Einige Anwendungen und APIs erfordern Zugriff auf Autorisierungsinformationen für Kontoobjekte.
In diesem Artikel werden einige Anwendungen und Anwendungsprogrammierschnittstellen (Application Programming Interfaces, APIs) beschrieben, die Zugriff auf das Attribut token-groups-global-global-and-universal (TGGAU) für Benutzerkontenobjekte oder computerkontoobjekte im Active Directory-Verzeichnisdienst haben müssen.
Ursprüngliche KB-Nummer: 331951
Übersicht
Einige Anwendungen verfügen über Features, die das Attribut token-groups-global-and-universal (TGGAU) für Benutzerkontenobjekte oder computerkontoobjekte im Microsoft Active Directory-Verzeichnisdienst lesen. Einige Win32-Funktionen erleichtern das Lesen des TGGAU-Attributs. Anwendungen, die dieses Attribut lesen oder eine API aufrufen (die im rest dieses Artikels als Funktion bezeichnet wird), die dieses Attribut liest, sind nicht erfolgreich, wenn der aufrufende Sicherheitskontext keinen Zugriff auf das Attribut hat.
Standardmäßig wird der Zugriff auf das TGGAU-Attribut durch die Berechtigungskompatibilitätsentscheidung bestimmt (die beim Erstellen der Domäne während des DCPromo.exe Prozesses getroffen wurde). Die Standardberechtigungskompatibilität für neue Windows Server 2003-Domänen gewährt keinen umfassenden Zugriff auf das TGGAU-Attribut. Der Zugriff zum Lesen des TGGAU-Attributs kann der neuen Windows-Autorisierungszugriffsgruppe (WAA) in Windows Server 2003 erteilt werden.
Weitere Informationen
Das Attribut token-groups-global-and-universal (TGGAU) ist ein dynamisch berechneter Wert für Computerkontoobjekte und für Benutzerkontoobjekte in Active Directory. Dieses Attribut listet die globalen Gruppenmitgliedschaften und die universellen Gruppenmitgliedschaften für das entsprechende Benutzerkonto oder Computerkonto auf. Anwendungen können die vom TGGAU-Attribut bereitgestellten Gruppeninformationen verwenden, um verschiedene Entscheidungen über einen bestimmten Benutzer zu treffen, wenn der Benutzer nicht angemeldet ist.
Beispielsweise kann eine Anwendung diese Informationen verwenden, um zu bestimmen, ob einem Benutzer Zugriff auf eine Ressource gewährt wurde, für die die Anwendung den Zugriff steuert. Anwendungen, die diese Informationen benötigen, können das TGGAU-Attribut direkt mithilfe von Lightweight Directory Access Protocol-Schnittstellen oder Active Directory-Dienstschnittstellen lesen. Microsoft Windows Server 2003 hat jedoch mehrere Funktionen eingeführt (einschließlich der AuthzInitializeContextFromSid-Funktion und der LsaLogonUser-Funktion), die das Lesen und Interpretieren des TGGAU-Attributs vereinfachen. Daher können Anwendungen, die diese Funktionen verwenden, unwissentlich das TGGAU-Attribut lesen.
Damit Anwendungen dieses Attribut direkt lesen oder dieses Attribut indirekt lesen können (über die Verwendung einer API), muss dem Sicherheitskontext, in dem die Anwendung ausgeführt wird, Lesezugriff auf das TGGAU-Objekt für die Benutzerobjekte und auf den Computerobjekten gewährt worden sein. Sie erwarten nicht, dass Die Anwendungen davon ausgehen, dass sie Zugang zu TGGAU haben. Daher können Sie erwarten, dass Anwendungen nicht erfolgreich sind, wenn der Zugriff verweigert wird. In diesem Fall erhalten Sie (der Benutzer) möglicherweise eine Fehlermeldung oder einen Protokolleintrag, der erläutert, dass der Zugriff verweigert wurde, während Sie versuchen, diese Informationen zu lesen, und die Anweisungen zum Abrufen des Zugriffs (wie weiter unten in diesem Artikel beschrieben) enthält.
Mehrere bestehende Anwendungen hängen von den Informationen ab, die von TGGAU bereitgestellt werden, da die Informationen standardmäßig in Microsoft Windows NT 4.0 und in früheren Betriebssystemen verfügbar sind. Auf Microsoft Windows 2000- und Windows Server 2003-Betriebssystemen wird lesezugriff auf das TGGAU-Attribut der Gruppe "Pre-Windows 2000 Compatible Access " gewährt.
Für Domänen, die vorhandene Anwendungen verwenden, können Sie diese Anwendungen behandeln, indem Sie die Sicherheitskontexte hinzufügen, die diese Anwendungen zur Gruppe "Pre-Windows 2000 Compatible Access" ausführen. Stattdessen können Sie beim Erstellen einer Domäne die Option "Berechtigungen, die mit Vor-Windows 2000-Servern kompatibel sind" auswählen. (Unter Windows Server 2003 lautet diese Option wie folgt: "Berechtigungen, die mit Windows 2000-Serverbetriebssystemen kompatibel sind".) Diese Auswahl fügt die Gruppe "Jeder " zur Gruppe "Pre-Windows 2000 Compatible Access " hinzu und gewährt dadurch der Gruppe "Jeder " Lesezugriff auf das TGGAU-Attribut und viele andere Domänenobjekte.
Wenn eine neue Windows Server 2003-Domäne erstellt wird, ist die Standardmäßige Zugriffskompatibilitätsauswahl nur mit Windows 2000- oder Windows Server 2003-Betriebssystemen kompatibel. Wenn diese Option festgelegt ist, enthält die Gruppe "Pre-Windows 2000 Compatibility Access " nur den integrierten Sicherheitsbezeichner "Authentifizierte Benutzer", und der Lesezugriff auf das TGGAU-Attribut für Objekte ist eingeschränkt. In diesem Fall werden Anwendungen, die Zugriff auf die TGGAU-Gruppe erfordern, zugriff verweigert, es sei denn, das Konto, unter dem die Anwendungen ausgeführt werden, verfügt über Domänenadministratorrechte oder ähnliche Benutzerrechte.
Aktivieren von Anwendungen zum Lesen des TGGAU-Attributs
Um den Lesezugriff auf das Tokengruppen-global-and-universal-Attribut (TGGAU) für Benutzer zu vereinfachen, die das Attribut lesen müssen, führt Windows Server 2003 die WaA-Gruppe (Windows Authorization Access) ein.
Bei neuen Installationen von Windows Server 2003-Domänen erhält die WAA-Gruppe Zugriff auf das lese-TGGAU-Attribut für Benutzerobjekte und gruppenobjekte.
Windows 2000-Domänen
Wenn sich die Domäne im Pre-Windows 2000-Kompatibilitätszugriffsmodus befindet, hat die Gruppe "Jeder " Lesezugriff auf das TGGAU-Attribut für Benutzerkontoobjekte und computerkontoobjekte. In diesem Modus haben Anwendungen und Funktionen Zugriff auf TGGAU.
Wenn sich die Domäne nicht im Vorab-Windows 2000-Kompatibilitätszugriffsmodus befindet, müssen Sie möglicherweise bestimmte Anwendungen aktivieren, um den TGGAU zu lesen. Da die Windows-Autorisierungszugriffsgruppe unter Windows 2000 nicht vorhanden ist, empfiehlt es sich, zu diesem Zweck eine lokale Domänengruppe zu erstellen und das Benutzer- oder Computerkonto hinzuzufügen, das Zugriff auf das TGGAU-Attribut zu dieser Gruppe erfordert. Diese Gruppe müsste Zugriff auf das tokenGroupsGlobalAndUniversal Attribut für Benutzerobjekte, Computerobjekte und objekte iNetOrgPerson erhalten.
Domänen im gemischten Modus und aktualisierte Domänen
Wenn ein Windows Server 2003-Domänencontroller einer Windows 2000-Domäne hinzugefügt wird, wird die zuvor ausgewählte Zugriffskompatibilitätsauswahl nicht geändert. Daher haben Domänen und Domänen im gemischten Modus, die auf Windows Server 2003 aktualisiert wurden, die sich im Vorab-Windows 2000-Kompatibilitätszugriffsmodus befanden, weiterhin die Gruppe "Jeder " in der Gruppe "Pre-Windows 2000 Compatibility Access" . Darüber hinaus hat die Gruppe "Jeder " weiterhin Zugriff auf das TGGAU-Attribut. In diesem Modus haben Anwendungen und Funktionen Zugriff auf TGGAU.
Wenn sich die Domäne für den gemischten Modus nicht im Kompatibilitätsmodus von Windows 2000 befindet, können Sie Berechtigungen über die WAA-Gruppe erteilen:
- Die WAA-Gruppe wird automatisch erstellt, wenn ein Windows Server 2003-Domänencontroller auf den Unverankerten Single Master Operations Server heraufgestuft wird.
- Der WAA-Gruppe wird nicht automatisch Zugriff auf das TGGAU-Attribut für Mixed-Mode-Domänen und für aktualisierte Domänen gewährt.
Nachdem die Gruppe Windows Authorization Access (WAA) Zugriff auf das TGGAU-Attribut hat, können Sie die Konten platzieren, die Zugriff in der WAA-Gruppe erfordern.
Neue Windows Server 2003-Domänen
Wenn sich die Domäne im Pre-Windows 2000-Kompatibilitätszugriffsmodus befindet, hat die Gruppe "Jeder " Lesezugriff auf das TGGAU-Attribut für Benutzerkontoobjekte und computerkontoobjekte. In diesem Modus haben Anwendungen und Funktionen Zugriff auf TGGAU.
Wenn sich die Domäne nicht im Vorab-Windows 2000-Kompatibilitätszugriffsmodus befindet, fügen Sie der WAA-Gruppe diese Konten hinzu, die Zugriff auf TGGAU erfordern. In neuen Installationen von Windows Server 2003 hat die WAA-Gruppe bereits Lesezugriff auf TGGAU für Benutzerobjekte und Computerobjekte.