일부 애플리케이션 및 API는 계정 개체에 대한 권한 부여 정보에 액세스해야 합니다.

이 문서에서는 일부 애플리케이션 및 API(애플리케이션 프로그래밍 인터페이스)가 사용자 계정 개체 또는 Active Directory 디렉터리 서비스의 컴퓨터 계정 개체에서 token-groups-global-and-universal(TGGAU) 특성에 액세스할 수 있어야 한다고 설명합니다.

적용 대상: Windows Server 2012 R2
원본 KB 번호: 331951

요약

일부 애플리케이션에는 사용자 계정 개체 또는 Microsoft Active Directory 디렉터리 서비스의 컴퓨터 계정 개체에서 token-groups-global-and-universal(TGGAU) 특성을 읽는 기능이 있습니다. 일부 Win32 함수를 사용하면 TGGAU 특성을 더 쉽게 읽을 수 있습니다. 이 특성을 읽거나 호출하는 보안 컨텍스트에 특성에 대한 액세스 권한이 없는 경우 이 특성을 읽는 API(이 문서의 나머지 부분의 함수라고 함)를 호출하는 애플리케이션은 성공하지 못합니다.

기본적으로 TGGAU 특성에 대한 액세스는 권한 호환성 결정(DCPromo.exe 프로세스 중에 도메인을 만들 때 수행됨)에 따라 결정됩니다. 새 Windows Server 2003 도메인에 대한 기본 권한 호환성은 TGGAU 특성에 대한 광범위한 액세스 권한을 부여하지 않습니다. Windows Server 2003의 새 WAA( Windows 권한 부여 액세스 ) 그룹에 필요에 따라 TGGAU 특성을 읽을 수 있는 액세스 권한을 부여할 수 있습니다.

추가 정보

token-groups-global-and-universal(TGGAU) 특성은 Active Directory의 컴퓨터 계정 개체 및 사용자 계정 개체에서 동적으로 계산된 값입니다. 이 특성은 해당 사용자 계정 또는 컴퓨터 계정에 대한 전역 그룹 멤버 자격 및 유니버설 그룹 멤버 자격을 열거합니다. 애플리케이션은 TGGAU 특성에서 제공하는 그룹 정보를 사용하여 사용자가 로그온되지 않은 경우 특정 사용자에 대해 다양한 결정을 내릴 수 있습니다.

예를 들어 애플리케이션은 이 정보를 사용하여 애플리케이션이 액세스를 제어하는 리소스에 대한 액세스 권한을 사용자에게 부여했는지 여부를 확인할 수 있습니다. 이 정보가 필요한 애플리케이션은 경량 디렉터리 액세스 프로토콜 인터페이스 또는 Active Directory Services 인터페이스를 사용하여 TGGAU 특성을 직접 읽을 수 있습니다. 그러나 Microsoft Windows Server 2003에는 TGGAU 특성의 읽기 및 해석을 간소화하는 여러 함수(AuthzInitializeContextFromSid 함수 및 LsaLogonUser 함수 포함)가 도입되었습니다. 따라서 이러한 함수를 사용하는 애플리케이션은 무의식적으로 TGGAU 특성을 읽을 수 있습니다.

애플리케이션이 이 특성을 직접 읽거나 이 특성을 간접적으로 읽을 수 있게 하려면(API를 사용하여) 애플리케이션이 실행되는 보안 컨텍스트에 사용자 개체 및 컴퓨터 개체의 TGGAU 개체에 대한 읽기 권한이 부여되어야 합니다. 애플리케이션이 TGGAU에 액세스할 수 있다고 가정할 필요는 없습니다. 따라서 액세스가 거부되면 애플리케이션이 실패할 것으로 예상할 수 있습니다. 이 경우 사용자(사용자)는 이 정보를 읽는 동안 액세스가 거부되었음을 설명하고 액세스 권한을 얻는 방법에 대한 지침을 제공하는 오류 메시지 또는 로그 항목을 받을 수 있습니다(이 문서의 뒷부분에서 설명).

Microsoft Windows NT 4.0 및 이전 운영 체제에서 기본적으로 정보를 사용할 수 있기 때문에 여러 기존 애플리케이션은 TGGAU에서 제공하는 정보에 따라 달라집니다. 따라서 Microsoft Windows 2000 및 Windows Server 2003 운영 체제에서는 TGGAU 특성에 대한 읽기 권한이 Windows 2000 이전 호환 액세스 그룹에 부여됩니다.

기존 애플리케이션을 사용하는 도메인의 경우 해당 애플리케이션이 실행되는 보안 컨텍스트를 Windows 2000 이전 호환 액세스 그룹에 추가하여 이러한 애플리케이션을 처리할 수 있습니다. 대신 도메인을 만들 때 DCPromo 프로세스 중에 "Windows 2000 이전 서버와 호환되는 권한" 옵션을 선택할 수 있습니다. (Windows Server 2003에서 이 옵션은 "Windows 2000 이전 서버 운영 체제와 호환되는 권한")과 같이 표시됩니다. 이 선택 항목은 모든 사용자 그룹을 Pre-Windows 2000 호환 액세스 그룹에 추가하고, 이에 따라 모든 사용자 그룹에 TGGAU 특성 및 다른 많은 도메인 개체에 대한 읽기 권한을 부여합니다.

새 Windows Server 2003 도메인이 만들어지면 기본 액세스 호환성 선택은 Windows 2000 또는 Windows Server 2003 운영 체제와만 호환되는 권한입니다. 이 옵션을 설정하면 Windows 2000 이전 호환성 액세스 그룹에는 인증된 사용자 기본 제공 보안 식별자만 포함되며 개체의 TGGAU 특성에 대한 읽기 액세스가 제한됩니다. 이 경우 애플리케이션이 실행되는 계정에 도메인 관리자 권한 또는 유사한 사용자 권한이 없는 한 TGGAU 그룹에 액세스해야 하는 애플리케이션에 대한 액세스가 거부됩니다.

애플리케이션에서 TGGAU 특성을 읽을 수 있도록 설정

특성을 읽어야 하는 사용자에게 token-groups-global-and-universal(TGGAU) 특성에 대한 읽기 권한을 부여하는 프로세스를 간소화하기 위해 Windows Server 2003에는 WAA(Windows 권한 부여 액세스) 그룹이 도입되었습니다.

Windows Server 2003 도메인의 새 설치에서 WAA 그룹에는 사용자 개체 및 그룹 개체의 읽기 TGGAU 특성에 대한 액세스 권한이 부여됩니다.

Windows 2000 도메인

도메인이 Windows 2000 이전 호환성 액세스 모드에 있는 경우 모든 사용자 그룹은 사용자 계정 개체 및 컴퓨터 계정 개체에서 TGGAU 특성에 대한 읽기 액세스 권한을 가집니다. 이 모드에서는 애플리케이션 및 함수가 TGGAU에 액세스할 수 있습니다.

도메인이 Windows 2000 이전 호환성 액세스 모드에 없는 경우 특정 애플리케이션에서 TGGAU를 읽을 수 있도록 설정해야 할 수 있습니다. Windows 권한 부여 액세스 그룹은 Windows 2000에 없으므로 이를 위해 도메인 로컬 그룹을 만들고 TGGAU 특성에 액세스해야 하는 사용자 또는 컴퓨터 계정을 해당 그룹에 추가하는 것이 좋습니다. 이 그룹에는 사용자 개체, 컴퓨터 개체 및 개체의 특성에 대한 iNetOrgPerson 액세스 권한이 tokenGroupsGlobalAndUniversal 부여되어야 합니다.

혼합 모드 도메인 및 업그레이드된 도메인

Windows Server 2003 도메인 컨트롤러가 Windows 2000 도메인에 추가되면 이전에 선택한 액세스 호환성 선택이 변경되지 않습니다. 따라서 Windows 2000 이전 호환성 액세스 모드에 있던 Windows Server 2003으로 업그레이드된 혼합 모드 도메인 및 도메인은 Windows 2000 이전 호환성 액세스 그룹에 모두 그룹이 계속 있습니다. 또한 모든 사용자 그룹은 여전히 TGGAU 특성에 액세스할 수 있습니다. 이 모드에서는 애플리케이션 및 함수가 TGGAU에 액세스할 수 있습니다.

혼합 모드 도메인이 Windows 2000 이전 호환성 액세스 모드에 없는 경우 WAA 그룹을 통해 권한을 부여할 수 있습니다.

• WAA 그룹은 Windows Server 2003 도메인 컨트롤러가 부동 단일 마스터 작업 서버로 승격될 때 자동으로 만들어집니다.
• WAA 그룹에는 혼합 모드 도메인 및 업그레이드된 도메인에서 TGGAU 특성에 대한 액세스 권한이 자동으로 부여되지 않습니다.

WAA(Windows 권한 부여 액세스) 그룹에 TGGAU 특성에 대한 액세스 권한이 있으면 WAA 그룹에 액세스해야 하는 계정을 배치할 수 있습니다.

새 Windows Server 2003 도메인

도메인이 Windows 2000 이전 호환성 액세스 모드에 있는 경우 모든 사용자 그룹은 사용자 계정 개체 및 컴퓨터 계정 개체에서 TGGAU 특성에 대한 읽기 액세스 권한을 가집니다. 이 모드에서는 애플리케이션 및 함수가 TGGAU에 액세스할 수 있습니다.

도메인이 Windows 2000 이전 호환성 액세스 모드에 없는 경우 TGGAU에 액세스해야 하는 계정을 WAA 그룹에 추가합니다. Windows Server 2003의 새 설치에서 WAA 그룹은 이미 사용자 개체 및 컴퓨터 개체에서 TGGAU에 대한 읽기 권한이 있습니다.