Algunas aplicaciones y API requieren acceso a la información de autorización en objetos de cuenta

Artículo
02/21/2024

En este artículo se describen algunas aplicaciones e interfaces de programación de aplicaciones (API) que deben tener acceso al atributo token-groups-global-and-universal (TGGAU) en objetos de cuenta de usuario o en objetos de cuenta de equipo en el servicio de directorio de Active Directory.

Se aplica a: Windows Server 2012 R2
Número de KB original: 331951

Resumen

Algunas aplicaciones tienen características que leen el atributo token-groups-global-and-universal (TGGAU) en objetos de cuenta de usuario o en objetos de cuenta de equipo en el servicio de directorio de Microsoft Active Directory. Algunas funciones de Win32 facilitan la lectura del atributo TGGAU. Las aplicaciones que leen este atributo o que llaman a una API (a la que se hace referencia como una función en el resto de este artículo) que lee este atributo no se ejecutan correctamente si el contexto de seguridad que realiza la llamada no tiene acceso al atributo.

De forma predeterminada, el acceso al atributo TGGAU viene determinado por la decisión de compatibilidad de permisos (realizada cuando se creó el dominio durante el proceso de DCPromo.exe). La compatibilidad de permisos predeterminada para nuevos dominios de Windows Server 2003 no concede acceso amplio al atributo TGGAU. El acceso para leer el atributo TGGAU se puede conceder según sea necesario al nuevo grupo de Acceso de autorización de Windows (WAA) en Windows Server 2003.

Más información

El atributo token-groups-global-and-universal (TGGAU) es un valor calculado dinámicamente en objetos de cuenta de equipo y en objetos de cuenta de usuario en Active Directory. Este atributo enumera las pertenencias a grupos globales y las pertenencias a grupos universales para la cuenta de usuario o la cuenta de equipo correspondientes. Las aplicaciones pueden usar la información de grupo proporcionada por el atributo TGGAU para tomar varias decisiones sobre un usuario específico cuando el usuario no ha iniciado sesión.

Por ejemplo, una aplicación puede usar esta información para determinar si se ha concedido a un usuario acceso a un recurso para el que la aplicación controla el acceso. Las aplicaciones que requieren esta información pueden leer el atributo TGGAU directamente mediante interfaces de protocolo ligero de acceso a directorios o interfaces de servicios de Active Directory. Sin embargo, Microsoft Windows Server 2003 introdujo varias funciones (incluida la función AuthzInitializeContextFromSid y la función LsaLogonUser) que simplifican la lectura e interpretación del atributo TGGAU. Por lo tanto, las aplicaciones que usan estas funciones pueden leer sin saberlo el atributo TGGAU.

Para que las aplicaciones puedan leer directamente este atributo o leer indirectamente este atributo (mediante el uso de una API), el contexto de seguridad en el que se ejecuta la aplicación debe tener acceso de lectura al objeto TGGAU en los objetos de usuario y en los objetos de equipo. No se espera que las aplicaciones supongan que tienen acceso a TGGAU. Por lo tanto, puede esperar que las aplicaciones no se puedan realizar correctamente cuando se deniegue el acceso. En esta situación, usted (el usuario) puede recibir un mensaje de error o una entrada de registro que explica que se denegó el acceso al intentar leer esta información y que proporciona instrucciones sobre cómo obtener acceso (como se describe más adelante en este artículo).

Varias aplicaciones existentes dependen de la información proporcionada por TGGAU porque la información está disponible de forma predeterminada en Microsoft Windows NT 4.0 y en sistemas operativos anteriores. Por lo tanto, en los sistemas operativos Microsoft Windows 2000 y Windows Server 2003, el acceso de lectura al atributo TGGAU se concede al grupo Acceso compatible anterior a Windows 2000 .

En el caso de los dominios que usan aplicaciones existentes, puede controlar estas aplicaciones agregando los contextos de seguridad que ejecutan esas aplicaciones en cuanto al grupo Acceso compatible anterior a Windows 2000 . En su lugar, puede seleccionar la opción "Permisos compatibles con servidores anteriores a Windows 2000" durante el proceso de DCPromo al crear un dominio. (En Windows Server 2003, esta opción está redactada de la siguiente manera: "Permisos compatibles con sistemas operativos anteriores a Windows 2000 Server"). Esta selección agrega el grupo Todos al grupo Acceso compatible anterior a Windows 2000 y, por tanto, concede acceso de lectura al grupo Todos al atributo TGGAU y a muchos otros objetos de dominio.

Cuando se crea un nuevo dominio de Windows Server 2003, la selección de compatibilidad de acceso predeterminada es Permisos compatibles solo con sistemas operativos Windows 2000 o Windows Server 2003. Cuando se establece esta opción, el grupo Acceso de compatibilidad anterior a Windows 2000 incluye solo el identificador de seguridad integrado Usuarios autenticados y el acceso de lectura al atributo TGGAU en los objetos está limitado. En este caso, se deniega el acceso a las aplicaciones que requieren acceso al grupo TGGAU a menos que la cuenta con la que se ejecutan las aplicaciones tenga derechos de administrador de dominio o derechos de usuario similares.

Habilitación de aplicaciones para leer el atributo TGGAU

Para simplificar el proceso de concesión de acceso de lectura en el atributo token-groups-global-and-universal (TGGAU) a los usuarios que deben leer el atributo, Windows Server 2003 presenta el grupo Acceso de autorización de Windows (WAA).

En las nuevas instalaciones de dominios de Windows Server 2003, se concede acceso al grupo WAA al atributo TGGAU de lectura en objetos de usuario y en objetos de grupo.

Dominios de Windows 2000

Si el dominio está en modo de acceso de compatibilidad anterior a Windows 2000, el grupo Todos tiene acceso de lectura al atributo TGGAU en objetos de cuenta de usuario y en objetos de cuenta de equipo. En este modo, las aplicaciones y funciones tienen acceso a TGGAU.

Si el dominio no está en modo de acceso de compatibilidad anterior a Windows 2000, es posible que tenga que habilitar ciertas aplicaciones para leer el TGGAU. Dado que el grupo de acceso de autorización de Windows no existe en Windows 2000, se recomienda crear un grupo local de dominio para este fin y agregar la cuenta de usuario o equipo que requiere acceso al atributo TGGAU a ese grupo. Este grupo tendría que tener acceso al tokenGroupsGlobalAndUniversal atributo en objetos de usuario, en objetos de equipo y en iNetOrgPerson objetos.

Dominios de modo mixto y dominios actualizados

Cuando se agrega un controlador de dominio de Windows Server 2003 a un dominio de Windows 2000, la selección de compatibilidad de acceso seleccionada anteriormente no cambia. Por lo tanto, los dominios y dominios de modo mixto que se actualizaron a Windows Server 2003 que estaban en modo de acceso de compatibilidad anterior a Windows 2000 siguen teniendo el grupo Todos en el grupo Acceso de compatibilidad anterior a Windows 2000 . Además, el grupo Todos todavía tiene acceso al atributo TGGAU. En este modo, las aplicaciones y funciones tienen acceso a TGGAU.

Si el dominio de modo mixto no está en modo de acceso de compatibilidad anterior a Windows 2000, puede conceder permisos mediante el grupo WAA:

El grupo WAA se crea automáticamente cuando un controlador de dominio de Windows Server 2003 se promueve al servidor flotante de operaciones maestras únicas.
Al grupo WAA no se le concede acceso automáticamente al atributo TGGAU en dominios de modo mixto y en dominios actualizados.

Después de que el grupo acceso de autorización de Windows (WAA) tenga acceso al atributo TGGAU, puede colocar las cuentas que requieren acceso en el grupo WAA.

Nuevos dominios de Windows Server 2003

Si el dominio no está en modo de acceso de compatibilidad anterior a Windows 2000, agregue al grupo WAA las cuentas que requieren acceso a TGGAU. En las nuevas instalaciones de Windows Server 2003, el grupo WAA ya tiene acceso de lectura a TGGAU en objetos de usuario y en objetos de equipo.