Některé aplikace a rozhraní API vyžaduje přístup k informacím o autorizaci na objekty účtů

Souhrn

Některé aplikace obsahují funkce, které číst atribut token skupiny global a univerzální (TGGAU) na objekty uživatelského účtu nebo na objekty účtů počítače v adresářové službě služba Microsoft Active Directory. Některé funkce Win32 usnadnit čtení TGGAU atribut. Aplikace, které číst tento atribut, nebo který volání rozhraní API (dále jako funkce ve zbytku tohoto článku), které čte tento atribut nejsou úspěšné, pokud kontext zabezpečení volání nemá přístup k atributu.

Ve výchozím nastavení, je určen přístup k atributu TGGAU
Kompatibilita oprávnění rozhodnutí (provést při vytváření domény během procesu DCPromo.exe). Kompatibilita oprávnění výchozí pro nové domény systému Windows Server 2003 neuděluje široký přístup k atributu TGGAU. Přístup ke čtení TGGAU atribut lze přidělit podle potřeby můžete do nové skupiny Windows Authorization Access (WÁ) v systému Windows Server 2003.

Další informace

Atribut token skupiny global a univerzální (TGGAU) je dynamicky vypočítaná hodnota na objekty účtů počítače a objekty uživatelského účtu ve službě Active Directory. Tento atribut výčet členství globální skupiny a univerzální skupiny členství pro odpovídající uživatelský účet nebo účet počítače. Aplikace mohou používat informace o skupině poskytované TGGAU atribut pro rozhodování různých o konkrétního uživatele v případě, že uživatel není přihlášen.

Například aplikace, můžete použít tyto informace k určení, zda uživatel byl udělen přístup k prostředek pro přístup k ovládací prvky aplikace. Aplikace, které vyžadují tyto informace lze číst atribut TGGAU přímo pomocí rozhraní protokolu LDAP nebo Active Directory Services Interfaces. Však Microsoft Windows Server 2003 zavádí několik funkcí (včetně AuthzInitializeContextFromSid funkce a funkce LsaLogonUser ), které zjednodušují čtení a interpretaci atributu TGGAU. Proto aplikace, které používají tyto funkce mohou nevědomky být čtení TGGAU atribut.

U aplikací, které lze přímo číst tento atribut nebo nepřímo tento atribut (prostřednictvím rozhraní API), který je aplikace spuštěna v kontextu zabezpečení musí být udělena přístup pro čtení k objektu TGGAU objektů uživatele a počítače objekty. Neočekáváte aplikace předpokládat, že mají přístup k TGGAU. Proto můžete očekávat, že aplikace bude neúspěšné, pokud je přístup odepřen. V této situaci (uživatel) zobrazí chybová zpráva nebo položka protokolu, která vysvětluje, že přístup byl odepřen při pokusu o čtení této informace a pokyny, jak získat přístup (jak je popsáno dále v tomto článku), který poskytuje.

Několik existujících aplikací závisí na informace poskytované TGGAU protože informace není k dispozici ve výchozím nastavení v systému Microsoft Windows NT 4.0 a starších operačních systémů. Proto v systémech Microsoft Windows 2000 a Windows Server 2003 přístup ke čtení na atribut TGGAU uděleno skupině Pre-Windows 2000 Compatible Access .

Pro domény, které používají existující aplikace můžete zpracovat tyto aplikace přidáním kontexty zabezpečení, které tyto aplikace spouštět skupiny Pre-Windows 2000 Compatible Access . Alternativně můžete zvolit možnost "Oprávnění kompatibilní se servery se systémem starším než Windows 2000" během procesu DCPromo při vytvoření domény. (V systému Windows Server 2003, tato možnost je tohoto znění: "Oprávnění kompatibilní s operačními systémy před Windows 2000 server".) Tato volba přidá skupinu Everyone do skupiny Pre-Windows 2000 Compatible Access a tím uděluje Everyone skupiny přístup ke čtení na atribut TGGAU a mnoho dalších objektů domény.

Další informace o skupině Pre-Windows 2000 Compatibility Access klepněte na následující číslo článku databáze Microsoft Knowledge Base:

257988 Popis příkazu Dcpromo oprávnění volby

Při vytvoření nové domény systému Windows Server 2003 je výchozí nastavení kompatibility přístup oprávnění kompatibilní pouze se systémem Windows 2000 nebo Windows Server 2003 operační systémy. Pokud je tato možnost nastavena, pouze identifikátor zabezpečení Authenticated Users obsahuje skupiny Pre-Windows 2000 Compatibility Access a přístup ke čtení na atribut TGGAU objektů je omezen. V tomto případě aplikace, které vyžadují přístup ke skupině TGGAU odepřen přístup Pokud účet, pod kterým bude aplikace spuštěna má práva správce domény nebo podobná práva uživatele.

Povolení aplikací ke čtení na atribut TGGAU

Pro zjednodušení procesu udělení přístupu pro čtení na atribut token skupiny global a univerzální (TGGAU) pro uživatele, kteří musí číst atribut, Windows Server 2003 zavádí do skupiny Windows Authorization Access (WÁ).

Nových instalací systému Windows Server 2003 domény WÁ skupina je udělen přístup ke čtení TGGAU atribut pro objekty uživatele a skupiny objektů.

Domén systému Windows 2000

Pokud je doména v režimu kompatibility přístup se systémem starším než Windows 2000, má skupina Everyone přístup pro čtení na atribut TGGAU na objekty uživatelského účtu a na objekty účtů počítače. V tomto režimu aplikace a funkce, mají přístup k TGGAU.

Pokud je doména není v režimu kompatibility aplikace access starší než Windows 2000 bude pravděpodobně nutné povolit čtení TGGAU určitých aplikací. Vzhledem k tomu, že Skupiny Windows Authorization Access neexistuje v systému Windows 2000, doporučuje se pro tento účel vytvořte místní skupinu domény a přidání účtu uživatele nebo počítače, který vyžaduje přístup k atributu TGGAU na tuto skupinu. Musel mít přístup k této skupině
atributu tokenGroupsGlobalAndUniversal pro uživatelské objekty, objekty počítače a objektů iNetOrgPerson .

Další informace o tom, jak to provést pomocí ukázkový skript klepněte na následující číslo článku databáze Microsoft Knowledge Base:

331947 jak programově použít oprávnění k přístupu pro systém Windows Server 2003 předdefinované skupiny v adresáři služby Active Directory

Domény v kombinovaném režimu a inovované domény

Při přidání řadiče domény systému Windows Server 2003 do domény systému Windows 2000, nedojde ke změně výběru kompatibility přístup, které bylo dříve zaškrtnuto. Proto kombinovaném režimu domény a domény, které byly inovovány na systém Windows Server 2003, které byly v režimu kompatibility přístup se systémem starším než Windows 2000 nadále mít skupinu Everyone do skupiny Pre-Windows 2000 Compatibility Access . Kromě toho skupina Everyone má stále přístup k atributu TGGAU. V tomto režimu aplikace a funkce, mají přístup k TGGAU.

Pokud je doména v kombinovaném režimu není v režimu kompatibility aplikace access starší než Windows 2000 můžete udělit oprávnění prostřednictvím skupiny WÁ:
  • Skupina WÁ je automaticky vytvořen při povýšení řadiče domény systému Windows Server 2003 na serveru plovoucí Single Master Operations.
  • WÁ skupina není automaticky udělen přístup k atributu TGGAU na domény s kombinovaným režimem a inovované domény.
Další informace o skriptu, který ukazuje, jak použít tato oprávnění získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

331947 jak programově použít oprávnění k přístupu pro systém Windows Server 2003 předdefinované skupiny v adresáři služby Active Directory

Přístup k atributu TGGAU po skupiny Windows Authorization Access (WÁ) můžete umístit na účty, které vyžadují přístup ve skupině WÁ.

Nové domény systému Windows Server 2003

Pokud je doména v režimu kompatibility přístup se systémem starším než Windows 2000, má skupina Everyone přístup pro čtení na atribut TGGAU na objekty uživatelského účtu a na objekty účtů počítače. V tomto režimu aplikace a funkce, mají přístup k TGGAU.

Pokud je doména není v režimu kompatibility aplikace access starší než Windows 2000 přidat WÁ skupina tyto účty, které vyžadují přístup k TGGAU. V nových instalacích systému Windows Server 2003 již skupina WÁ má přístup ke čtení TGGAU objektů uživatele a počítače objekty.
Vlastnosti

ID článku: 331951 - Poslední kontrola: 16. 1. 2017 - Revize: 2

Váš názor