Select the product you need help with
某些應用程式和 API 需要帳戶物件的授權資訊存取文章編號: 331951 - 檢視此文章適用的產品。 在此頁中結論某些應用程式具有讀取語彙基元 (Token)-群組-全域-和-通用 (TGGAU) 屬性,在使用者帳戶物件或 Microsoft Active Directory 目錄服務中的電腦帳戶物件上的功能。有些 Win32 函式讓您更容易讀取 [TGGAU 屬性。如果呼叫的安全性內容存取屬性,不會成功讀取此屬性或呼叫 API (稱為本文的其餘部分中的函式),會讀取這個屬性的應用程式。 預設情況下,TGGAU 屬性的存取會決定 使用權限相容性 決策 (DCPromo.exe 程序期間建立網域時所做)。預設使用權限相容性,為新的 Windows Server 2003 網域不授與廣泛 TGGAU 屬性存取。讀取 TGGAU 屬性可以被授與的存取到 Windows Server 2003 中新的 Windows 授權存取 (WAA) 群組視需要而定。 其他相關資訊語彙基元 (Token)-群組-全域-和-通用 (TGGAU) 屬性是以動態方式計算的值和 Active Directory 中的使用者帳戶物件上的電腦帳戶物件。這個屬性會列舉通用群組的成員資格和相對應的使用者帳戶或電腦帳戶萬用群組成員資格。應用程式也可以使用群組資訊所提供的 TGGAU 屬性,以讓特定使用者有關的各種決策時使用者未登入。 比方說應用程式可以使用這項資訊來決定是否使用者已授與存取應用程式控制項存取的資源。需要此資訊的應用程式可以使用輕量型目錄存取通訊協定介面] 或 [Active Directory 服務介面來直接讀取 TGGAU 屬性。不過,Microsoft Windows Server 2003 引進了幾個函式 (包括 AuthzInitializeContextFromSid 函式和 LsaLogonUser 函式),可簡化讀取與解譯 TGGAU 屬性。因此,使用這些函式的應用程式可能不知情的狀況下讀取 TGGAU 屬性。 若要能夠直接讀取此屬性或間接地讀取這個屬性 (透過使用的 API) 的應用程式,執行的應用程式的安全性內容必須被授與讀取存取 TGGAU 物件在使用者物件和電腦物件上。 不要指望假設他們有存取權 TGGAU 的應用程式。因此,您可以預期會失敗時存取被拒的應用程式。在這種情況下您 (使用者) 可能會收到錯誤訊息或日誌項目,說明該存取被拒嘗試讀取此資訊時,並,提供有關如何取得存取 (如本文稍後所述) 的指示。 數個現有的應用程式取決於在提供的資訊由 TGGAU 因為該資訊可用依預設在 Microsoft Windows NT 4.0 和早期的作業系統中。 因此,在 Microsoft Windows 2000 及 Windows Server 2003 作業系統系統上 TGGAU 屬性的 「 讀取 」 權限是授與 「 Pre-Windows 2000 相容存取 」 群組。 使用現有的應用程式的網域中,您可以處理這些應用程式藉由新增那些應用程式執行到 Pre-Windows 2000 相容存取 群組為安全性內容。或者,您可以選取 DCPromo 程序期間 」 權限與 pre-Windows 2000 伺服器相容 」 選項當您建立一個網域。(在 Windows Server 2003 上這個選項表示,如下所示: 「 權限與 pre-Windows 2000 伺服器作業系統相容 」)此選擇 Pre-Windows 2000 相容的存取] 群組中新增 Everyone 群組,並藉此將授與 每個人 」 群組讀取與存取權 TGGAU 屬性許多其他的網域物件。 如需有關 pre-Windows 2000 相容性存取群組的資訊,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項: 257988 當您建立新的 Windows Server 2003 網域時預設存取相容性選項會是 只與 Windows 2000 或 Windows Server 2003 作業系統相容的權限。 當設定這個選項 Pre-Windows 2000 相容性存取 群組包括只有 已驗證的使用者 內建的安全性識別碼,並 TGGAU 屬性在物件上的 「 讀取 」 權限限於。在這種情況下應用程式需要存取 TGGAU 群組會被拒絕存取,除非應用程式執行所在的帳戶具有網域系統管理員權限或類似的使用者權限。
(http://support.microsoft.com/kb/257988/
)
Dcpromo 權限選項的描述 啟用應用程式,以讀取 TGGAU 屬性若要簡化的語彙基元 (Token)-群組-全域-和-通用 (TGGAU) 屬性的讀取權限授與使用者必須讀取屬性程序,Windows Server 2003 會介紹 Windows 授權存取 (WAA) 群組。在新安裝的 Windows Server 2003 網域,WAA 群組被授與存取權限],閱讀 TGGAU 屬性和群組物件上的使用者物件。 Windows 2000 網域如果網域較 pre-Windows 2000 相容的存取模式,Everyone 群組會擁有存取權 TGGAU 屬性,讀取使用者帳戶物件和電腦帳戶物件上。在這個模式的應用程式和函式可以 TGGAU 存取。如果網域較 不 在 Windows 2000 前版相容性存取模式,您可能需要啟用特定的應用程式讀取該 TGGAU。因為 Windows 授權存取群組 不存在於 Windows 2000 上,所以建議您為此用途建立網域本機群組,並新增使用者或電腦帳戶需要存取 [TGGAU 屬性至該群組。這個群組就必須提供存取給 tokenGroupsGlobalAndUniversal 屬性在使用者物件、 電腦物件和 iNetOrgPerson 物件。 如需有關如何使用範例指令碼來執行這項操作的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]: 331947
(http://support.microsoft.com/kb/331947/
)
如何以程式設計方式套用 Windows Server 2003 Active Directory 目錄服務中的內建群組的存取權限 混合的模式網域及升級的網域當 Windows Server 2003 網域控制站加入 Windows 2000 網域時,存取相容性選取先前選取範圍不會變更。因此,混合的模式網域及網域已升級為 Windows Server 2003 的 pre-Windows 2000 相容的存取模式中繼續在 Pre-Windows 2000 相容性存取 群組中有 每個人] 群組。此外,Everyone 群組仍具有存取權之 TGGAU 屬性。在這個模式的應用程式和函式可以 TGGAU 存取。如果是混合的模式網域 不 在 Windows 2000 前版相容性存取模式中,您可以透過 [WAA 的方式授予權限群組:
331947 Windows 授權存取 (WAA) 群組有權存取 TGGAU 屬性之後您可以將放置需要 [WAA 中的存取的帳戶群組。
(http://support.microsoft.com/kb/331947/
)
如何以程式設計方式套用 Windows Server 2003 Active Directory 目錄服務中的內建群組的存取權限 新的 Windows Server 2003 網域如果網域較 pre-Windows 2000 相容的存取模式,Everyone 群組會擁有存取權 TGGAU 屬性,讀取使用者帳戶物件和電腦帳戶物件上。在這個模式的應用程式和函式可以 TGGAU 存取。如果網域較 不 在 Windows 2000 前版相容性存取模式中新增到 WAA 群組需要 TGGAU 存取那些帳戶。在新安裝的 Windows Server 2003,WAA 群組已有的讀取權限 TGGAU 使用者物件和電腦物件上。 屬性文章編號: 331951 - 上次校閱: 2008年12月1日 - 版次: 5.0 這篇文章中的資訊適用於:
機器翻譯 重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。 按一下這裡查看此文章的英文版本:331951
(http://support.microsoft.com/kb/331951/en-us/
)
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。 | 文章翻譯 |
回此頁最上方
