的过程,Windows Server 2003 引入了 Windows 授权访问 (waa ()) 组。

在新安装的 Windows Server 2003 域中,waa () 组授予访问权限的用户对象和组对象上的读取 TGGAU 属性。

Windows 2000 域

域是在 pre-Windows 2000 兼容的访问模式下,如果Everyone组将具有读访问权限的 TGGAU 属性,用户帐户对象和计算机帐户对象上。在此模式下,应用程序和功能已经对 TGGAU 的访问权限。

如果域在 windows 2000 以前版本兼容访问模式下,您可能需要启用某些应用程序来读取 TGGAU。由于在 Windows 2000 上, Windows 授权访问组不存在,因此建议为此目的,创建域本地组并添加需要到该组的 TGGAU 属性的访问权限的用户或计算机帐户。此组必须被赋予用户对象、 计算机对象和iNetOrgPerson对象的tokenGroupsGlobalAndUniversal属性的访问。

有关如何使用示例脚本执行此操作的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
331947 如何在 活动目录(AD) 目录服务中以编程方式应用 Windows Server 2003 内置组的访问权限

混合的模式域中,升级后的域

当 Windows Server 2003 的域控制器添加到 Windows 2000 域中时,选择了先前访问兼容性选项不会更改。因此,继续在早于 Windows 2000 以前版本兼容访问组中具有所有人组混合的模式域和域中已升级到 Windows Server 2003 中早于 Windows 2000 兼容的访问模式。此外, Everyone组仍有 TGGAU 属性的访问权限。在此模式下,应用程序和功能已经对 TGGAU 的访问权限。

如果混合的模式域在 windows 2000 以前版本兼容访问模式下,您可以将权限授予 waa () 组:
  • 在 Windows Server 2003 的域控制器被提升为浮动单主机操作服务器时,会自动创建 waa () 组。
  • Waa () 将不会自动授予组 TGGAU 属性和上混合模式域中已升级域的访问权限。
有关演示如何应用这些权限的脚本的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
331947 如何在 活动目录(AD) 目录服务中以编程方式应用 Windows Server 2003 内置组的访问权限
Windows 授权访问 (waa ()) 组有权访问 TGGAU 属性后,您可以将需要访问 waa () 组中的帐户。

新的 Windows Server 2003 域

域是在 pre-Windows 2000 兼容的访问模式下,如果Everyone组将具有读访问权限的 TGGAU 属性,用户帐户对象和计算机帐户对象上。在此模式下,应用程序和功能已经对 TGGAU 的访问权限。

如果域在 windows 2000 以前版本兼容访问模式下,向组中添加 waa () 要求对 TGGAU 的访问权限的帐户。在新安装的 Windows Server 2003 中,waa () 组已经有权读取 TGGAU 用户对象和计算机对象上。

属性

文章编号: 331951 - 最后修改: 2014年5月3日 - 修订: 8.0
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
关键字:?
kbsecurity kbinfo kbmt KB331951 KbMtzh
机器翻译
重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。
点击这里察看该文章的英文版: 331951
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com