Ορισμένες εφαρμογές και APIs απαιτούν πρόσβαση σε πληροφορίες εξουσιοδότησης σε αντικείμενα του λογαριασμού

Σύνοψη

Ορισμένες εφαρμογές έχουν δυνατότητες που ανάγνωση του χαρακτηριστικού (TGGAU) διακριτικό-ομάδες-καθολικό-και-παγκόσμια σε αντικείμενα του λογαριασμού χρήστη ή σε αντικείμενα του λογαριασμού υπολογιστή στην υπηρεσία καταλόγου Microsoft Active Directory. Ορισμένες συναρτήσεις Win32 διευκολύνουν την ανάγνωση το χαρακτηριστικό TGGAU. Εφαρμογές που διαβάζουν αυτό το χαρακτηριστικό ή που η κλήση API (αναφέρεται ως μια συνάρτηση στο υπόλοιπο αυτού του άρθρου) που διαβάζει αυτό το χαρακτηριστικό είναι επιτυγχάνεται αν κλήσης περιβάλλον ασφαλείας δεν έχει πρόσβαση στο χαρακτηριστικό.

Από προεπιλογή, η access το χαρακτηριστικό TGGAU καθορίζεται από το
Η απόφαση Συμβατότητας δικαιωμάτων (που πραγματοποιούνται κατά τη δημιουργία του τομέα κατά τη διάρκεια της διαδικασίας DCPromo.exe). Η συμβατότητα δικαίωμα προεπιλογή για νέα τομείς του Windows Server 2003 δεν εξασφαλίζει ευρεία πρόσβαση με το χαρακτηριστικό TGGAU. Πρόσβαση ανάγνωσης μπορούν να λάβουν το χαρακτηριστικό TGGAU όπως απαιτείται για τη νέα ομάδα Windows άδεια πρόσβασης (WAA) στον Windows Server 2003.

Περισσότερες πληροφορίες

Το χαρακτηριστικό του διακριτικού-ομάδες-καθολικό-και-παγκόσμια (TGGAU) είναι μια δυναμική υπολογιζόμενη αξία σε αντικείμενα του λογαριασμού υπολογιστή και σε αντικείμενα του λογαριασμού χρήστη στον κατάλογο Active Directory. Το χαρακτηριστικό αυτό απαριθμεί τα μέλη ευρείας ομάδας και τα μέλη καθολικής ομάδας για τον αντίστοιχο λογαριασμό χρήστη ή υπολογιστή. Εφαρμογές μπορούν να χρησιμοποιήσουν τις πληροφορίες ομάδας που παρέχεται από το χαρακτηριστικό TGGAU για να κάνετε διάφορες αποφάσεις σχετικά με έναν συγκεκριμένο χρήστη, όταν ο χρήστης δεν είναι συνδεδεμένος.

Για παράδειγμα, μια εφαρμογή να χρησιμοποιήσετε αυτές τις πληροφορίες για να προσδιορίσετε αν ένας χρήστης έχει χορηγηθεί πρόσβαση σε έναν πόρο που έχει πρόσβαση για τα στοιχεία ελέγχου της εφαρμογής. Εφαρμογές που απαιτούν αυτές τις πληροφορίες, να διαβάσετε το χαρακτηριστικό TGGAU απευθείας χρησιμοποιώντας τις διασυνδέσεις πρωτοκόλλου πρόσβασης Lightweight Directory ή ενεργές διασυνδέσεις υπηρεσιών καταλόγου. Ωστόσο, το Microsoft Windows Server 2003 εισήγαγε αρκετές συναρτήσεις (συμπεριλαμβανομένων των συναρτήσεων AuthzInitializeContextFromSid και το LsaLogonUser ) που απλοποιούν την ανάγνωση και την ερμηνεία των το χαρακτηριστικό TGGAU. Επομένως, οι εφαρμογές που χρησιμοποιούν αυτές τις λειτουργίες μπορεί να χωρίς διαβάζει το χαρακτηριστικό TGGAU.

Για τις εφαρμογές για να είναι δυνατή η απευθείας ανάγνωση αυτό το χαρακτηριστικό ή έμμεσα να διαβάσετε αυτό το χαρακτηριστικό (με τη χρήση του API), το περιβάλλον ασφαλείας στο οποίο εκτελείται η εφαρμογή σε πρέπει να διαθέτουν δικαιώματα ανάγνωσης στο αντικείμενο TGGAU σχετικά με τα αντικείμενα χρήστη και τα αντικείμενα υπολογιστή. Δεν αναμένετε εφαρμογές να υποτεθεί ότι έχουν πρόσβαση σε TGGAU. Επομένως, μπορείτε να περιμένετε να αποτύχει όταν δεν επιτρέπεται η πρόσβαση των εφαρμογών. Σε αυτήν την περίπτωση, (χρήστη) ενδέχεται να εμφανιστεί ένα μήνυμα σφάλματος ή μια καταχώρηση αρχείου καταγραφής που εξηγεί ότι η πρόσβαση δεν έγινε δεκτή κατά την ανάγνωση αυτών των πληροφοριών και η οποία παρέχει οδηγίες σχετικά με τον τρόπο απόκτησης πρόσβασης (όπως περιγράφεται παρακάτω σε αυτό το άρθρο).

Διάφορες υπάρχουσες εφαρμογές εξαρτώνται από τις πληροφορίες που παρέχονται από TGGAU επειδή οι πληροφορίες είναι διαθέσιμες από προεπιλογή στα Microsoft Windows NT 4.0 και προηγούμενες εκδόσεις λειτουργικών συστημάτων. Επομένως, σε λειτουργικά συστήματα Microsoft Windows 2000 και Windows Server 2003, τα δικαιώματα ανάγνωσης για το χαρακτηριστικό TGGAU εκχωρείται στην ομάδα " Πρόσβαση συμβατή με προγενέστερο των Windows 2000 ".

Για τομείς που χρησιμοποιούν οι υπάρχουσες εφαρμογές, μπορείτε να χειριστείτε αυτές τις εφαρμογές, προσθέτοντας τα περιβάλλοντα ασφαλείας που χρησιμοποιούν αυτές τις εφαρμογές ώστε να της ομάδας Πρόσβαση συμβατή με προγενέστερο των Windows 2000 . Εναλλακτικά, μπορείτε να επιλέξετε την επιλογή "Δικαιώματα συμβατή με προγενέστερο των Windows 2000 διακομιστές" κατά τη διαδικασία DCPromo κατά τη δημιουργία ενός τομέα. (Στον Windows Server 2003, αυτή η επιλογή έχει διατυπωθεί ως εξής: "Δικαιώματα συμβατά με τα λειτουργικά συστήματα πριν από τα Windows 2000 server".) Αυτή η επιλογή προσθέτει την ομάδα Όλοι οι χρήστες στην ομάδα " Πρόσβαση συμβατή με προγενέστερο των Windows 2000 ", και ως εκ τούτου να εκχωρεί το Everyone ομάδας δικαιώματα ανάγνωσης για το χαρακτηριστικό TGGAU και σε πολλά άλλα αντικείμενα του τομέα.

Για περισσότερες πληροφορίες σχετικά με την ομάδα συμβατότητας Access το προγενέστερο των Windows 2000, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

257988 περιγραφή του Dcpromo δικαιώματα επιλογές

Όταν δημιουργείται ένα νέο τομέα Windows Server 2003, η προεπιλεγμένη επιλογή συμβατότητας πρόσβασης είναι τα δικαιώματα που είναι συμβατό μόνο με Windows 2000 ή Windows Server 2003 λειτουργικά συστήματα. Όταν έχει οριστεί αυτή η επιλογή, η ομάδα Πριν τα Windows 2000 συμβατότητας Access περιλαμβάνει μόνο το αναγνωριστικό ενσωματωμένη ασφάλεια Authenticated Users και περιορίζεται η πρόσβαση ανάγνωσης στο χαρακτηριστικό TGGAU σε αντικείμενα. Στην περίπτωση αυτή, οι εφαρμογές που απαιτούν πρόσβαση στην ομάδα TGGAU είναι απαγορεύεται η πρόσβαση εκτός και αν ο λογαριασμός υπό τις οποίες οι εφαρμογές εκτελούνται διαθέτει δικαιώματα διαχειριστή τομέα ή παρόμοια δικαιώματα χρήστη.

Ενεργοποίηση εφαρμογών για να διαβάσετε το χαρακτηριστικό TGGAU

Για να απλοποιηθεί η διαδικασία της παραχώρησης πρόσβαση ανάγνωσης στο χαρακτηριστικό διακριτικό-ομάδες-καθολικό-και-παγκόσμια (TGGAU) για τους χρήστες που πρέπει να διαβάσει το χαρακτηριστικό, Windows Server 2003 εισάγει την ομάδα Windows άδεια πρόσβασης (WAA).

Σε νέες εγκαταστάσεις των τομέων του Windows Server 2003, η ομάδα WAA εκχωρείται πρόσβαση για το χαρακτηριστικό TGGAU ανάγνωσης σε αντικείμενα χρήστη και σε αντικείμενα ομάδας.

Τομείς των Windows 2000

Εάν ο τομέας είναι σε κατάσταση λειτουργίας πρόσβασης συμβατότητας πριν από τα Windows 2000, η ομάδα Everyone έχει δικαιώματα ανάγνωσης για το χαρακτηριστικό TGGAU σε αντικείμενα του λογαριασμού χρήστη και σε αντικείμενα του λογαριασμού υπολογιστή. Σε αυτήν τη λειτουργία, οι εφαρμογές και λειτουργίες έχουν πρόσβαση σε TGGAU.

Εάν ο τομέας δεν σε λειτουργία πρόσβασης συμβατότητας πριν τα Windows 2000, ίσως χρειαστεί να ενεργοποιήσετε συγκεκριμένες εφαρμογές για την ανάγνωση της TGGAU. Επειδή δεν υπάρχει στην Ομάδα εξουσιοδοτημένης πρόσβασης των Windows στα Windows 2000, συνιστάται να δημιουργήσετε μια τοπική ομάδα τομέα για το σκοπό αυτό, και μπορείτε να προσθέσετε το λογαριασμό χρήστη ή υπολογιστή που απαιτεί πρόσβαση στο χαρακτηριστικό TGGAU σε αυτήν την ομάδα. Αυτή η ομάδα θα πρέπει να έχουν πρόσβαση για να το
το χαρακτηριστικό tokenGroupsGlobalAndUniversal σε αντικείμενα χρήστη, σε αντικείμενα υπολογιστή και σε αντικείμενα iNetOrgPerson .

Για περισσότερες πληροφορίες σχετικά με τον τρόπο για να το κάνετε αυτό, χρησιμοποιώντας ένα δείγμα δέσμης ενεργειών, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

331947 τον τρόπο μέσω προγραμματισμού να εφαρμόσετε δικαιώματα πρόσβασης για τα Windows Server 2003 ενσωματωμένες ομάδες στην υπηρεσία καταλόγου Active Directory

Τομείς μεικτής λειτουργίας και αναβαθμισμένες τομείς

Κατά την προσθήκη ενός ελεγκτή τομέα του Windows Server 2003 σε έναν τομέα των Windows 2000, δεν αλλάζει την επιλογή συμβατότητας access που είχε επιλεγεί προηγουμένως. Κατά συνέπεια, μεικτή λειτουργία τομείς και τους τομείς που έχουν αναβαθμιστεί σε Windows Server 2003 που ήταν σε κατάσταση λειτουργίας πρόσβασης συμβατότητας πριν από τα Windows 2000 εξακολουθήσει να έχει την ομάδα Όλοι οι χρήστες στην ομάδα Πρόσβαση συμβατότητας πριν από τα Windows 2000 . Επιπλέον, η ομάδα Everyone εξακολουθεί να έχει πρόσβαση το χαρακτηριστικό TGGAU. Σε αυτήν τη λειτουργία, οι εφαρμογές και λειτουργίες έχουν πρόσβαση σε TGGAU.

Εάν ο τομέας μεικτή κατάσταση λειτουργίας δεν σε λειτουργία πρόσβασης συμβατότητας πριν τα Windows 2000, μπορείτε να εκχωρήσετε δικαιώματα με την ομάδα WAA:
  • Η ομάδα WAA δημιουργείται αυτόματα όταν προωθηθεί ένα ελεγκτή τομέα Windows Server 2003 στο διακομιστή πράξεις κινητής Single Master.
  • Στην ομάδα WAA δεν εκχωρείται αυτόματα πρόσβαση στο χαρακτηριστικό TGGAU σε τομείς μεικτής κατάστασης λειτουργίας και στην αναβαθμισμένη τομείς.
Για περισσότερες πληροφορίες σχετικά με μια δέσμη ενεργειών που παρουσιάζει πώς μπορείτε να εφαρμόσετε αυτά τα δικαιώματα, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

331947 τον τρόπο μέσω προγραμματισμού να εφαρμόσετε δικαιώματα πρόσβασης για τα Windows Server 2003 ενσωματωμένες ομάδες στην υπηρεσία καταλόγου Active Directory

Αφού η ομάδα Windows άδεια πρόσβασης (WAA) έχει πρόσβαση στο χαρακτηριστικό TGGAU, μπορείτε να τοποθετήσετε τους λογαριασμούς που απαιτούν πρόσβαση στην ομάδα WAA.

Νέα τομείς Server 2003 των Windows

Εάν ο τομέας είναι σε κατάσταση λειτουργίας πρόσβασης συμβατότητας πριν από τα Windows 2000, η ομάδα Everyone έχει δικαιώματα ανάγνωσης για το χαρακτηριστικό TGGAU σε αντικείμενα του λογαριασμού χρήστη και σε αντικείμενα του λογαριασμού υπολογιστή. Σε αυτήν τη λειτουργία, οι εφαρμογές και λειτουργίες έχουν πρόσβαση σε TGGAU.

Εάν ο τομέας δεν σε λειτουργία πρόσβασης συμβατότητας πριν τα Windows 2000, προσθήκη στην ομάδα WAA αυτούς τους λογαριασμούς που απαιτούν πρόσβαση σε TGGAU. Στις νέες εγκαταστάσεις του Windows Server 2003, η ομάδα WAA έχει ήδη πρόσβαση ανάγνωσης σε TGGAU σε αντικείμενα χρήστη και σε αντικείμενα υπολογιστή.
Ιδιότητες

Αναγνωριστικό άρθρου: 331951 - Τελευταία αναθεώρηση: 17 Ιαν 2017 - Αναθεώρηση: 1

Σχόλια