تتطلب بعض التطبيقات وواجهات برمجة التطبيقات الوصول إلى معلومات التخويل على كائنات حساب

ملخص

يكون لبعض التطبيقات ميزات قراءة السمة (TGGAU) الرمز المميز-مجموعات-العمومية-والعالمي على كائنات حساب المستخدم أو كائنات حساب الكمبيوتر في خدمة دليل Microsoft Active Directory. بعض الدالات Win32 تسهل قراءة السمة TGGAU. عدم نجاح التطبيقات قراءة هذه السمة أو التي استدعاء API (يشار إليها كدالة في الجزء المتبقي من هذه المقالة) التي تقرأ هذه السمة إذا لم يكن سياق استدعاء أمان الوصول إلى السمة.

بشكل افتراضي، يتم تحديد الوصول إلى السمة تغو بواسطة
قرار توافق الأذونات (التي تم إجراؤها عند إنشاء المجال أثناء عملية DCPromo.exe). لا يمنح توافق الأذونات الافتراضية لمجالات Windows Server 2003 الجديد واسع الوصول إلى السمة تغو. حق الوصول لقراءة السمة تجاو يمكن منح حسب الاقتضاء للمجموعة الجديدة الوصول إلى Windows التخويل (الشيخوخة) في Windows Server 2003.

مزيد من المعلومات

السمة (TGGAU) الرمز المميز-مجموعات-العمومية-والعالمي قيمة محسوبة بشكل حيوي على كائنات حساب الكمبيوتر وعلى كائنات حساب المستخدم في "Active Directory". تعداد هذه السمة عضوية مجموعة عمومية وعضوية المجموعة العالمية للمقابل حساب المستخدم أو حساب الكمبيوتر. يمكن استخدام تطبيقات مجموعة المعلومات التي يتم توفيرها من قبل السمة تغو لاتخاذ قرارات مختلفة حول مستخدم معين عند عدم تسجيل دخول المستخدم.

على سبيل المثال، يمكن لتطبيق استخدام هذه المعلومات لتحديد ما إذا كان مستخدم تم منح الوصول إلى مورد الوصول لعناصر تحكم التطبيق. التطبيقات التي تتطلب هذه المعلومات يمكن قراءة السمة تغو مباشرة باستخدام "بروتوكول الوصول الخفيف إلى الدليل" واجهات أو "واجهات خدمات Active Directory". ومع ذلك، عرض نظام التشغيل Microsoft Windows Server 2003 العديد من الوظائف (بما في ذلك وظيفة أوثزينيتياليزيكونتيكستفرومسيد ووظيفة LsaLogonUser ) تسهل قراءتها وتفسيرها السمة تغو. لذلك، التطبيقات التي تستخدم هذه الوظائف قد تدري يمكن قراءة السمة تغو.

للتطبيقات لتكون قادراً على قراءة هذه السمة مباشرة أو غير مباشر قراءة هذه السمة (عن طريق استخدام API)، سياق الأمان الذي يتم تشغيل التطبيق في يجب أن يتم منحك حق الوصول للقراءة للكائن TGGAU على كائنات المستخدم وعلى كائنات الكمبيوتر. لا تتوقع التطبيقات يفترض أن يكون لديهم حق الوصول إلى تغو. لذلك، يتوقع تطبيقات غير ناجحة عندما تم رفض الوصول. في هذه الحالة، (المستخدم) قد تتلقى رسالة خطأ أو تم رفض إدخال سجل يوضح ذلك الوصول أثناء محاولة قراءة هذه المعلومات، والذي يوفر إرشادات حول كيفية الحصول على حق الوصول (كما هو موضح لاحقاً في هذا المقال).

تعتمد العديد من التطبيقات الموجودة على المعلومات التي يتم توفيرها من قبل تغو للمعلومات متوفرة بشكل افتراضي في نظام التشغيل Microsoft Windows NT 4.0 وفي أنظمة التشغيل السابقة. ولذلك، في أنظمة تشغيل Microsoft Windows 2000 و Windows Server 2003، يتم منح حق الوصول للقراءة إلى السمة TGGAU لمجموعة الوصول المتوافقة مع الإصدار السابق ل windows 2000 .

للتعرف على المجالات التي تستخدم التطبيقات الموجودة، يمكنك معالجة هذه التطبيقات عن طريق إضافة سياقات الأمان التي تعمل هذه التطبيقات بشأن المجموعة الوصول المتوافقة مع الإصدار السابق ل windows 2000 . بدلاً من ذلك، يمكنك تحديد الخيار "الأذونات المتطابقة مع ملقمات Windows 2000 سابقة" أثناء عملية DCPromo عند إنشاء مجال. (في Windows Server 2003، هذا الخيار هو ما يلي: "أذونات متوافق مع أنظمة تشغيل الإصدار السابق ل Windows 2000 server".) إضافة مجموعة Everyone إلى مجموعة Pre-Windows 2000 Compatible Access هذا التحديد، ومما يمنح الجميع المجموعة حق الوصول للقراءة إلى السمة TGGAU وإلى العديد من كائنات المجال.

لمزيد من المعلومات حول مجموعة "الوصول إلى توافق" الإصدار السابق ل Windows 2000، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":

خيارات أذونات وصف من Dcpromo 257988

عندما يتم إنشاء مجال Windows Server 2003 جديد، هو التحديد الافتراضي الوصول إلى توافق أذونات متوافق مع أنظمة تشغيل Windows Server 2003 أو Windows 2000 فقط. عند تعيين هذا الخيار، تضم المجموعة إلى توافق الإصدار السابق ل windows 2000 معرف الأمان المضمنة المستخدمين المصادق عليهم فقط، ويقتصر حق الوصول للقراءة إلى السمة TGGAU على كائنات. في هذه الحالة، يتم رفض التطبيقات التي تتطلب الوصول إلى مجموعة تجاو الوصول إلا إذا كان الحساب الذي يتم تشغيل التطبيقات بحقوق مسؤول المجال أو حقوق المستخدم مشابهة.

تمكين التطبيقات من قراءة السمة تغو

لتبسيط عملية منح حق الوصول للقراءة على سمة الرمز المميز-مجموعات-العمومية-والعالمي (TGGAU) للمستخدمين الذين يجب قراءة السمة, يقدم Windows Server 2003 مجموعة Windows تخويل الوصول (الشيخوخة).

في عمليات التثبيت الجديدة لمجالات Windows Server 2003، يتم منح المجموعة الشيخوخة الوصول إلى قراءة السمة TGGAU على كائنات المستخدم وعلى كائنات المجموعة.

مجالات Windows 2000

إذا كان المجال في وضع التوافق الوصول من الإصدار السابق ل Windows 2000، له مجموعة Everyone حق الوصول للقراءة إلى السمة TGGAU على كائنات حساب المستخدم وعلى كائنات حساب الكمبيوتر. في هذا الوضع، التطبيقات والوظائف وصولاً إلى تغو.

إذا كان المجال لا في وضع الوصول التوافق السابق ل windows 2000، قد تضطر إلى تمكين تطبيقات معينة للقراءة في تغو. نظراً لعدم وجود مجموعة الوصول إلى مصادقة Windows في نظام التشغيل Windows 2000، فمن المستحسن إنشاء مجموعة مجال محلية لهذا الغرض، ويمكنك إضافة حساب المستخدم أو الكمبيوتر التي تتطلب الوصول إلى السمة تغو بهذه المجموعة. سوف يتعين أن تتاح إمكانية الوصول إلى هذه المجموعة
سمة توكينجروبسجلوبالاندونيفيرسال على كائنات المستخدم وعلى كائنات الكمبيوتر وكائنات تفاعل شخص مع المؤسسة .

لمزيد من المعلومات حول كيفية القيام بذلك باستخدام برنامج نصي نموذج، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":

331947 كيفية برمجياً تطبيق أذونات الوصول للمجموعات المضمنة Windows Server 2003 في خدمة دليل "Active Directory"

مجالات الوضع المختلط والمجالات التي تمت ترقيتها

عندما تتم إضافة وحدة تحكم مجال Windows Server 2003 إلى مجال Windows 2000، لا يتم تغيير التحديد التوافق الوصول الذي تم تحديده مسبقاً. لذلك، متابعة مجالات الوضع المختلط والمجالات التي تمت ترقيتها إلى Windows Server 2003 في وضع التوافق الوصول من الإصدار السابق ل Windows 2000 لمجموعة Everyone في المجموعة إلى توافق الإصدار السابق ل Windows 2000 . بالإضافة إلى ذلك، لا تزال مجموعة Everyone بالوصول إلى السمة تغو. في هذا الوضع، التطبيقات والوظائف وصولاً إلى تغو.

إذا كان مجال وضع مختلط لا في وضع الوصول التوافق السابق ل windows 2000، يمكنك منح الأذونات عن طريق مجموعة الشيخوخة:
  • يتم إنشاء مجموعة الشيخوخة تلقائياً عندما يتم ترقية وحدة تحكم مجال Windows Server 2003 إلى خادم عائم العمليات الرئيسية المفردة.
  • مجموعة الشيخوخة لا يمنح تلقائياً الوصول إلى السمة تغو في مجالات وضع مختلط وفي المجالات التي تمت ترقيتها.
لمزيد من المعلومات حول برنامج نصي يوضح كيفية تطبيق هذه الأذونات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":

331947 كيفية برمجياً تطبيق أذونات الوصول للمجموعات المضمنة Windows Server 2003 في خدمة دليل "Active Directory"

بعد المجموعة الوصول إلى تخويل Windows (الشيخوخة) بالوصول إلى السمة تغو، يمكنك وضع الحسابات التي تتطلب الوصول في المجموعة للشيخوخة.

مجالات Server 2003 Windows جديدة

إذا كان المجال في وضع التوافق الوصول من الإصدار السابق ل Windows 2000، له مجموعة Everyone حق الوصول للقراءة إلى السمة TGGAU على كائنات حساب المستخدم وعلى كائنات حساب الكمبيوتر. في هذا الوضع، التطبيقات والوظائف وصولاً إلى تغو.

إذا كان المجال لا في وضع الوصول التوافق السابق ل windows 2000، إضافة إلى مجموعة الشيخوخة تلك الحسابات التي تتطلب الوصول إلى TGGAU. في تثبيتات Windows Server 2003، مجموعة الشيخوخة تم الوصول للقراءة إلى TGGAU على كائنات المستخدم وعلى كائنات الكمبيوتر.
خصائص

رقم الموضوع: 331951 - آخر مراجعة: 15‏/01‏/2017 - المراجعة: 1

تعليقات