Dela via

Vissa program och API:er kräver åtkomst till auktoriseringsinformation för kontoobjekt

  • Artikel

Den här artikeln beskriver att vissa program och API:er (Application Programming Interface) måste ha åtkomst till attributet token-groups-global-and-universal (TGGAU) för användarkontoobjekt eller på datorkontoobjekt i Active Directory-katalogtjänsten.

Ursprungligt KB-nummer: 331951

Sammanfattning

Vissa program har funktioner som läser attributet token-groups-global-and-universal (TGGAU) för användarkontoobjekt eller på datorkontoobjekt i Katalogtjänsten Microsoft Active Directory. Vissa Win32-funktioner gör det enklare att läsa TGGAU-attributet. Program som läser det här attributet eller som anropar ett API (kallas för en funktion i resten av den här artikeln) som läser det här attributet lyckas inte om den anropande säkerhetskontexten inte har åtkomst till attributet.

Som standard bestäms åtkomsten till TGGAU-attributet av beslutet om behörighetskompatibilitet (som fattades när domänen skapades under DCPromo.exe processen). Standardbehörighetskompatibiliteten för nya Windows Server 2003-domäner ger inte bred åtkomst till TGGAU-attributet. Åtkomst till att läsa TGGAU-attributet kan beviljas efter behov för den nya gruppen för åtkomst till Windows-auktorisering (WAA) i Windows Server 2003.

Mer information

Attributet token-groups-global-and-universal (TGGAU) är ett dynamiskt beräknat värde för datorkontoobjekt och på användarkontoobjekt i Active Directory. Det här attributet räknar upp globala gruppmedlemskap och universella gruppmedlemskap för motsvarande användarkonto eller datorkonto. Program kan använda gruppinformationen som tillhandahålls av TGGAU-attributet för att fatta olika beslut om en viss användare när användaren inte är inloggad.

Ett program kan till exempel använda den här informationen för att avgöra om en användare har beviljats åtkomst till en resurs som programmet styr åtkomsten för. Program som kräver den här informationen kan läsa TGGAU-attributet direkt med hjälp av antingen Lightweight Directory Access Protocol-gränssnitt eller Active Directory Services-gränssnitt. Microsoft Windows Server 2003 introducerade dock flera funktioner (inklusive funktionen AuthzInitializeContextFromSid och funktionen LsaLogonUser) som förenklar läsning och tolkning av TGGAU-attributet. Därför kan program som använder dessa funktioner omedvetet läsa TGGAU-attributet.

För att program ska kunna läsa det här attributet direkt eller indirekt läsa det här attributet (med hjälp av ett API) måste säkerhetskontexten som programmet körs i ha beviljats läsbehörighet till TGGAU-objektet på användarobjekten och på datorobjekten. Du förväntar dig inte att program ska anta att de har åtkomst till TGGAU. Därför kan du förvänta dig att program misslyckas när åtkomst nekas. I det här fallet kan du (användaren) få ett felmeddelande eller en loggpost som förklarar att åtkomst nekades när du försökte läsa den här informationen och som innehåller instruktioner om hur du får åtkomst (som beskrivs senare i den här artikeln).

Flera befintliga program är beroende av den information som tillhandahålls av TGGAU eftersom informationen är tillgänglig som standard i Microsoft Windows NT 4.0 och i tidigare operativsystem. På operativsystemen Microsoft Windows 2000 och Windows Server 2003 beviljas läsbehörighet till TGGAU-attributet till gruppen För Windows 2000-kompatibel åtkomst .

För domäner som använder befintliga program kan du hantera dessa program genom att lägga till de säkerhetskontexter som dessa program kör i gruppen För Windows 2000-kompatibel åtkomst . I stället kan du välja alternativet "Behörigheter som är kompatibla med servrar före Windows 2000" under DCPromo-processen när du skapar en domän. (På Windows Server 2003 är det här alternativet formulerat på följande sätt: "Behörigheter som är kompatibla med operativsystem före Windows 2000-servern".) Det här valet lägger till gruppen Alla i gruppen Kompatibel åtkomst före Windows 2000 och ger därmed gruppen Alla läsbehörighet till TGGAU-attributet och till många andra domänobjekt.

När en ny Windows Server 2003-domän skapas är standardvalet för åtkomstkompatibilitet Behörigheter som endast är kompatibla med Windows 2000- eller Windows Server 2003-operativsystem. När det här alternativet har angetts innehåller kompatibilitetsåtkomstgruppen Pre-Windows 2000 endast den inbyggda säkerhetsidentifieraren Autentiserade användare och läsåtkomsten till TGGAU-attributet för objekt är begränsad. I det här fallet nekas program som kräver åtkomst till TGGAU-gruppen åtkomst om inte kontot som programmen körs under har domänadministratörsrättigheter eller liknande användarrättigheter.

Aktivera program för att läsa TGGAU-attributet

För att förenkla processen med att bevilja läsåtkomst på attributet token-groups-global-and-universal (TGGAU) till användare som måste läsa attributet introducerar Windows Server 2003 gruppen Windows Authorization Access (WAA).

Vid nya installationer av Windows Server 2003-domäner beviljas WAA-gruppen åtkomst till det lästa TGGAU-attributet för användarobjekt och gruppobjekt.

Windows 2000-domäner

Om domänen är i kompatibilitetsläge före Windows 2000 har gruppen Alla läsbehörighet till TGGAU-attributet för användarkontoobjekt och datorkontoobjekt. I det här läget har program och funktioner åtkomst till TGGAU.

Om domänen inte är i kompatibilitetsläge före Windows 2000 kan du behöva aktivera vissa program för att läsa TGGAU. Eftersom Windows-auktoriseringsåtkomstgruppen inte finns i Windows 2000 rekommenderar vi att du skapar en lokal domängrupp för det här ändamålet och att du lägger till det användar- eller datorkonto som kräver åtkomst till TGGAU-attributet till den gruppen. Den här gruppen måste ges åtkomst till tokenGroupsGlobalAndUniversal attributet för användarobjekt, datorobjekt och objekt iNetOrgPerson .

Domäner i blandat läge och uppgraderade domäner

När en Windows Server 2003-domänkontrollant läggs till i en Windows 2000-domän ändras inte valet av åtkomstkompatibilitet som valdes tidigare. Därför fortsätter domäner och domäner i blandat läge som uppgraderades till Windows Server 2003 som var i kompatibilitetsläge före Windows 2000 att ha gruppen Alla i gruppen Kompatibilitetsåtkomst före Windows 2000 . Dessutom har gruppen Alla fortfarande åtkomst till TGGAU-attributet. I det här läget har program och funktioner åtkomst till TGGAU.

Om domänen för blandat läge inte är i kompatibilitetsläge före Windows 2000 kan du bevilja behörigheter med hjälp av WAA-gruppen:

  • WAA-gruppen skapas automatiskt när en Windows Server 2003-domänkontrollant befordras till den flytande huvuddriftsservern.
  • WAA-gruppen beviljas inte automatiskt åtkomst till TGGAU-attributet på domäner i blandat läge och på uppgraderade domäner.

När gruppen Windows Authorization Access (WAA) har åtkomst till TGGAU-attributet kan du placera de konton som kräver åtkomst i WAA-gruppen.

Nya Windows Server 2003-domäner

Om domänen är i kompatibilitetsläge före Windows 2000 har gruppen Alla läsbehörighet till TGGAU-attributet för användarkontoobjekt och datorkontoobjekt. I det här läget har program och funktioner åtkomst till TGGAU.

Om domänen inte är i kompatibilitetsläge före Windows 2000 lägger du till de konton som kräver åtkomst till TGGAU i WAA-gruppen. I nya installationer av Windows Server 2003 har WAA-gruppen redan läsbehörighet till TGGAU på användarobjekt och på datorobjekt.