Niektóre aplikacje i interfejsy API wymagają dostępu do informacji o autoryzacji obiektów konta
W tym artykule opisano niektóre aplikacje i interfejsy programowania aplikacji (API) muszą mieć dostęp do atrybutu token-groups-global-and-universal (TGGAU) dla obiektów konta użytkownika lub obiektów konta komputera w usłudze katalogowej Active Directory.
Oryginalny numer KB: 331951
Podsumowanie
Niektóre aplikacje mają funkcje odczytujące atrybut token-groups-global-and-universal (TGGAU) dla obiektów konta użytkownika lub obiektów konta komputera w usłudze katalogowej Microsoft Active Directory. Niektóre funkcje Win32 ułatwiają odczytywanie atrybutu TGGAU. Aplikacje odczytujące ten atrybut lub wywołujące interfejs API (nazywane funkcją w pozostałej części tego artykułu), które odczytują ten atrybut, nie powodzenie, jeśli kontekst zabezpieczeń wywołania nie ma dostępu do atrybutu.
Domyślnie dostęp do atrybutu TGGAU jest określany przez decyzję o zgodności uprawnień (podjętą podczas tworzenia domeny podczas procesu DCPromo.exe). Domyślna zgodność uprawnień dla nowych domen systemu Windows Server 2003 nie zapewnia szerokiego dostępu do atrybutu TGGAU. Dostęp do odczytu atrybutu TGGAU można udzielić zgodnie z wymaganiami nowej grupy dostępu autoryzacji systemu Windows (WAA) w systemie Windows Server 2003.
Więcej informacji
Atrybut token-groups-global-and-universal (TGGAU) jest dynamicznie obliczaną wartością dla obiektów konta komputera i obiektów konta użytkownika w usłudze Active Directory. Ten atrybut wylicza członkostwa w grupach globalnych i członkostwa w grupach uniwersalnych dla odpowiedniego konta użytkownika lub konta komputera. Aplikacje mogą używać informacji o grupie udostępnianych przez atrybut TGGAU do podejmowania różnych decyzji dotyczących określonego użytkownika, gdy użytkownik nie jest zalogowany.
Na przykład aplikacja może użyć tych informacji, aby określić, czy użytkownikowi udzielono dostępu do zasobu, dla którego aplikacja kontroluje dostęp. Aplikacje, które wymagają tych informacji, mogą odczytywać atrybut TGGAU bezpośrednio przy użyciu interfejsów protokołu Lightweight Directory Access Protocol lub interfejsów usług Active Directory Services. Jednak system Microsoft Windows Server 2003 wprowadził kilka funkcji (w tym funkcję AuthzInitializeContextFromSid i funkcję LsaLogonUser), które upraszczają odczytywanie i interpretację atrybutu TGGAU. W związku z tym aplikacje korzystające z tych funkcji mogą nieświadomie odczytywać atrybut TGGAU.
Aby aplikacje mogły bezpośrednio odczytać ten atrybut lub pośrednio odczytać ten atrybut (za pomocą interfejsu API), kontekst zabezpieczeń uruchamiany przez aplikację musi mieć przyznany dostęp do odczytu do obiektu TGGAU na obiektach użytkownika i obiektach komputera. Nie oczekujesz, że aplikacje przyjmą, że mają dostęp do TGGAU. W związku z tym można oczekiwać, że aplikacje nie powiedzie się w przypadku odmowy dostępu. W takiej sytuacji użytkownik (użytkownik) może otrzymać komunikat o błędzie lub wpis dziennika, który wyjaśnia, że dostęp został odrzucony podczas próby odczytu tych informacji i zawiera instrukcje dotyczące sposobu uzyskiwania dostępu (zgodnie z opisem w dalszej części tego artykułu).
Kilka istniejących aplikacji zależy od informacji dostarczanych przez moduł TGGAU, ponieważ informacje są domyślnie dostępne w systemie Microsoft Windows NT 4.0 i we wcześniejszych systemach operacyjnych. Tak więc w systemach operacyjnych Microsoft Windows 2000 i Windows Server 2003 dostęp do odczytu atrybutu TGGAU jest udzielany grupie Dostęp zgodny przed systemem Windows 2000 .
W przypadku domen korzystających z istniejących aplikacji można obsługiwać te aplikacje, dodając konteksty zabezpieczeń uruchamiane przez te aplikacje jako do grupy Dostęp zgodny przed systemem Windows 2000 . Zamiast tego można wybrać opcję "Uprawnienia zgodne z serwerami przed windows 2000" podczas procesu DCPromo podczas tworzenia domeny. (W systemie Windows Server 2003 ta opcja jest sformułowana w następujący sposób: "Uprawnienia zgodne z systemami operacyjnymi serwera sprzed systemu Windows 2000"). Ten wybór dodaje grupę Wszyscy do grupy Dostęp zgodny przed systemem Windows 2000 , a tym samym przyznaje grupie Wszyscy dostęp do odczytu atrybutu TGGAU i wielu innych obiektów domeny.
Po utworzeniu nowej domeny systemu Windows Server 2003 domyślnym wyborem zgodności dostępu są uprawnienia zgodne tylko z systemami operacyjnymi Windows 2000 lub Windows Server 2003. Po ustawieniu tej opcji grupa Dostęp do zgodności przed systemem Windows 2000 zawiera tylko wbudowany identyfikator zabezpieczeń Uwierzytelnieni użytkownicy, a dostęp do odczytu atrybutu TGGAU dla obiektów jest ograniczony. W takim przypadku aplikacjom wymagającym dostępu do grupy TGGAU odmawia się dostępu, chyba że konto, na którym są uruchamiane aplikacje, ma uprawnienia administratora domeny lub podobne prawa użytkownika.
Włączanie aplikacji do odczytu atrybutu TGGAU
Aby uprościć proces udzielania dostępu do odczytu w atrybucie token-groups-global-and-universal (TGGAU) użytkownikom, którzy muszą odczytać atrybut, system Windows Server 2003 wprowadza grupę Dostępu autoryzacji systemu Windows (WAA).
W przypadku nowych instalacji domen systemu Windows Server 2003 grupa WAA ma dostęp do odczytu atrybutu TGGAU dla obiektów użytkowników i obiektów grupy.
Domeny systemu Windows 2000
Jeśli domena jest w trybie dostępu zgodności przed systemem Windows 2000, grupa Wszyscy ma dostęp do odczytu atrybutu TGGAU dla obiektów konta użytkownika i obiektów konta komputera. W tym trybie aplikacje i funkcje mają dostęp do modułu TGGAU.
Jeśli domena nie jest w trybie dostępu do zgodności przed systemem Windows 2000, może być konieczne włączenie niektórych aplikacji do odczytu TGGAU. Ponieważ grupa dostępu autoryzacji systemu Windows nie istnieje w systemie Windows 2000, zaleca się utworzenie w tym celu grupy lokalnej domeny i dodanie konta użytkownika lub komputera, które wymaga dostępu do atrybutu TGGAU do tej grupy. Ta grupa musiałaby mieć dostęp do atrybutu tokenGroupsGlobalAndUniversal obiektów użytkownika, obiektów komputera i iNetOrgPerson obiektów.
Domeny trybu mieszanego i uaktualnione domeny
Po dodaniu kontrolera domeny systemu Windows Server 2003 do domeny systemu Windows 2000 wybór zgodności dostępu, który został wcześniej wybrany, nie zostanie zmieniony. Tak więc domeny i domeny trybu mieszanego, które zostały uaktualnione do systemu Windows Server 2003, które były w trybie dostępu zgodności przed systemem Windows 2000, nadal mają grupę Wszyscy w grupie Dostęp do zgodności przed systemem Windows 2000 . Ponadto grupa Wszyscy nadal ma dostęp do atrybutu TGGAU. W tym trybie aplikacje i funkcje mają dostęp do modułu TGGAU.
Jeśli domena trybu mieszanego nie jest w trybie dostępu ze zgodnością przed systemem Windows 2000, możesz udzielić uprawnień za pomocą grupy WAA:
- Grupa WAA jest tworzona automatycznie po podwyższeniu poziomu kontrolera domeny systemu Windows Server 2003 do zmiennego pojedynczego serwera operacji głównych.
- Grupa WAA nie otrzymuje automatycznie dostępu do atrybutu TGGAU w domenach trybu mieszanego ani w domenach uaktualnianych.
Gdy grupa Dostępu autoryzacji systemu Windows (WAA) ma dostęp do atrybutu TGGAU, możesz umieścić konta wymagające dostępu w grupie WAA.
Nowe domeny systemu Windows Server 2003
Jeśli domena jest w trybie dostępu zgodności przed systemem Windows 2000, grupa Wszyscy ma dostęp do odczytu atrybutu TGGAU dla obiektów konta użytkownika i obiektów konta komputera. W tym trybie aplikacje i funkcje mają dostęp do modułu TGGAU.
Jeśli domena nie jest w trybie dostępu do zgodności przed systemem Windows 2000, dodaj do grupy WAA te konta, które wymagają dostępu do modułu TGGAU. W nowych instalacjach systemu Windows Server 2003 grupa WAA ma już dostęp do odczytu do jednostki TGGAU w obiektach użytkowników i obiektach komputera.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla