Teď jste offline a čekáte, až se znova připojí internet.

Některé aplikace a rozhraní API vyžaduje přístup k informacím o autorizaci na objekty účtů

Podpora pro Windows Server 2003 byla ukončena 14. července 2015

Společnost Microsoft ukončila podporu pro Windows Server 2003 dne 14. července 2015. Tato změna ovlivnila aktualizace softwaru a možnosti zabezpečení. Další informace o tom, co to pro vás znamená a jak zajistit ochranu.

Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.

Projděte si také anglickou verzi článku:331951
Souhrn
Některé aplikace obsahují funkce, které se čtou atribut token skupiny global a univerzální (TGGAU) na objekty uživatelského účtu nebo účtu počítače objekty v adresáři služby služba Microsoft Active Directory. Některé funkce systému Win32 usnadnit čtení TGGAU atribut. Aplikace, které číst že tento atribut nebo že volání rozhraní API (dále jako funkce ve zbytku tohoto článku), které přečte atribut úspěšný, pokud kontext zabezpečení volání nemá přístup k atribut.

Ve výchozím nastavení je určeno přístup k atributu TGGAU Kompatibilita oprávnění rozhodnutí (při domény byla vytvořena během Proces DCPromo.exe). Kompatibilita oprávnění výchozí pro nové domény systému Windows Server 2003 neuděluje široký přístup k atributu TGGAU. Přístup číst že atribut TGGAU může být poskytnuta jako potřebné k nové Systém Windows Autorizace přístupu Skupina (WÁ) v systému Windows Server 2003.
Další informace
Atribut token skupiny global a univerzální (TGGAU) dynamicky vypočítaná hodnota, objekty účtů počítače a objekty uživatelského účtu v aktivním Adresář. Tento atribut výčet členství v globálních skupinách a členství v univerzální skupině odpovídající uživatelský účet nebo účet počítače. Aplikace mohou používat skupiny informace poskytnuté podle atributu TGGAU různých rozhodování o konkrétní uživatel v případě, že uživatel není přihlášen.

Například můžete aplikaci Tyto informace použít k určení, zda byl uživateli udělen přístup k prostředek pro přístup k ovládací prvky aplikace. Aplikace, které vyžadují toto informace můžete číst atribut TGGAU přímo pomocí rozhraní protokolu LDAP nebo Active Directory Services Interfaces. Však Microsoft Windows Server 2003 zavádí několik funkcí (včetně AuthzInitializeContextFromSid funkce a LsaLogonUser funkce), zjednodušení čtení a interpretaci atributu TGGAU. Proto aplikace, které používají Tato funkce může nevědomky čtení atributu TGGAU.

Pro aplikace přímo číst. Tento atribut nebo nepřímo čtení Tento atribut (využívání rozhraní API), musí mít aplikace spuštěná v kontextu zabezpečení byl udělen přístup pro čtení k TGGAU objektu uživatelské objekty a objekty počítače. Neočekáváte aplikace předpokládat, že mají přístup k TGGAU. Proto můžete očekávat, že aplikace bude neúspěšné, pokud je přístup odepřen. V takovém případě (uživatel) může zobrazit chybová zpráva nebo položka protokolu, který vysvětluje, že přístup byl odepřen při pokusu o čtení informací a pokyny, jak získat přístup (jak je popsáno dále v tomto článku).

Několik existující aplikace závisí na informace poskytované TGGAU protože informace není k dispozici ve výchozím nastavení v systému Microsoft Windows NT 4.0 a starších operačních systémů. Proto v operačních systémech Microsoft Windows 2000 a Windows Server 2003, čtení přístup k atributu TGGAU uděleno Kompatibilní se systémem starším než Windows 2000 Přístup skupina.

Pro domény, které používají existující aplikace můžete zpracování těchto aplikací přidáním kontexty zabezpečení než spuštění aplikací tak, aby Pre-Windows 2000 Compatible Access skupina. Také můžete vybrat "Oprávnění, kompatibilní s dřívějšími verzemi systému Windows 2000 servery" možnost během procesu DCPromo při vytvoření domény. (Na Windows Server 2003, tato možnost je zní takto: "Oprávnění kompatibilní s operačními systémy staršími než Windows 2000 server".) Tato volba přidá Všichni uživatelé Skupina se Pre-Windows 2000 Compatible Access skupiny, a tím se uděluje Všichni uživatelé přístup pro čtení skupině atribut TGGAU a mnoho dalších objekty domény.

Další informace o skupině starší než Windows 2000 Compatibility Access klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
257988Popis možností oprávnění Dcpromo
Když v nové doméně systému Windows Server 2003 je vytvořena výchozí přístup je výběr kompatibility Oprávnění kompatibilní pouze s operačními systémy Windows 2000 nebo Windows Server 2003. Tato možnost nastavena, Pre-Windows 2000 Compatibility Access skupina zahrnuje pouze Skupina Authenticated Users je identifikátor zabezpečení a přístup ke čtení na atribut TGGAU na objekty omezené. V tomto případě jsou aplikace, které vyžadují přístup ke skupině TGGAU odepřen přístup Pokud účet, pod kterým je spuštěna aplikace má práva správce domény nebo podobné uživatelská práva.

Povolení aplikací ke čtení na atribut TGGAU

Pro zjednodušení procesu udělení přístupu pro čtení u atributu (TGGAU) token skupiny global a univerzální uživatelům, kteří musí ke čtení na atribut systém Windows Server 2003 zavádí skupiny Windows Authorization Access (WÁ).

U nových instalací Domény systému Windows Server 2003, skupině WÁ uděleno přístup ke čtení TGGAU atribut objektů uživatele a skupiny objektů.

Domén systému Windows 2000

Pokud je doména v kompatibility s dřívějšími verzemi systému Windows 2000 režim přístupu Všichni uživatelé skupina má přístup ke čtení na atribut TGGAU objekty uživatelského účtu a na objekty účtů počítače. V tomto režimu aplikace a funkce, mají přístup k TGGAU.

Pokud je doména není v kompatibility s dřívějšími verzemi systému Windows 2000 režim přístupu, bude pravděpodobně třeba povolit určitých aplikací čtení TGGAU. Protože Skupiny Windows Authorization Access na neexistuje V systému Windows 2000 je doporučeno vytvořit místní skupiny domény pro tuto účel a přidání účtu uživatele nebo počítače, která vyžaduje přístup k TGGAU atribut do této skupiny. Musel být umožněn přístup do této skupiny tokenGroupsGlobalAndUniversal atribut uživatele objekty, které v počítači objekty a na iNetOrgPersonobjekty.

Další informace o tom, jak pomocí vzorového skriptu klepněte na následující číslo článku databáze Microsoft Knowledge Base:
331947Jak programově použít oprávnění k přístupu pro předdefinované skupiny systému Windows Server 2003 v adresáři služby Active Directory

Domény v kombinovaném režimu a inovované domény

Když do řadiče domény systému Windows Server 2003 je výběru kompatibility přístup, který byl již dříve vybrán k doméně systému Windows 2000 nezmění. Proto pracující v kombinovaném režimu domény a domény, které byly inovovány na systém Windows Server 2003, která byla v režimu kompatibility aplikace access starší než Windows 2000 nadále Všichni uživatelé skupiny v Pre-Windows 2000 Compatibility Přístup skupina. Navíc Všichni uživatelé skupina má stále přístup k TGGAU atribut. V tomto režimu aplikace a funkce, mají k dispozici TGGAU.

Pokud je doména kombinovaný režim není ve starší než Windows 2000 režim kompatibility aplikace access, můžete udělit oprávnění formou WÁ skupina:
  • Pokud systém Windows Server automaticky vytvořen skupiny WÁ 2003 řadič domény povýšen na Single Master Operations plovoucí Server.
  • Skupina WÁ nebyla poskytnuta automaticky přístup TGGAU atribut domény s kombinovaným režimem a na inovaci domén.
Další informace o skriptu, který ukazuje, jak použít tato oprávnění klepněte na následující číslo článku databáze Microsoft Knowledge Base:
331947Jak programově použít oprávnění k přístupu pro předdefinované skupiny systému Windows Server 2003 v adresáři služby Active Directory
Přístup k atributu TGGAU po skupiny Windows Authorization Access (WÁ) můžete umístit na účty které vyžadují přístup WÁ skupina.

Nové domény systému Windows Server 2003

Pokud je doména v kompatibility s dřívějšími verzemi systému Windows 2000 režim přístupu Všichni uživatelé skupina má přístup ke čtení na atribut TGGAU objekty uživatelského účtu a na objekty účtů počítače. V tomto režimu aplikace a funkce, mají přístup k TGGAU.

Pokud je doména není v kompatibility s dřívějšími verzemi systému Windows 2000 přístup k režimu, přidat WÁ seskupit tyto účty, které vyžadují přístup k TGGAU. V nových instalacích systému Windows Server 2003 skupina WÁ již má přístup ke čtení TGGAU objektů uživatele a počítače objekty.
AuthzInitializeContextFromSid InitializeClientContextFromName LsaLogonUser MSMQ WMI

Upozornění: Tento článek je přeložený automaticky

Vlastnosti

ID článku: 331951 - Poslední kontrola: 05/20/2011 13:43:00 - Revize: 7.0

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise x64 Edition

  • kbsecurity kbinfo kbmt KB331951 KbMtcs
Váš názor
html>/html>