Einige Programme und APIs benötigen Zugriff auf Autorisierungsinformationen Kontoobjekte

Zusammenfassung

Einige Programme haben Features, die das Token-Groups-global-and-Universal (TGGAU)-Attribut auf Benutzer- oder Computerkonto-Objekte im Microsoft Active Directory-Verzeichnisdienst lesen. Einige Win32-Funktionen erleichtern das Attribut TGGAU lesen. Programme, die dieses Attribut oder das Aufrufen eine API (bezeichnet als Funktion im Rest dieses Artikels), dieses Attribut liest, lesen sind nicht erfolgreich, der aufrufende Sicherheitskontext keinen Zugriff auf das Attribut.

Standardmäßig Zugriff auf das TGGAU-Attribut wird anhand der
Berechtigungskompatibilität Entscheidung (wenn die Domäne während des DCPromo.exe erstellt wurde). Berechtigungskompatibilität Standard für neue Windows Server 2003-Domänen gewährt keine umfassenden Zugriff auf das TGGAU-Attribut. Lesezugriff auf das Attribut TGGAU erteilt werden gegebenenfalls in die neue Gruppe der Windows-Autorisierungszugriffsgruppe (WAA) in Windows Server 2003.

Weitere Informationen

Attribut (TGGAU) Token-Groups-global-and-Universal Wert dynamisch berechnete Computerkontoobjekte und Benutzerobjekte in Active Directory-Konto. Dieses Attribut führt die globalen Gruppenmitgliedschaften und der universellen Gruppenmitgliedschaft für den entsprechenden Benutzer- oder Computerkonto. Die Gruppeninformationen können erfolgt durch das TGGAU-Attribut Beschlüsse über einen bestimmten Benutzer, wenn der Benutzer nicht angemeldet ist Applikationen.

Beispielsweise können eine Anwendung diese Informationen bestimmen, ob ein Benutzer Zugriff auf eine Ressource, die die Anwendung gewährt wurde für den Zugriff steuert. Programme, die diese Informationen benötigen, können direkt mithilfe von Lightweight Directory Access Protocol-Schnittstellen oder Active Directory Services Interfaces Attributs TGGAU lesen. Microsoft Windows Server 2003 führte jedoch mehrere Funktionen (einschließlich AuthzInitializeContextFromSid -Funktion und die Funktion LsaLogonUser ), die lesen und Interpretation des Attributs TGGAU vereinfachen. Daher können, die diese Funktionen verwenden unwissentlich Attributs TGGAU gelesen werden.

Für Clientanwendungen können direkt Lesen dieses Attribut oder indirekt (durch eine API) dieses Attribut muss die Anwendung im Sicherheitskontext Lesezugriff auf das Objekt TGGAU Benutzerobjekte und Computerobjekte verfügen. Sie erwarten keine Anwendung davon ausgehen, dass sie auf TGGAU zugreifen. Daher erwarten Sie Programme fehlschlagen, wenn der Zugriff verweigert wird. In diesem Fall (Benutzer) möglicherweise eine Fehlermeldung oder ein Protokolleintrag, der erklärt, dass der Zugriff verweigert beim Versuch, diese Informationen lesen und, wie zugreifen (wie in diesem Artikel beschrieben) bereitstellt.

Mehrere vorhandene Programme hängen die Informationen von TGGAU Informationen steht in Microsoft Windows NT 4.0 und frühere Betriebssysteme. Daher ist unter Microsoft Windows 2000 und Windows Server 2003 Lesezugriff auf das TGGAU-Attribut der Gruppe Prä-Windows 2000 kompatibler Zugriff gewährt.

Domänen, die vorhandene Anwendung verwenden, können Sie behandeln diesen hinzufügen Sicherheitskontexte, die diese Anträge zu der Gruppe Prä-Windows 2000 kompatibler Zugriff ausgeführt. Alternativ können Sie die Option "Mit Prä-Windows 2000-Servern kompatible Berechtigungen" während des DCPromo-Prozesses eine Domäne zu erstellen. (Unter Windows Server 2003 ist diese Option wie folgt formuliert: "Berechtigungskompatibel mit Betriebssystemen vor Windows 2000 Server".) Diese Auswahl die Gruppe jeder der Gruppe Prä-Windows 2000 kompatibler Zugriff hinzugefügt und dadurch gewährt jeder Gruppe lesen Attributs TGGAU und viele andere Domänenobjekte.

Klicken Sie für Weitere Informationen zu der Gruppe Prä-Windows 2000 kompatibler Zugriff auf die folgenden Artikelnummer der Microsoft Knowledge Base:

257988 Beschreibung des Dcpromo Berechtigungen Optionen

Beim Erstellen eine neue Windows Server 2003-Domäne ist die Standardauswahl Zugriff auf Kompatibilität mit Windows 2000 oder Windows Server 2003-Betriebssystemen kompatible Berechtigungen. Wenn diese Option festgelegt ist, die Gruppe Prä-Windows 2000 kompatibler Zugriff enthält nur die Authentifizierte Benutzer integrierte Sicherheits-ID und Lesezugriff auf das TGGAU-Attribut auf Objekte beschränkt. In diesem Fall Anwendung, die Zugriff auf die TGGAU Gruppe der Zugriff verweigert, wenn das Konto, unter dem die Anwendung ausgeführt, Domänenadministratorrechte oder ähnliche Rechte verfügt.

Anwendung TGGAU Attribut

Zum vereinfachen das Gewähren des Lesezugriffs auf das Token-Groups-global-and-Universal-Attribut (TGGAU) für Benutzer, die das Attribut lesen müssen, führt Windows Server 2003 die Gruppe Windows Autorisierung Zugriff (WAA).

Bei Neuinstallationen von Windows Server 2003-Domänen ist WAA Gruppe lesen TGGAU-Attribut von Benutzerobjekten und Objekte zugreifen.

Windows 2000-Domänen

Ist die Domäne im Prä-Windows 2000-Kompatibilitätsmodus Zugriff hat die Gruppe jeder Lesezugriff auf das TGGAU-Attribut auf Benutzer- und Computerkonto-Objekte. In diesem Modus können Funktionen und Applikationen TGGAU.

Wenn die Domäne nicht im Kompatibilitätsmodus Zugriff Prä-Windows 2000 möglicherweise bestimmte Programme zum Lesen der TGGAU aktivieren. Da der Windows-Autorisierungszugriffsgruppe unter Windows 2000 nicht vorhanden ist, wird empfohlen, eine lokale Domänengruppe für diesen Zweck zu erstellen und Sie Benutzer- oder Computerkonto hinzufügen, Zugriff auf das Attribut TGGAU zu dieser Gruppe. Dieser Gruppe müssen Zugang zu den
Attribut TokenGroupsGlobalAndUniversal für Benutzerobjekte, Computerobjekte und iNetOrgPerson -Objekte.

Weitere Informationen dazu ein Beispielskript klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

331947 wie Sie programmgesteuert Berechtigungen für Windows Server 2003 integrierten Gruppen im Verzeichnisdienst Active Directory anwenden

Domänen im gemischten Modus und aktualisierten Domänen

Bei Windows 2000-Domäne ein Windows Server 2003-Domänencontroller hinzugefügt wird, wird durch Auswahl der Zugriffsart Kompatibilität, die zuvor ausgewählt wurde nicht geändert. Daher im gemischten Modus und Domänen, die auf Windows Server 2003 aktualisiert wurden und im Prä-Windows 2000-Kompatibilitätsmodus Zugriff auf die Gruppe jeder der Gruppe Prä-Windows 2000 kompatibler Zugriff haben. Die Gruppe jeder hat außerdem noch Zugriff auf das TGGAU-Attribut. In diesem Modus können Funktionen und Applikationen TGGAU.

Wenn die Domäne im gemischten Modus ist nicht im Kompatibilitätsmodus Zugriff Prä-Windows 2000 können Sie mittels der WAA Berechtigungen gewähren:
  • WAA Gruppe wird automatisch erstellt, wenn ein Windows Server 2003-Domänencontroller Floating Single-Master Operations Server heraufgestuft wird.
  • Die WAA nicht automatisch Zugriff auf das TGGAU-Attribut im gemischten Modus und aktualisierten Domänen erhält.
Weitere Informationen über ein Skript, die veranschaulicht, wie diese Berechtigungen klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

331947 wie Sie programmgesteuert Berechtigungen für Windows Server 2003 integrierten Gruppen im Verzeichnisdienst Active Directory anwenden

Windows Autorisierung Zugriff (WAA) Gruppe Zugriff auf das TGGAU-Attribut hat, setzen Sie die Konten, die in der Gruppe WAA zugreifen.

Neue Windows Server 2003-Domänen

Ist die Domäne im Prä-Windows 2000-Kompatibilitätsmodus Zugriff hat die Gruppe jeder Lesezugriff auf das TGGAU-Attribut auf Benutzer- und Computerkonto-Objekte. In diesem Modus können Funktionen und Applikationen TGGAU.

Wenn die Domäne nicht im Kompatibilitätsmodus Zugriff Prä-Windows 2000 hinzufügen WAA die Konten, die auf TGGAU zugreifen. In neuen Installationen von Windows Server 2003 bereits WAA Gruppe Lesezugriff auf TGGAU Benutzerobjekte und Computerobjekte.
Eigenschaften

Artikelnummer: 331951 – Letzte Überarbeitung: 16.01.2017 – Revision: 1

Feedback