Некоторым приложениям и API требуется доступ к сведениям об авторизации в объектах учетной записи.
В этой статье описаны некоторые приложения и программные интерфейсы приложений (API) должны иметь доступ к атрибуту token-groups-global-and-universal (TGGAU) в объектах учетной записи пользователя или к объектам учетных записей компьютера в службе каталогов Active Directory.
Исходный номер базы знаний: 331951
Сводка
Некоторые приложения имеют функции, которые считывают атрибут token-groups-global-and-universal (TGGAU) в объектах учетной записи пользователя или в объектах учетных записей компьютера в службе каталогов Microsoft Active Directory. Некоторые функции Win32 упрощают чтение атрибута TGGAU. Приложения, которые считывают этот атрибут или вызывают API (в остальной части этой статьи называется функцией), которая считывает этот атрибут, не выполняются, если вызывающий контекст безопасности не имеет доступа к атрибуту.
По умолчанию доступ к атрибуту TGGAU определяется решением о совместимости разрешений (принятом при создании домена в процессе DCPromo.exe). Совместимость разрешений по умолчанию для новых доменов Windows Server 2003 не предоставляет широкий доступ к атрибуту TGGAU. Доступ к чтению атрибута TGGAU можно предоставить по мере необходимости новой группе доступа к авторизации Windows (WAA) в Windows Server 2003.
Дополнительная информация
Атрибут token-groups-global-and-universal (TGGAU) — это динамически вычисляемое значение для объектов учетной записи компьютера и объектов учетных записей пользователей в Active Directory. Этот атрибут перечисляет глобальные членства в группах и универсальные членства в группах для соответствующей учетной записи пользователя или компьютера. Приложения могут использовать сведения о группе, предоставляемые атрибутом TGGAU, для принятия различных решений о конкретном пользователе, когда пользователь не вошел в систему.
Например, приложение может использовать эти сведения, чтобы определить, предоставлен ли пользователю доступ к ресурсу, доступ к которому управляет приложением. Приложения, которым требуются эти сведения, могут считывать атрибут TGGAU напрямую с помощью интерфейсов протокола доступа к упрощенным каталогам или интерфейсов служб Active Directory. Однако в Microsoft Windows Server 2003 появилось несколько функций (включая функцию AuthzInitializeContextFromSid и функцию LsaLogonUser), которые упрощают чтение и интерпретацию атрибута TGGAU. Таким образом, приложения, использующие эти функции, могут неосознанно считывать атрибут TGGAU.
Чтобы приложения могли напрямую считывать этот атрибут или косвенно считывать этот атрибут (с помощью API), контексту безопасности, в котором выполняется приложение, должен быть предоставлен доступ на чтение объекта TGGAU для объектов пользователя и объектов компьютера. Вы не ожидаете, что приложения будут предполагать, что у них есть доступ к TGGAU. Поэтому при отказе в доступе приложения могут оказаться неудачными. В этом случае вы (пользователь) можете получить сообщение об ошибке или запись в журнале, в котором объясняется, что доступ был запрещен при попытке прочитать эту информацию, и содержит инструкции по получению доступа (как описано далее в этой статье).
Некоторые существующие приложения зависят от информации, предоставляемой TGGAU, так как эта информация доступна по умолчанию в Microsoft Windows NT 4.0 и более ранних операционных системах. Таким образом, в операционных системах Microsoft Windows 2000 и Windows Server 2003 доступ на чтение к атрибуту TGGAU предоставляется группе Совместимого доступа до Windows 2000 .
Для доменов, использующих существующие приложения, эти приложения можно обрабатывать, добавив контексты безопасности, которые выполняются этими приложениями, в группу совместимого доступа до Windows 2000 . Вместо этого можно выбрать параметр "Разрешения, совместимые с серверами до Windows 2000" во время процесса DCPromo при создании домена. (В Windows Server 2003 этот параметр формулируется следующим образом: "Разрешения, совместимые с серверными операционными системами до Windows 2000".) Этот выбор добавляет группу Все в группу совместимого доступа до Windows 2000 и тем самым предоставляет группе Все доступ на чтение к атрибуту TGGAU и многим другим объектам домена.
При создании нового домена Windows Server 2003 для совместимости доступа по умолчанию выбран параметр Разрешения, совместимые только с операционными системами Windows 2000 или Windows Server 2003. Если этот параметр задан, группа доступа с совместимостью до Windows 2000 включает только встроенный идентификатор безопасности пользователей, прошедших проверку подлинности, а доступ на чтение к атрибуту TGGAU для объектов ограничен. В этом случае приложениям, которым требуется доступ к группе TGGAU, отказано в доступе, если только учетная запись, под которой выполняются приложения, не имеет прав администратора домена или аналогичных прав пользователя.
Включение приложений для чтения атрибута TGGAU
Чтобы упростить процесс предоставления доступа на чтение к атрибуту token-groups-global-and-universal (TGGAU) пользователям, которые должны считывать атрибут, в Windows Server 2003 представлена группа доступа к авторизации Windows (WAA).
В новых установках доменов Windows Server 2003 группе WAA предоставляется доступ к атрибуту чтения TGGAU для пользовательских объектов и объектов групп.
Домены Windows 2000
Если домен находится в режиме совместимости до Windows 2000, группа Все имеет доступ на чтение атрибута TGGAU в объектах учетной записи пользователя и в объектах учетных записей компьютера. В этом режиме приложения и функции имеют доступ к TGGAU.
Если домен не в режиме совместимости до Windows 2000, может потребоваться включить определенные приложения для чтения TGGAU. Так как группа доступа авторизации Windows не существует в Windows 2000, рекомендуется создать локальную группу домена для этой цели и добавить в нее учетную запись пользователя или компьютера, которым требуется доступ к атрибуту TGGAU. Этой группе необходимо предоставить доступ к атрибуту tokenGroupsGlobalAndUniversal
для объектов-пользователей, компьютеров и iNetOrgPerson
объектов.
Домены смешанного режима и обновленные домены
При добавлении контроллера домена Windows Server 2003 в домен Windows 2000 выбранный ранее вариант совместимости доступа не изменяется. Таким образом, домены смешанного режима и домены, которые были обновлены до Windows Server 2003, которые находились в режиме доступа к совместимости до Windows 2000, по-прежнему имеют группу Все в группе Доступ к совместимости до Windows 2000 . Кроме того, группа Все по-прежнему имеет доступ к атрибуту TGGAU. В этом режиме приложения и функции имеют доступ к TGGAU.
Если домен смешанного режима не в режиме совместимости до Windows 2000, вы можете предоставить разрешения с помощью группы WAA:
- Группа WAA автоматически создается при повышении контроллера домена Windows Server 2003 до плавающего одного главного операционного сервера.
- Группе WAA не предоставляется автоматически доступ к атрибуту TGGAU в доменах смешанного режима и в обновленных доменах.
После того как группа Windows Authorization Access (WAA) будет получать доступ к атрибуту TGGAU, вы можете поместить учетные записи, которым требуется доступ, в группу WAA.
Новые домены Windows Server 2003
Если домен находится в режиме совместимости до Windows 2000, группа Все имеет доступ на чтение атрибута TGGAU в объектах учетной записи пользователя и в объектах учетных записей компьютера. В этом режиме приложения и функции имеют доступ к TGGAU.
Если домен не в режиме совместимости до Windows 2000, добавьте в группу WAA учетные записи, которым требуется доступ к TGGAU. В новых установках Windows Server 2003 группа WAA уже имеет доступ на чтение к TGGAU для объектов пользователей и компьютеров.