某些應用程式和 Api 需要存取帳戶物件上的授權資訊

文章翻譯 文章翻譯
文章編號: 331951 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

某些應用程式必須讀取或 Microsoft Active Directory 目錄服務中的電腦帳戶物件上的使用者帳戶物件,才會進行語彙基元-群組全域-和-萬用 (TGGAU) 屬性的功能。有些 Win32 函式讓您更容易讀取 TGGAU 屬性。如果呼叫的安全性內容並沒有存取屬性讀取此屬性或呼叫會讀取這個屬性的 API (稱為本文的其餘部分中的函式) 的應用程式將不會成功。

根據預設,存取 TGGAU 屬性會決定使用權限相容性決定 (DCPromo.exe 程序期間建立網域時)。新的 Windows Server 2003 網域的預設使用權限相容性 」 不授予廣泛地存取 TGGAU 屬性。TGGAU 屬性可以被授與的讀取權限,才能在 Windows Server 2003 中新的Windows 授權存取(WAA) 群組。

其他相關資訊

語彙基元-群組全域-和-萬用 (TGGAU) 屬性是在 Active Directory 中的使用者帳戶物件和電腦帳戶物件上的動態計算的值。這個屬性會列舉通用群組成員資格和對應的使用者帳戶或電腦帳戶萬用群組成員資格。應用程式可以使用 TGGAU 屬性來決定各種特定的使用者使用者未登入時所提供的群組資訊。

例如,應用程式可以使用此資訊來決定是否使用者已授與應用程式控制項存取的資源的存取權。需要此資訊的應用程式可以讀取 TGGAU 屬性直接使用輕量型目錄存取通訊協定介面或使用中的目錄服務介面。不過,Microsoft Windows Server 2003 引進了幾個函式 (包括AuthzInitializeContextFromSid函式和LsaLogonUser函式),可簡化讀取與解譯的 TGGAU 屬性。因此,使用這些函式的應用程式可能不知情的狀況下讀取 TGGAU 屬性。

對於要能夠直接讀取此屬性或間接讀取這個屬性 (透過使用 API) 的應用程式,應用程式中執行的安全性內容必須有被授與使用者物件及電腦物件上的 TGGAU 物件的 「 讀取 」 權限。您不會假設他們有存取權 TGGAU 的應用程式。因此,您可以預期應用程式失敗時存取被拒。在此情況下,您 (使用者) 可能會收到錯誤訊息或記錄項目,說明該存取被拒時嘗試讀取這項資訊,並提供有關如何取得存取權 (如本文稍後所述)。

數個現有的應用程式取決於所提供的 TGGAU 有可用的資訊,因為根據預設,在 Microsoft Windows NT 4.0 和舊版作業系統的資訊。因此,在 Microsoft Windows 2000 及 Windows Server 2003 作業系統上,TGGAU 屬性的 「 讀取 」 權限是授與Windows 2000 相容性存取群組。

使用現有的應用程式的網域,您可以藉由加入Windows 2000 相容性存取群組來執行這些應用程式的安全性內容來處理這些應用程式。或者,您可以選取「 權限與前的 Windows 2000 伺服器相容 」選項,DCPromo 程序期間,當您建立網域時。(在 Windows Server 2003 上,此選項會如下表示: 「 與前的 Windows 2000 伺服器作業系統相容權限 」。)此選取項目新增到 [所有人] 群組windows 2000 相容性存取 群組,並藉此授與Everyone群組讀取存取 TGGAU 屬性以及許多其他的網域物件。

如需有關預先 Windows 2000 的相容性存取群組的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
257988 Dcpromo 權限選項的說明
建立新的 Windows Server 2003 網域時,預設存取相容性選項就會是僅限與 Windows 2000 或 Windows Server 2003 作業系統相容的使用權限。當設定這個選項時, Windows 2000 的相容性存取群組包括已驗證的使用者內建的安全性識別碼,並在物件上的 TGGAU 屬性的 「 讀取 」 權限有限。在此情況下,應用程式需要存取 TGGAU 群組會被拒絕存取,除非應用程式所執行的帳戶具有網域系統管理員權限或類似的使用者權限。

啟用應用程式讀取 TGGAU 屬性

若要簡化的語彙基元-群組全域-和-萬用 (TGGAU) 屬性的讀取權限授與使用者必須讀取屬性程序,Windows Server 2003 會介紹 Windows 授權存取 (WAA) 群組。

對於新安裝的 Windows Server 2003 網域 WAA 群組被授與讀取的 TGGAU 屬性和群組物件上的使用者物件的存取。

Windows 2000 網域

如果網域較前的 Windows 2000 的相容性存取模式, Everyone群組和電腦帳戶物件上的使用者帳戶物件,就會有 TGGAU 屬性的 「 讀取 」 權限。在此模式下,應用程式與函式具有 TGGAU 的存取。

如果網域較在 windows 2000 前版相容性存取模式中,您可能需要啟用特定的應用程式讀取 TGGAU。因為Windows 授權存取群組不存在於 Windows 2000 中,所以建議您針對此目的,建立網域本機群組,以及您新增的使用者或電腦帳戶需要存取至該群組的 TGGAU 屬性。這個群組必須給予使用者物件、 電腦物件,以及需要物件的tokenGroupsGlobalAndUniversal屬性存取。

如需有關如何執行這項操作所使用的範例指令碼的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
331947 如何以程式設計方式套用 Windows Server 2003 在 Active Directory 目錄服務中的內建群組的存取權限

混合的模式網域和升級的網域

當 Windows Server 2003 網域控制站新增至 Windows 2000 網域時,先前選取存取相容性選項將不會變更。因此,混合的模式網域和已升級為 Windows Server 2003 中前置 Windows 2000 的相容性存取模式的網域繼續執行前的 Windows 2000 的相容性存取群組中有所有人] 群組。此外, Everyone群組仍具有存取權的 TGGAU 屬性。在此模式下,應用程式與函式具有 TGGAU 的存取。

如果是混合的模式網域在 windows 2000 前版相容性存取模式中,您可以利用 WAA 群組授予權限:
  • Windows Server 2003 網域控制站升級到浮點單一主要作業伺服器時,會自動建立 WAA 群組。
  • WAA 群組是無法自動授與存取 TGGAU 屬性在混合模式網域,在升級的網域上。
如需有關的指令碼,示範如何套用這些權限的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
331947 如何以程式設計方式套用 Windows Server 2003 在 Active Directory 目錄服務中的內建群組的存取權限
Windows 授權存取 (WAA) 群組具有存取權的 TGGAU 屬性之後,您可以將需要存取 WAA 群組中的帳戶。

新的 Windows Server 2003 網域

如果網域較前的 Windows 2000 的相容性存取模式, Everyone群組和電腦帳戶物件上的使用者帳戶物件,就會有 TGGAU 屬性的 「 讀取 」 權限。在此模式下,應用程式與函式具有 TGGAU 的存取。

如果網域較在 windows 2000 前版相容性存取模式中,加入 WAA 群組的帳戶,需要 TGGAU 的存取。在新安裝的 Windows Server 2003 中,WAA 群組已經具有讀取權限 TGGAU 和電腦物件上的使用者物件。

屬性

文章編號: 331951 - 上次校閱: 2013年11月23日 - 版次: 6.0
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
關鍵字:?
kbsecurity kbinfo kbmt KB331951 KbMtzh
機器翻譯
請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。
按一下這裡查看此文章的英文版本:331951
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com