Algunas aplicaciones y API requieren acceso a información de autorización en los objetos de cuenta

Resumen

Algunas aplicaciones tienen características que leen el atributo (TGGAU) de símbolo (token)-grupos globales-y-universal en objetos de cuenta de usuario o en los objetos de cuenta de equipo en el servicio de directorio Microsoft Active Directory. Algunas funciones de Win32 facilitan leer el atributo TGGAU. No se realizan aplicaciones que leen este atributo o que llamar a una API (denominada una función en el resto de este artículo) que lee este atributo si el contexto de seguridad llamada no tiene acceso al atributo.

De forma predeterminada, el acceso al atributo TGGAU está determinado por el
Compatibilidad de permisos decisión (cuando el dominio se creó durante el proceso DCPromo.exe). La compatibilidad de permisos predeterminados para nuevos dominios de Windows Server 2003 no tiene amplio acceso al atributo TGGAU. Acceso para leer el atributo TGGAU se puede conceder como sea necesario para el nuevo grupo de Acceso de autorización de Windows (WAA) en Windows Server 2003.

Más información

El atributo de símbolo (token) de grupos-global-y-universal (TGGAU) es un valor calculado dinámicamente en objetos de cuenta de equipo y en los objetos de cuenta de usuario en Active Directory. Este atributo enumera las pertenencias a grupos globales y la pertenencia a grupos universales para la cuenta de equipo o cuenta de usuario correspondiente. Aplicaciones pueden utilizar la información de grupo proporcionado por el atributo TGGAU para que tome varias decisiones acerca de un usuario específico cuando el usuario no ha iniciado sesión.

Por ejemplo, una aplicación puede utilizar esta información para determinar si un usuario tiene acceso a un recurso que tener acceso los controles de la aplicación de. Aplicaciones que requieren esta información pueden leer el atributo TGGAU directamente mediante interfaces de Lightweight Directory Access Protocol o Interfaces de servicios de Active Directory. Sin embargo, Microsoft Windows Server 2003 introdujo varias funciones (incluidas la función AuthzInitializeContextFromSid y la función LsaLogonUser ) que simplifican la lectura y la interpretación del atributo TGGAU. Por lo tanto, las aplicaciones que utilizan estas funciones pueden, sin saberlo, se lee el atributo TGGAU.

Para que las aplicaciones poder leer este atributo directamente o indirectamente leer este atributo (mediante el uso de una API), el contexto de seguridad que se ejecuta la aplicación debe tener concedido acceso de lectura al objeto TGGAU en los objetos de usuario y en los objetos de equipo. No se espera aplicaciones asumen que tienen acceso a TGGAU. Por lo tanto, se pueden esperar que las aplicaciones no se realice correctamente cuando se deniega el acceso. En esta situación, usted (el usuario) puede recibir un mensaje de error o una entrada de registro que explica que el acceso se ha denegado al tratar de leer esta información y que proporciona instrucciones sobre cómo obtener acceso (tal como se describe más adelante en este artículo).

Varias aplicaciones existentes dependen de la información proporcionada por TGGAU porque la información está disponible de forma predeterminada en Microsoft Windows NT 4.0 y en sistemas operativos anteriores. Por lo tanto, en los sistemas operativos de Microsoft Windows 2000 y Windows Server 2003, se concede acceso de lectura al atributo TGGAU al grupo Pre-Windows 2000 Compatible Access .

Para los dominios que utilizan las aplicaciones existentes, puede controlar estas aplicaciones agregando los contextos de seguridad que se ejecutan las aplicaciones como para el grupo de Pre-Windows 2000 Compatible Access . Como alternativa, puede seleccionar la opción "Permisos compatibles con servidores pre-Windows 2000" durante el proceso DCPromo al crear un dominio. (En Windows Server 2003, esta opción se ha redactado como sigue: "Permisos compatibles con sistemas operativos de versiones anteriores a Windows 2000 server".) Esta selección agrega el grupo todos al grupo Acceso Compatible de versiones anteriores de Windows 2000 y lo concede el todos grupo acceso de lectura al atributo TGGAU y muchos otros objetos del dominio.

Para obtener más información acerca del grupo de acceso de compatibilidad anterior a Windows 2000, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

Opciones de permisos de 257988 descripción de Dcpromo

Cuando se crea un nuevo dominio de Windows Server 2003, la opción de compatibilidad de acceso predeterminado es permisos compatibles sólo con sistemas operativos Windows Server 2003 o de Windows 2000. Cuando se establece esta opción, el grupo de Acceso de compatibilidad anterior a Windows 2000 incluye sólo el identificador de seguridad integrado Usuarios autenticados , y se limita el acceso de lectura al atributo TGGAU en objetos. En este caso, las aplicaciones que requieren acceso al grupo TGGAU se deniegan el acceso, a menos que la cuenta bajo la que se ejecuta la aplicación tiene derechos de administrador de dominio o derechos de usuario similares.

Habilitar aplicaciones leer el atributo TGGAU

Para simplificar el proceso de conceder acceso de lectura en el atributo de símbolo (token) de grupos-global-y-universal (TGGAU) a los usuarios que deben leer el atributo, Windows Server 2003 presenta al grupo de acceso de autorización de Windows (WAA).

En las instalaciones nuevas de dominios de Windows Server 2003, el grupo WAA se concede acceso al atributo TGGAU lectura en objetos de usuario y en los objetos de grupo.

Dominios de Windows 2000

Si el dominio está en modo de acceso de compatibilidad anterior a Windows 2000, el grupo todos tiene acceso de lectura al atributo TGGAU en objetos de cuenta de usuario y en los objetos de cuenta de equipo. En este modo, las aplicaciones y funciones tienen acceso a TGGAU.

Si el dominio es no en modo de acceso de compatibilidad anterior a Windows 2000, tendrá que habilitar algunas aplicaciones leer la TGGAU. Porque no existe el Grupo de acceso de autorización de Windows en Windows 2000, se recomienda que cree un grupo local de dominio para este propósito y que agregar la cuenta de usuario o equipo que requiere acceso al atributo TGGAU a ese grupo. Este grupo tendría que tener acceso a la
atributo tokenGroupsGlobalAndUniversal en objetos de usuario en objetos de equipo y de objetos iNetOrgPerson .

Para obtener más información acerca de cómo hacerlo mediante una secuencia de comandos de ejemplo, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

331947 cómo aplicar mediante programación los permisos de acceso para grupos integrados de Windows Server 2003 en el servicio de directorio de Active Directory

Dominios de modo mixto y actualizado

Cuando se agrega un controlador de dominio de Windows Server 2003 a un dominio de Windows 2000, no se cambia la selección de compatibilidad de access que estaba seleccionada anteriormente. Por lo tanto, los dominios de modo mixto y dominios que se han actualizado a Windows Server 2003 en modo de acceso de compatibilidad anterior a Windows 2000 seguirán tiene el grupo todos en el grupo de Acceso de compatibilidad anterior a Windows 2000 . Además, el grupo todos todavía tiene acceso al atributo TGGAU. En este modo, las aplicaciones y funciones tienen acceso a TGGAU.

Si el dominio de modo mixto es no en modo de acceso de compatibilidad anterior a Windows 2000, puede conceder permisos mediante el grupo WAA:
  • El grupo WAA se crea automáticamente cuando se promueve un controlador de dominio de Windows Server 2003 en el servidor de operaciones de maestro único flotante.
  • El grupo WAA no se concede acceso al atributo TGGAU en dominios de modo mixto y en dominios actualizados automáticamente.
Para obtener más información acerca de una secuencia de comandos que se muestra cómo aplicar estos permisos, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

331947 cómo aplicar mediante programación los permisos de acceso para grupos integrados de Windows Server 2003 en el servicio de directorio de Active Directory

Después de que el grupo de acceso de autorización de Windows (WAA) tiene acceso al atributo TGGAU, puede colocar las cuentas que requieren acceso en el grupo WAA.

Nuevos dominios de Windows Server 2003

Si el dominio está en modo de acceso de compatibilidad anterior a Windows 2000, el grupo todos tiene acceso de lectura al atributo TGGAU en objetos de cuenta de usuario y en los objetos de cuenta de equipo. En este modo, las aplicaciones y funciones tienen acceso a TGGAU.

Si el dominio es no en modo de acceso de compatibilidad anterior a Windows 2000, agregue al grupo WAA aquellas cuentas que requieren acceso a TGGAU. En las nuevas instalaciones de Windows Server 2003, el grupo WAA ya tiene acceso de lectura a TGGAU en objetos de usuario y en objetos de equipo.
Propiedades

Id. de artículo: 331951 - Última revisión: 17 ene. 2017 - Revisión: 1

Comentarios