Bazı uygulamalar ve API'ler, hesap nesnelerindeki yetkilendirme bilgilerine erişim gerektirir
Bu makalede, kullanıcı hesabı nesnelerinde veya Active Directory dizin hizmetindeki bilgisayar hesabı nesnelerinde token-groups-global-and-universal (TGGAU) özniteliğine erişimi olması gereken bazı uygulamalar ve uygulama programlama arabirimleri (API'ler) açıklanmaktadır.
Şunlar için geçerlidir: Windows Server 2012 R2
Özgün KB numarası: 331951
Özet
Bazı uygulamalar, kullanıcı hesabı nesnelerinde veya Microsoft Active Directory dizin hizmetindeki bilgisayar hesabı nesnelerinde token-groups-global-and-universal (TGGAU) özniteliğini okuyan özelliklere sahiptir. Bazı Win32 işlevleri TGGAU özniteliğini okumayı kolaylaştırır. Bu özniteliği okuyan veya bir API çağıran (bu makalenin geri kalanında işlev olarak adlandırılır) bu özniteliği okuyan uygulamalar, çağıran güvenlik bağlamının özniteliğe erişimi yoksa başarılı olmaz.
Varsayılan olarak, TGGAU özniteliğine erişim İzin Uyumluluğu kararıyla belirlenir (DCPromo.exe işlemi sırasında etki alanı oluşturulduğunda yapılır). Yeni Windows Server 2003 etki alanları için varsayılan izin uyumluluğu, TGGAU özniteliğine geniş erişim vermez. TGGAU özniteliğini okuma erişimi, Windows Server 2003'teki yeni Windows Yetkilendirme Erişimi (WAA) grubuna gerektiği gibi verilebilir.
Daha fazla bilgi
token-groups-global-and-universal (TGGAU) özniteliği, bilgisayar hesabı nesnelerinde ve Active Directory'deki kullanıcı hesabı nesnelerinde dinamik olarak hesaplanan bir değerdir. Bu öznitelik, ilgili kullanıcı hesabı veya bilgisayar hesabı için genel grup üyeliklerini ve evrensel grup üyeliklerini numaralandırır. Uygulamalar, kullanıcı oturum açmadığında belirli bir kullanıcı hakkında çeşitli kararlar almak için TGGAU özniteliği tarafından sağlanan grup bilgilerini kullanabilir.
Örneğin bir uygulama, kullanıcıya erişimi denetlediği bir kaynağa erişim izni verilip verilmediğini belirlemek için bu bilgileri kullanabilir. Bu bilgileri gerektiren uygulamalar, Basit Dizin Erişim Protokolü arabirimlerini veya Active Directory Hizmetleri Arabirimlerini kullanarak doğrudan TGGAU özniteliğini okuyabilir. Ancak, Microsoft Windows Server 2003, TGGAU özniteliğinin okunmasını ve yorumlanmasını basitleştiren çeşitli işlevler (AuthzInitializeContextFromSid işlevi ve LsaLogonUser işlevi dahil) kullanıma sunulmuştur. Bu nedenle, bu işlevleri kullanan uygulamalar bilmeden TGGAU özniteliğini okuyor olabilir.
Uygulamaların bu özniteliği doğrudan okuyabilmesi veya bu özniteliği dolaylı olarak okuyabilmesi için (API kullanarak), uygulamanın içinde çalıştığı güvenlik bağlamının, kullanıcı nesnelerinde ve bilgisayar nesnelerinde TGGAU nesnesine okuma erişimi verilmiş olması gerekir. Uygulamaların TGGAU erişimi olduğunu varsaymasını beklemezsiniz. Bu nedenle, erişim reddedildiğinde uygulamaların başarısız olmasını bekleyebilirsiniz. Bu durumda, siz (kullanıcı) bu bilgileri okumaya çalışırken erişimin reddedildiğini açıklayan ve erişimin nasıl edinildiğine ilişkin yönergeler sağlayan bir hata iletisi veya günlük girdisi alabilirsiniz (bu makalenin ilerleyen bölümlerinde açıklandığı gibi).
Microsoft Windows NT 4.0 ve önceki işletim sistemlerinde varsayılan olarak kullanılabilir olduğundan, mevcut bazı uygulamalar TGGAU tarafından sağlanan bilgilere bağlıdır. Bu nedenle, Microsoft Windows 2000 ve Windows Server 2003 işletim sistemlerinde, Windows 2000 Öncesi Uyumlu Erişim grubuna TGGAU özniteliğine okuma erişimi verilir.
Mevcut uygulamaları kullanan etki alanları için, bu uygulamaların olarak çalıştırdığı güvenlik bağlamlarını Windows 2000 Öncesi Uyumlu Erişim grubuna ekleyerek bu uygulamaları işleyebilirsiniz. Bunun yerine, etki alanı oluştururken DCPromo işlemi sırasında "Windows 2000 öncesi sunucularla uyumlu izinler" seçeneğini belirleyebilirsiniz. (Windows Server 2003'te bu seçenek şu şekilde ifade edilir: "Windows 2000 öncesi sunucu işletim sistemleriyle uyumlu izinler".) Bu seçim , Everyone grubunu Windows 2000 Öncesi Uyumlu Erişim grubuna ekler ve böylece Herkes grubuna TGGAU özniteliğine ve diğer birçok etki alanı nesnesine okuma erişimi verir.
Yeni bir Windows Server 2003 etki alanı oluşturulduğunda, varsayılan erişim uyumluluk seçimi yalnızca Windows 2000 veya Windows Server 2003 işletim sistemleriyle uyumlu İzinler'dir. Bu seçenek ayarlandığında, Windows 2000 Öncesi Uyumluluk Erişimi grubu yalnızca Kimliği Doğrulanmış Kullanıcılar yerleşik güvenlik tanımlayıcısını içerir ve nesnelerdeki TGGAU özniteliğine okuma erişimi sınırlıdır. Bu durumda, uygulamaların çalıştırıldığı hesap etki alanı yöneticisi haklarına veya benzer kullanıcı haklarına sahip olmadığı sürece, TGGAU grubuna erişim gerektiren uygulamaların erişimi reddedilir.
Uygulamaların TGGAU özniteliğini okumasını etkinleştirme
Özniteliği okuması gereken kullanıcılara token-groups-global-and-universal (TGGAU) özniteliğinde okuma erişimi verme işlemini basitleştirmek için Windows Server 2003, Windows Yetkilendirme Erişimi (WAA) grubunu tanıtır.
Windows Server 2003 etki alanlarının yeni yüklemelerinde WAA grubuna kullanıcı nesnelerinde ve grup nesnelerinde okuma TGGAU özniteliğine erişim verilir.
Windows 2000 Etki Alanları
Etki alanı Windows 2000 öncesi uyumluluk erişim modundaysa , Herkes grubunun kullanıcı hesabı nesnelerinde ve bilgisayar hesabı nesnelerinde TGGAU özniteliğine okuma erişimi vardır. Bu modda, uygulamalar ve işlevler TGGAU'ya erişebilir.
Etki alanı Windows 2000 öncesi uyumluluk erişim modunda değilse, belirli uygulamaların TGGAU'yi okumasını etkinleştirmeniz gerekebilir. Windows Yetkilendirme Erişim Grubu Windows 2000'de mevcut olmadığından, bu amaçla bir etki alanı yerel grubu oluşturmanız ve bu gruba TGGAU özniteliğine erişim gerektiren kullanıcı veya bilgisayar hesabını eklemeniz önerilir. Bu gruba kullanıcı nesnelerinde, bilgisayar nesnelerinde ve nesnelerde iNetOrgPerson özniteliğine tokenGroupsGlobalAndUniversal erişim verilmesi gerekir.
Karma mod etki alanları ve yükseltilmiş etki alanları
Windows 2000 etki alanına bir Windows Server 2003 etki alanı denetleyicisi eklendiğinde, daha önce seçilen erişim uyumluluğu seçimi değiştirilmez. Bu nedenle, Windows Server 2003'e yükseltilen ve Windows 2000 öncesi uyumluluk erişim modunda olan karma mod etki alanları ve etki alanları, Windows 2000 Öncesi Uyumluluk Erişimi grubunda Herkes grubuna sahip olacak şekilde devam eder. Ayrıca , Everyone grubunun TGGAU özniteliğine hala erişimi vardır. Bu modda, uygulamalar ve işlevler TGGAU'ya erişebilir.
Karma mod etki alanı Windows 2000 öncesi uyumluluk erişim modunda değilse, WAA grubu aracılığıyla izinler vekleyebilirsiniz:
- Bir Windows Server 2003 etki alanı denetleyicisi Kayan Tek Ana İşletim Sunucusuna yükseltildiğinde WAA grubu otomatik olarak oluşturulur.
- WAA grubuna karma mod etki alanlarında ve yükseltilmiş etki alanlarında TGGAU özniteliğine otomatik olarak erişim verilmez.
Windows Yetkilendirme Erişimi (WAA) grubunun TGGAU özniteliğine erişimi olduktan sonra, erişim gerektiren hesapları WAA grubuna yerleştirebilirsiniz.
Yeni Windows Server 2003 Etki Alanları
Etki alanı Windows 2000 öncesi uyumluluk erişim modundaysa , Herkes grubunun kullanıcı hesabı nesnelerinde ve bilgisayar hesabı nesnelerinde TGGAU özniteliğine okuma erişimi vardır. Bu modda, uygulamalar ve işlevler TGGAU'ya erişebilir.
Etki alanı Windows 2000 öncesi uyumluluk erişim modunda değilse, WAA grubuna TGGAU erişimi gerektiren hesapları ekleyin. Windows Server 2003'ün yeni yüklemelerinde WAA grubu, kullanıcı nesnelerinde ve bilgisayar nesnelerinde TGGAU'ya okuma erişimine zaten sahiptir.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin