Al momento sei offline in attesa che la connessione Internet venga ristabilita

Alcune applicazioni e API richiedono l'accesso a informazioni di autorizzazione su oggetti account

Il supporto per Windows Server 2003 è terminato il 14 luglio 2015.

Microsoft ha sospeso il supporto per Windows Server 2003 in data 14 luglio 2015. Questa modifica ha interessato gli aggiornamenti software e le opzioni di sicurezza. Ulteriori informazioni su come continuare a essere protetti.

Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell’utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell’utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.

Clicca qui per visualizzare la versione originale in inglese dell’articolo: 331951
Sommario
Alcune applicazioni presentano caratteristiche che consente di leggere l'attributo di (TGGAU) del token-gruppi-globale-e-universal sugli oggetti account utente o sugli oggetti account computer del servizio di directory Microsoft Active Directory. Alcune funzioni di Win32 rendere più semplice leggere il TGGAU attributo. Applicazioni che leggono che questo attributo o che chiama un'API (definita come una funzione nella parte restante di questo articolo) che questo attributo viene caricato non riescano se il contesto di protezione chiamante non dispone di accesso all'attributo.

Per impostazione predefinita, l'accesso all'attributo TGGAU si dipende dalla decisione di Compatibilità di autorizzazione (apportata quando il dominio è stato creato durante il processo di DCPromo.exe). La compatibilità di autorizzazione predefinito dei nuovi domini Windows Server 2003 non concede all'ampia accesso all'attributo TGGAU. Accesso in lettura può essere concessa l'attributo TGGAU come necessario per il nuovo gruppo di Accesso autorizzazione Windows (WAA) in Windows Server 2003.
Informazioni
L'attributo di token-gruppi-globale-e-universale (TGGAU) è un valore calcolato in modo dinamico su oggetti di account di computer e degli oggetti di account utente in Active Directory. Questo attributo enumera le appartenenze ai gruppi globali e le appartenenze universale per gli account utente corrispondente account computer. Le applicazioni possono utilizzare le informazioni di gruppo che sono fornite dall'attributo TGGAU per prendere diverse decisioni relative a un utente specifico quando l'utente non è connesso.

Ad esempio, un'applicazione consente queste informazioni di determinare se un utente dispone dell'accesso a una risorsa accessibile per i controlli dell'applicazione. Le applicazioni che richiedono tali informazioni è possono leggere l'attributo TGGAU direttamente utilizzando o le interfacce di Lightweight Directory Access Protocol che Active Directory Services Interfaces. Tuttavia, Microsoft Windows Server 2003 introdotti diverse funzioni che semplificano la lettura e l'interpretazione dell'attributo TGGAU (inclusi la funzione AuthzInitializeContextFromSid non e la funzione LsaLogonUser ). Di conseguenza, le applicazioni che utilizzano queste funzioni potrebbero inavvertitamente da leggere l'attributo TGGAU.

Per le applicazioni per poter leggere questo attributo direttamente o se indirettamente leggere questo attributo (mediante l'utilizzo di un'API), il contesto di protezione l'applicazione viene eseguita in disporre accesso in lettura oggetto TGGAU sugli oggetti utente e per gli oggetti computer. Non si prevede che le applicazioni si presuppone che questi dispongano di accesso TGGAU. Di conseguenza, è possibile prevedere le applicazioni non riuscito quando viene negato l'accesso. In questo caso, (utente) è possibile che venga visualizzato un messaggio o una voce di registro che spiega che l'accesso negata durante il tentativo di leggere queste informazioni e che fornisce istruzioni su come ottenere l'accesso (come descritto più avanti in questo articolo).

Diverse applicazioni dipendono dalle informazioni che sono fornite da TGGAU poiché le informazioni disponibili per impostazione predefinita in Microsoft Windows NT 4.0 e nei sistemi operativi precedenti. Di conseguenza, nei sistemi operativi di Microsoft Windows 2000 e Windows Server 2003, accesso in lettura all'attributo TGGAU è concesso al gruppo Pre-Windows 2000 Compatible Access .

Per i domini che utilizzano le applicazioni esistenti, è possibile gestire queste applicazioni aggiungendo i contesti di protezione che le applicazioni eseguite al gruppo Pre-Windows 2000 Compatible Access . In alternativa, è possibile selezionare l'opzione "Autorizzazioni compatibili con server precedenti a Windows 2000" durante il processo di DCPromo quando si crea un dominio. (In Windows Server 2003, questa opzione è seguente nel modo seguente: "Autorizzazioni compatibili con sistemi operativi di server 2000 precedenti a Windows" .) Questa opzione aggiunge il gruppo Everyone al gruppo Pre-Windows 2000 Compatible Access e concede quindi l'il Everyone gruppo di accesso in lettura per l'attributo TGGAU e molti altri oggetti di dominio.

Per ulteriori informazioni sul gruppo Accesso compatibile precedente a Windows 2000, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
257988Descrizione delle scelte di autorizzazioni Dcpromo
Quando viene creato un nuovo dominio di Windows Server 2003, la selezione di compatibilità di accesso predefinito è autorizzazioni compatibili solo con Windows 2000 o sistemi operativi Windows Server 2003 . Quando questa opzione è impostata, il gruppo Accesso compatibile di precedente a Windows 2000 include solo l'identificatore di protezione incorporato Authenticated Users e accesso in lettura all'attributo TGGAU sugli oggetti è limitato. In questo caso, applicazioni che richiedono l'accesso al gruppo TGGAU hanno accesso a meno che l'account con cui si esegue le applicazioni non disponga dei diritti di amministratore di dominio o diritti utente simili.

Abilitazione di applicazioni per la lettura dell'attributo TGGAU

Per semplificare il processo di concedere l'accesso in lettura sull'attributo token-gruppi-globale-e-universale (TGGAU) agli utenti che devono leggere l'attributo, Windows Server 2003 introduce il gruppo di accesso autorizzazione Windows (WAA).

Nelle nuove installazioni di domini di Windows Server 2003, il gruppo WAA è concesso l'accesso per la lettura TGGAU attributo su oggetti utente e degli oggetti di gruppo.

Domini di Windows 2000

Se il dominio è in modalità di accesso precedente a Windows 2000 compatibilità, il gruppo Everyone dispone di accesso in lettura all'attributo TGGAU su oggetti account utente e sulla oggetti account computer. In questa modalità, in applicazioni e le funzioni sono hanno accesso a TGGAU.

Se il dominio è non in modalità di accesso compatibilità precedente a Windows 2000, potrebbe essere necessario consentono alcune applicazioni di leggere il TGGAU. Poiché il Gruppo di accesso autorizzazione Windows non è presente in Windows 2000, è consigliabile che si crea un gruppo locale di dominio per questo scopo e aggiungere l'account dell'utente o del computer che richiede l'accesso per il TGGAU attributo a tale gruppo. Questo gruppo dovrebbe essere concesso l'accesso all'attributo tokenGroupsGlobalAndUniversal negli oggetti utente, gli oggetti computer e gli oggetti iNetOrgPerson .

Per ulteriori informazioni su come effettuare questa operazione utilizzando uno script di esempio, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
331947Come applicare a livello di programmazione autorizzazioni di accesso per gruppi incorporati Windows Server 2003 il servizio di directory Active Directory

Domini in modalità mista e domini aggiornati

Quando un controller di dominio di Windows Server 2003 viene aggiunto a un dominio di Windows 2000, la selezione di compatibilità di accesso in precedenza è stata selezionata non viene modificata. Di conseguenza, domini in modalità mista e domini sono stati aggiornati a Windows Server 2003 in modalità di accesso precedente a Windows 2000 compatibilità continuano affinché il gruppo Everyone nel gruppo di Accesso di compatibilità precedente a Windows 2000 . Inoltre, il Everyone ancora può accedere al TGGAU attributo. In questa modalità, in applicazioni e le funzioni sono hanno accesso a TGGAU.

Se il dominio a modalità mista è non in modalità di accesso compatibilità precedente a Windows 2000, è possibile concedere autorizzazioni per mezzo di WAA il gruppo:
  • Il gruppo WAA viene creato automaticamente quando un controller di dominio di Windows Server 2003 viene promosso al server di Floating Single Master Operations.
  • Il gruppo WAA accesso non viene concessa automaticamente il TGGAU attributo nei domini a modalità mista e in aggiornati domini.
Per ulteriori informazioni su uno script viene illustrato come applicare queste autorizzazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
331947Come applicare a livello di programmazione autorizzazioni di accesso per gruppi incorporati Windows Server 2003 il servizio di directory Active Directory
Dopo avere accesso all'attributo TGGAU, il gruppo di accesso autorizzazione Windows (WAA) è possibile inserire gli account che richiedono l'accesso in WAA il gruppo.

Domini di nuovo Windows Server 2003

Se il dominio è in modalità di accesso precedente a Windows 2000 compatibilità, il gruppo Everyone dispone di accesso in lettura all'attributo TGGAU su oggetti account utente e sulla oggetti account computer. In questa modalità, in applicazioni e le funzioni sono hanno accesso a TGGAU.

Se il dominio è non in modalità di accesso precedente a Windows 2000 compatibilità, aggiungere al WAA gruppo gli account che richiedono l'accesso a TGGAU. Nelle nuove installazioni di Windows Server 2003, il gruppo WAA è già presente accesso in lettura a TGGAU degli oggetti utente e negli oggetti computer.
AuthzInitializeContextFromSid non InitializeClientContextFromName LsaLogonUser MSMQ WMI

Avviso: questo articolo è stato tradotto automaticamente

Proprietà

ID articolo: 331951 - Ultima revisione: 12/01/2008 22:17:55 - Revisione: 5.0

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, 64-Bit Datacenter Edition, Microsoft Windows XP 64-Bit Edition Version 2003

  • kbmt kbsecurity kbinfo KB331951 KbMtit
Feedback